Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Workloads mit Datenresidenz
AWS Dedizierte Local Zones (Dedicated Local Zones) sind eine Art von AWS Infrastruktur AWS, die vollständig von Ihnen oder Ihrer Community verwaltet, für die ausschließliche Nutzung durch Sie oder Ihre Community gebaut und an einem von Ihnen angegebenen Standort oder Rechenzentrum platziert wird, um die Einhaltung der gesetzlichen Anforderungen zu gewährleisten. Dedicated Local Zones sind eine Art von AWS Local Zones (Local Zones) -Angebot. Weitere Informationen finden Sie unter [AWS Dedizierte lokale Zonen](https://aws.amazon.com/dedicatedlocalzones/).
In Dedicated Local Zones können Sie S3-Verzeichnis-Buckets erstellen, um Daten in einem bestimmten Datenperimeter zu speichern, was Anwendungsfälle für Datenresidenz und Isolation unterstützt. Verzeichnis-Buckets in Dedicated Local Zones können die Speicherklassen S3 Express One Zone und S3 One Zone-Infrequent Access (S3 One Zone-IA; Z-IA) unterstützen. Verzeichnis-Buckets sind derzeit an anderen [Standorten von AWS Local Zones](https://aws.amazon.com/about-aws/global-infrastructure/localzones/locations/) nicht verfügbar.
Sie können die AWS-Managementkonsole REST-API AWS Command Line Interface (AWS CLI) und AWS SDKs in Dedicated Local Zones verwenden.
Weitere Informationen zum Arbeiten mit Verzeichnis-Buckets in Local Zones finden Sie in den folgenden Themen:
**Topics**
+ [Konzepte für Verzeichnis-Buckets in Local Zones](s3-lzs-for-directory-buckets.md)
+ [Aktivieren von Konten für Local Zones](opt-in-directory-bucket-lz.md)
+ [Private Konnektivität von Ihrer VPC](connectivity-lz-directory-buckets.md)
+ [Erstellen eines Verzeichnis-Buckets in einer Local Zone](create-directory-bucket-LZ.md)
+ [Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones](iam-directory-bucket-LZ.md)
# Konzepte für Verzeichnis-Buckets in Local Zones
Bevor Sie einen Verzeichnis-Bucket in einer lokalen Zone erstellen, müssen Sie die ID der lokalen Zone kennen, in der Sie einen Bucket erstellen möchten. Sie können alle Informationen zur lokalen Zone mithilfe der [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html)API-Operation finden. Dieser API-Vorgang listet Informationen zu Local Zones auf, einschließlich ihrer lokalen Zone IDs, der Namen der übergeordneten Regionen, der Netzwerkgrenzgruppen und des Opt-in-Status. Nachdem Sie Ihre ID für die lokale Zone erhalten haben und eingeloggt sind, können Sie einen Verzeichnis-Bucket in der lokalen Zone erstellen. Ein Verzeichnis-Bucket-Name besteht aus einem von Ihnen angegebenen Basisnamen und einem Suffix, das die Zonen-ID des Bucket-Standorts enthält, gefolgt von `--x-s3`.
Eine Local Zone ist über das redundante private Amazon-Netzwerk mit sehr hoher Bandbreite mit der **übergeordneten Region** verbunden. Dadurch erhalten Anwendungen, die in der lokalen Zone ausgeführt werden, schnellen, sicheren und nahtlosen Zugriff auf den Rest AWS-Services der übergeordneten Region. Die **ID der übergeordneten Zone** ist die ID der Zone, die einige Operationen auf der Steuerebene der Local Zone, wie API-Aufrufe, abwickelt. Die **Network Border Group** ist eine einzigartige Gruppe, von der AWS aus öffentliche IP-Adressen veröffentlicht werden. Weitere Informationen zu Local Zones, übergeordneter Region und übergeordneter Zonen-ID finden Sie unter [AWS Local Zones concepts](https://docs.aws.amazon.com/local-zones/latest/ug/concepts-local-zones.html) im AWS Local Zones *User Guide*.
Alle Verzeichnis-Buckets verwenden den Namespace `s3express`, der sich vom Namespace `s3` für Allzweck-Buckets unterscheidet. Bei Verzeichnis-Buckets werden Anforderungen entweder an einen **regionalen** oder einen **zonalen Endpunkt** weitergeleitet. Das Routing wird automatisch für Sie übernommen, wenn Sie AWS-Managementkonsole AWS CLI, oder verwenden AWS SDKs.
API-Operationen auf Bucket-Ebene (wie `CreateBucket` und `DeleteBucket`) werden an regionale Endpunkte weitergeleitet und werden als regionale Endpunkt-API-Operationen bezeichnet. Regionale Endpunkte haben das Format `s3express-control.ParentRegionCode.amazonaws.com`. Alle API-Operationen auf Objektebene (z. B. `PutObject`) und zwei API-Operationen auf Bucket-Ebene (`CreateSession` und `HeadBucket`) werden an zonale Endpunkte weitergeleitet und werden als API-Operationen für zonale Endpunkte bezeichnet. Zonale Endpunkte haben das Format `s3express-LocalZoneID.ParentRegionCode.amazonaws.com`. Eine vollständige Liste der API-Operationen nach Endpunkttyp finden Sie unter [API-Operationen für Verzeichnis-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-differences.html#s3-express-differences-api-operations).
Um von Ihrer Virtual Private Cloud (VPC) aus auf Verzeichnis-Buckets in Local Zones zuzugreifen, können Sie Gateway-VPC-Endpunkte verwenden. Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an. Informationen zur Konfiguration von Gateway-VPC-Endpunkten für den Zugriff auf Verzeichnis-Buckets und Objekte in lokalen Zonen finden Sie unter [Private Konnektivität von Ihrer VPC](connectivity-lz-directory-buckets.md).
# Aktivieren von Konten für Local Zones
Im folgenden Thema wird beschrieben, wie Konten für Dedicated Local Zones aktiviert werden.
Für alle Dienste in AWS Dedicated Local Zones (Dedicated Local Zones), einschließlich Amazon S3, muss Ihr Administrator Ihre aktivieren, AWS-Konto bevor Sie Ressourcen in der Dedicated Local Zone erstellen oder darauf zugreifen können. Sie können den [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html)API-Vorgang verwenden, um den Zugriff Ihrer Konto-ID auf eine lokale Zone zu bestätigen.
Um Ihre Daten in Amazon S3 weiter zu schützen, haben Sie standardmäßig nur Zugriff auf die S3-Ressourcen, die Sie erstellen. Bei Buckets in Local Zones sind alle Einstellungen für S3 Block Public Access standardmäßig aktiviert und S3 Object Ownership ist auf „Bucket-Eigentümer erzwungen“ festgelegt. Diese Einstellungen können nicht geändert werden. Optional können Sie den Bedingungsschlüssel `s3express:AllAccessRestrictedToLocalZoneGroup` in Ihren IAM-Richtlinien verwenden, um den Zugriff auf Gruppen innerhalb der Netzwerkgrenzen der Local Zone zu beschränken. Weitere Informationen finden Sie unter [Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones](iam-directory-bucket-LZ.md).
# Private Konnektivität von Ihrer VPC
Um die Zeit zu reduzieren, die Ihre Pakete im Netzwerk verbringen, konfigurieren Sie Ihre Virtual Private Cloud (VPC) mit einem Gateway-Endpunkt, um auf Verzeichnis-Buckets in Availability Zones zuzugreifen und gleichzeitig den Datenverkehr innerhalb des AWS Netzwerks zu halten, ohne dass zusätzliche Kosten anfallen.
**So konfigurieren Sie einen Gateway-VPC-Endpunkt**
1. Öffnen Sie die [Amazon-VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie **Endpunkt erstellen** aus.
1. Erstellen Sie einen Namen für Ihren Endpunkt.
1. Wählen Sie für **Servicekategorie** die Option **AWS-Services** aus.
1. **Fügen Sie für **Dienste** den Filter **Type=Gateway** hinzu und wählen Sie dann das Optionsfeld neben com.amazonaws aus. *region*.s3express.**
1. Wählen Sie für **VPC** die VPC, in der der Endpunkt erstellt werden soll.
1. Wählen Sie für **Routing-Tabellen** die Routing-Tabelle in Ihrer VPC aus, die vom Endpunkt verwendet werden soll. Nachdem der Endpunkt erstellt wurde, wird der Routing-Tabelle, die Sie in diesem Schritt auswählen, ein Routing-Datensatz hinzugefügt.
1. Wählen Sie für **Richtlinie** **Vollzugriff**, um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt zuzulassen. Wählen Sie andernfalls **Benutzerdefiniert** aus, um eine VPC-Endpunktrichtlinie anzufügen, die die Berechtigungen steuert, die Prinzipale zum Ausführen von Aktionen für Ressourcen über den VPC-Endpunkt haben.
1. Wählen Sie für **IP address type** (IP-Adressentyp) eine der folgenden Optionen aus:
+ **IPv4**— Weisen Sie den Netzwerkschnittstellen des Endpunkts IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben und der Dienst IPv4 Anfragen akzeptiert.
+ **IPv6**— Weist den Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind und der Dienst Anfragen akzeptiert IPv6 .
+ **Dualstack** — Weisen Sie den IPv4 Endpunkt-Netzwerkschnittstellen sowohl als auch IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl als auch IPv6 Adressbereiche haben IPv4 und der Dienst sowohl Anfragen als auch IPv4 Anfragen akzeptiert. IPv6
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **Neues Tag hinzufügen** auswählen und den Schlüssel und den Wert für das Tag eingeben.
1. Wählen Sie **Endpunkt erstellen** aus.
Weitere Informationen zu Gateway-Endpunkten finden Sie unter [Gateway-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) im *AWS PrivateLink -Handbuch*. Für Anwendungsfälle mit Datenresidenz empfehlen wir, den Zugriff auf Ihre Buckets nur von Ihrer VPC aus unter Verwendung von Gateway-VPC-Endpunkten zu aktivieren. Wenn der Zugriff auf eine VPC oder einen VPC-Endpunkt beschränkt ist, können Sie über die, die REST-API AWS-Managementkonsole AWS CLI, und auf die Objekte zugreifen. AWS SDKs
**Anmerkung**
Um den Zugriff auf eine VPC oder einen VPC-Endpunkt mithilfe von zu beschränken AWS-Managementkonsole, müssen Sie den AWS-Managementkonsole privaten Zugriff verwenden. Weitere Informationen finden Sie unter [AWS-Managementkonsole Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html) im *AWS-Managementkonsole -Benutzerhandbuch*.
# Erstellen eines Verzeichnis-Buckets in einer Local Zone
In Dedicated Local Zones können Sie Verzeichnis-Buckets zum Speichern und Abrufen von Objekten in einem bestimmten Datenperimeter erstellen, um Ihre Anwendungsfälle für Datenresidenz und Datenisolierung zu unterstützen. S3-Verzeichnis-Buckets sind der einzige unterstützte Bucket-Typ in lokalen Zonen und enthalten einen Bucket-Speicherorttyp namens `LocalZone`. Der Name eines Verzeichnis-Buckets besteht aus einem Basisnamen, den Sie bereitstellen, und einem Suffix, das die Zonen-ID des Speicherorts Ihres Buckets und `--x-s3` enthält. Mithilfe der [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html)API-Operation können Sie eine Liste der lokalen Zonen IDs abrufen. Weitere Informationen finden Sie unter [Regeln für die Benennung von Verzeichnis-Buckets](directory-bucket-naming-rules.md).
**Anmerkung**
Für alle Dienste in AWS Dedicated Local Zones (Dedicated Local Zones), einschließlich S3, muss Ihr Administrator Sie aktivieren, AWS-Konto bevor Sie Ressourcen in der Dedicated Local Zone erstellen oder darauf zugreifen können. Weitere Informationen finden Sie unter [Aktivieren von Konten für Local Zones](opt-in-directory-bucket-lz.md).
Für die Anforderungen an die Datenresidenz empfehlen wir, den Zugriff auf Ihre Buckets nur von Gateway-VPC-Endpunkten aus zu aktivieren. Weitere Informationen finden Sie unter [Private Konnektivität von Ihrer VPC](connectivity-lz-directory-buckets.md).
Um den Zugriff nur auf Gruppen innerhalb der Netzwerkgrenzen der Local Zone zu beschränken, können Sie den Bedingungsschlüssel `s3express:AllAccessRestrictedToLocalZoneGroup` in Ihren IAM-Richtlinien verwenden. Weitere Informationen finden Sie unter [Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones](iam-directory-bucket-LZ.md).
Im Folgenden werden Möglichkeiten zum Erstellen eines Verzeichnis-Buckets in einer einzelnen lokalen Zone mit den AWS-Managementkonsole Zeichen AWS CLI, und beschrieben AWS SDKs.
## Verwenden der S3-Konsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Navigationsleiste oben auf der Seite den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie als Nächstes die übergeordnete Region einer Local Zone aus, in der Sie einen Verzeichnis-Bucket erstellen möchten.
**Anmerkung**
Weitere Informationen zu übergeordneten Regionen finden Sie unter [Konzepte für Verzeichnis-Buckets in Local Zones](s3-lzs-for-directory-buckets.md).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
Anschließend wird die Seite **Bucket erstellen** geöffnet.
1. Sehen Sie sich unter **Allgemeine Konfiguration** die AWS-Region an, in der Ihr Bucket erstellt wird.
1. Wählen Sie unter **Bucket-Typ** die Option **Verzeichnis** aus.
**Anmerkung**
Wenn Sie eine Region ausgewählt haben, die keine Verzeichnis-Buckets unterstützt, wird als Bucket-Typ standardmäßig ein Allzweck-Bucket verwendet. Um einen Verzeichnis-Bucket zu erstellen, müssen Sie eine unterstützte Region auswählen. Eine Liste der Regionen, die Verzeichnis-Buckets unterstützen, finden Sie unter [Regionale und zonale Endpunkte für Verzeichnis-Buckets](s3-express-Regions-and-Zones.md).
Nach dem Erstellen des Buckets kann der Bucket-Typ nicht mehr geändert werden.
1. Wählen Sie unter **Bucket-Speicherort** eine Local Zone aus, die Sie verwenden möchten.
**Anmerkung**
Die Local Zone kann nicht geändert werden, nachdem der Bucket erstellt wurde.
1. Markieren Sie unter **Bucket-Speicherort** das Kontrollkästchen, um zu bestätigen, dass Ihre Daten im Falle eines Ausfalls der Local Zone möglicherweise nicht verfügbar sind oder verloren gehen.
**Wichtig**
Verzeichnis-Buckets werden über mehrere Geräte hinweg innerhalb einer einzelnen Local Zone gespeichert, speichern jedoch Daten nicht in redundanter Weise über Local Zones hinweg.
1. Geben Sie unter **Bucket-Name** einen Namen für Ihren Verzeichnis-Bucket ein.
Weitere Informationen zu den Benennungsregeln für Verzeichnis-Buckets finden Sie unter [Benennungsregeln für Allzweck-Buckets](bucketnamingrules.md). Dem von Ihnen angegebenen Basisnamen wird automatisch ein Suffix hinzugefügt, wenn Sie einen Verzeichnis-Buckets mit der Konsole erstellen. Dieses Suffix enthält die ID der Availability Zone, die Sie ausgewählt haben.
Der Name eines einmal erstellten Buckets kann nicht nachträglich geändert werden.
**Wichtig**
Geben Sie keine vertrauliche Informationen, wie Kontonummern, im Bucket-Namen an. Der Bucket-Name ist in dem Punkt sichtbar URLs , an dem die Objekte im Bucket angezeigt werden.
1. Unter **Object Ownership** **ist die Einstellung Bucket Owner** erforced automatisch aktiviert und alle Zugriffskontrolllisten (ACLs) sind deaktiviert. Bei Verzeichnis-Buckets ACLs sind sie deaktiviert und können nicht aktiviert werden.
Wenn die Einstellung „**Bucket-Besitzer erzwungen**“ aktiviert ist, besitzt der Bucket-Besitzer automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. ACLs wirkt sich nicht mehr auf die Zugriffsberechtigungen für Daten im S3-Bucket aus. Der Bucket verwendet ausschließlich Richtlinien, um die Zugriffssteuerung zu definieren. Für die meisten modernen Anwendungsfälle in Amazon S3 ist die Verwendung von nicht mehr erforderlich ACLs. Weitere Informationen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
1. Unter **Einstellungen für den öffentlichen Zugriff für diesen Bucket blockieren** werden die Einstellungen für die Blockierung des öffentlichen Zugriffs für Ihren Verzeichnis-Bucket automatisch aktiviert. Diese Einstellung kann für Verzeichnis-Buckets nicht geändert werden. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher](access-control-block-public-access.md).
1. Unter **Standardverschlüsselung** verwenden Verzeichnis-Buckets standardmäßig die **serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)** zum Verschlüsseln von Daten. Sie haben auch die Möglichkeit, Daten in Verzeichnis-Buckets mit **serverseitiger Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS) zu verschlüsseln**.
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
Nachdem Sie den Bucket erstellt haben, können Sie ihm Dateien und Ordner hinzufügen. Weitere Informationen finden Sie unter [Arbeiten mit Objekten in einem Verzeichnis-Bucket](directory-buckets-objects.md).
## Mit dem AWS CLI
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit AWS CLI erstellen. Wenn Sie diesen Befehl verwenden wollen, ersetzen Sie *user input placeholders* durch Ihre eigenen Informationen.
Wenn Sie einen Verzeichnis-Bucket erstellen, müssen Sie Konfigurationsdetails angeben und die folgende Benennungskonvention verwenden: `bucket-base-name--zone-id--x-s3`.
```
aws s3api create-bucket
--bucket bucket-base-name--zone-id--x-s3
--create-bucket-configuration 'Location={Type=LocalZone,Name=local-zone-id},Bucket={DataRedundancy=SingleLocalZone,Type=Directory}'
--region parent-region-code
```
Weitere Informationen zur Local Zone ID und zum Parent Region Code finden Sie unter [Konzepte für Verzeichnis-Buckets in Local Zones](s3-lzs-for-directory-buckets.md). Weitere Informationen über diesen AWS CLI -Befehl finden Sie unter [create-bucket](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html) in der *AWS CLI -Referenz*.
## Mit dem AWS SDKs
------
#### [ SDK for Go ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit AWS SDK für Go erstellen.
**Example**
```
var bucket = "bucket-base-name--zone-id--x-s3" // The full directory bucket name
func runCreateBucket(c *s3.Client) {
resp, err := c.CreateBucket(context.Background(), &s3.CreateBucketInput{
Bucket: &bucket,
CreateBucketConfiguration: &types.CreateBucketConfiguration{
Location: &types.LocationInfo{
Name: aws.String("local-zone-id"),
Type: types.LocationTypeLocalZone,
},
Bucket: &types.BucketInfo{
DataRedundancy: types.DataRedundancySingleLocalZone,
Type: types.BucketTypeDirectory,
},
},
})
var terr *types.BucketAlreadyOwnedByYou
if errors.As(err, &terr) {
fmt.Printf("BucketAlreadyOwnedByYou: %s\n", aws.ToString(terr.Message))
fmt.Printf("noop...\n") // No operation performed, just printing a message
return
}
if err != nil {
log.Fatal(err)
}
fmt.Printf("bucket created at %s\n", aws.ToString(resp.Location))
}
```
------
#### [ SDK for Java 2.x ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit AWS SDK for Java 2.x erstellen.
**Example**
```
public static void createBucket(S3Client s3Client, String bucketName) {
//Bucket name format is {base-bucket-name}--{local-zone-id}--x-s3
//example: doc-example-bucket--local-zone-id--x-s3 is a valid name for a directory bucket created in a Local Zone.
CreateBucketConfiguration bucketConfiguration = CreateBucketConfiguration.builder()
.location(LocationInfo.builder()
.type(LocationType.LOCAL_ZONE)
.name("local-zone-id").build()) //this must match the Local Zone ID in your bucket name
.bucket(BucketInfo.builder()
.type(BucketType.DIRECTORY)
.dataRedundancy(DataRedundancy.SINGLE_LOCAL_ZONE)
.build()).build();
try {
CreateBucketRequest bucketRequest = CreateBucketRequest.builder().bucket(bucketName).createBucketConfiguration(bucketConfiguration).build();
CreateBucketResponse response = s3Client.createBucket(bucketRequest);
System.out.println(response);
}
catch (S3Exception e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ AWS SDK für JavaScript ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit AWS SDK für JavaScript erstellen.
**Example**
```
// file.mjs, run with Node.js v16 or higher
// To use with the preview build, place this in a folder
// inside the preview build directory, such as /aws-sdk-js-v3/workspace/
import { S3 } from "@aws-sdk/client-s3";
const region = "parent-region-code";
const zone = "local-zone-id";
const suffix = `${zone}--x-s3`;
const s3 = new S3({ region });
const bucketName = `bucket-base-name--${suffix}`; // Full directory bucket name
const createResponse = await s3.createBucket(
{ Bucket: bucketName,
CreateBucketConfiguration: {Location: {Type: "LocalZone", Name: "local-zone-id"},
Bucket: { Type: "Directory", DataRedundancy: "SingleLocalZone" }}
}
);
```
------
#### [ SDK für .NET ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit SDK für .NET erstellen.
**Example**
```
using (var amazonS3Client = new AmazonS3Client())
{
var putBucketResponse = await amazonS3Client.PutBucketAsync(new PutBucketRequest
{
BucketName = "bucket-base-name--local-zone-id--x-s3",
PutBucketConfiguration = new PutBucketConfiguration
{
BucketInfo = new BucketInfo { DataRedundancy = DataRedundancy.SingleLocalZone, Type = BucketType.Directory },
Location = new LocationInfo { Name = "local-zone-id", Type = LocationType.LocalZone }
}
}).ConfigureAwait(false);
}
```
------
#### [ SDK for PHP ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit AWS SDK for PHP erstellen.
**Example**
```
require 'vendor/autoload.php';
$s3Client = new S3Client([
'region' => 'parent-region-code',
]);
$result = $s3Client->createBucket([
'Bucket' => 'bucket-base-name--local-zone-id--x-s3',
'CreateBucketConfiguration' => [
'Location' => ['Name'=> 'local-zone-id', 'Type'=> 'LocalZone'],
'Bucket' => ["DataRedundancy" => "SingleLocalZone" ,"Type" => "Directory"] ],
]);
```
------
#### [ SDK for Python ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer lokalen Zone mit AWS SDK für Python (Boto3) erstellen.
**Example**
```
import logging
import boto3
from botocore.exceptions import ClientError
def create_bucket(s3_client, bucket_name, local_zone):
'''
Create a directory bucket in a specified Local Zone
:param s3_client: boto3 S3 client
:param bucket_name: Bucket to create; for example, 'bucket-base-name--local-zone-id--x-s3'
:param local_zone: String; Local Zone ID to create the bucket in
:return: True if bucket is created, else False
'''
try:
bucket_config = {
'Location': {
'Type': 'LocalZone',
'Name': local_zone
},
'Bucket': {
'Type': 'Directory',
'DataRedundancy': 'SingleLocalZone'
}
}
s3_client.create_bucket(
Bucket = bucket_name,
CreateBucketConfiguration = bucket_config
)
except ClientError as e:
logging.error(e)
return False
return True
if __name__ == '__main__':
bucket_name = 'BUCKET_NAME'
region = 'parent-region-code'
local_zone = 'local-zone-id'
s3_client = boto3.client('s3', region_name = region)
create_bucket(s3_client, bucket_name, local_zone)
```
------
#### [ SDK for Ruby ]
Dieses Beispiel veranschaulicht, wie Sie einen Verzeichnis-Bucket in einer Local Zone mit AWS SDK für Ruby erstellen.
**Example**
```
s3 = Aws::S3::Client.new(region:'parent-region-code')
s3.create_bucket(
bucket: "bucket-base-name--local-zone-id--x-s3",
create_bucket_configuration: {
location: { name: 'local-zone-id', type: 'LocalZone' },
bucket: { data_redundancy: 'SingleLocalZone', type: 'Directory' }
}
)
```
------
# Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones
Verzeichnis-Buckets in Local Zones unterstützen sowohl die AWS Identity and Access Management (IAM-) Autorisierung als auch die sitzungsbasierte Autorisierung. Weitere Informationen zur Authentifizierung und Autorisierung für Verzeichnis-Buckets finden Sie unter [Authentifizieren und Autorisieren von Anforderungen](s3-express-authenticating-authorizing.md).
## Ressourcen
Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den `s3express` Namespace, die AWS übergeordnete Region, die AWS-Konto ID und den Verzeichnis-Bucket-Namen, der die Zonen-ID enthält. Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:
```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```
Bei Verzeichnis-Buckets in einer Local Zone ist die Zone ID die ID der Local Zone. Weitere Information zu Verzeichnis-Buckets in Local Zones finden Sie unter [Konzepte für Verzeichnis-Buckets in Local Zones](s3-lzs-for-directory-buckets.md). Weitere Informationen zu ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu Ressourcen finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *IAM-Benutzerhandbuch*.
## Bedingungsschlüssel für Verzeichnis-Buckets in Local Zones
In lokalen Zonen können Sie alle diese [Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys) in Ihren IAM-Richtlinien verwenden. Um einen Datenperimeter rund um die Netzwerkgrenzgruppen Ihrer Local Zone einzurichten, können Sie außerdem den Bedingungsschlüssel `s3express:AllAccessRestrictedToLocalZoneGroup` verwenden, um alle Anforderungen von außerhalb der Gruppen abzulehnen.
Der folgende Bedingungsschlüssel kann verwendet werden, um die Bedingungen zu verfeinern, unter denen eine IAM-Richtlinienanweisung angewendet wird. Eine vollständige Liste der API-Operationen, Richtlinienaktionen und Bedingungsschlüssel, die von Directory-Buckets unterstützt werden, finden Sie unter [Richtlinienaktionen für Directory-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions).
**Anmerkung**
Der folgende Bedingungsschlüssel gilt nur für lokale Zonen und wird in Availability Zones und AWS-Regionen nicht unterstützt.
| API-Operationen | Richtlinienaktionen | Description | Bedingungsschlüssel | Description | Typ |
| --- | --- | --- | --- | --- | --- |
| [Zonale Endpunkt-API-Operationen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html) | s3express:CreateSession | Gewährt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen Endpunkt-API-Operationen gewährt wird, z. B. `CreateSession`, `HeadBucket`, `CopyObject`, `PutObject` und `GetObject`. | s3express:AllAccessRestrictedToLocalZoneGroup | Filtert den gesamten Zugriff auf den Bucket, sofern die Anfrage nicht von den Netzwerkgrenzgruppen der AWS lokalen Zone stammt, die in diesem Bedingungsschlüssel angegeben sind. **Werte:** Wert für die Netzwerkgrenzgruppe der Local Zone | String |
## Beispielrichtlinien
Um den Objektzugriff auf Anfragen innerhalb einer von Ihnen definierten Grenze der Datenresidenz zu beschränken (insbesondere auf eine lokale Zonengruppe, die aus einer Reihe lokaler Zonen besteht, die der gleichen AWS-Regionübergeordnet sind), können Sie eine der folgenden Richtlinien festlegen:
+ Die Service-Kontrollrichtlinie (SCP). Weitere Informationen dazu SCPs finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
+ Die identitätsbasierte IAM-Richtlinie für die IAM-Rolle.
+ Die VPC-Endpunktrichtlinie. Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Handbuch*.
+ Die S3-Bucket-Richtlinie.
**Anmerkung**
Der Bedingungsschlüssel `s3express:AllAccessRestrictedToLocalZoneGroup` unterstützt keinen Zugriff von einer On-Premises-Umgebung aus. Um den Zugriff von einer On-Premises-Umgebung aus zu unterstützen, müssen Sie die Quell-IP zu den Richtlinien hinzufügen. Weitere Informationen finden Sie unter [aws: SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) im IAM-Benutzerhandbuch.
**Example – SCP-Richtlinie**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – Identitätsbasierte IAM-Richtlinie (an die IAM-Rolle angehängt)**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
```
**Example – VPC-Endpunktrichtlinie**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – Bucket-Richtlinie**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```