Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengautentikasi dan mengotorisasi bucket direktori di Local Zones
Bucket direktori di Local Zones mendukung otorisasi AWS Identity and Access Management (IAM) dan otorisasi berbasis sesi. Untuk informasi selengkapnya tentang otentikasi dan otorisasi untuk bucket direktori, lihat. [Mengautentikasi dan mengotorisasi permintaan](s3-express-authenticating-authorizing.md)
## Sumber daya
Amazon Resource Names (ARNs) untuk bucket direktori berisi `s3express` namespace, Region AWS induk, Akun AWS ID, dan nama bucket direktori yang menyertakan ID Zona. Untuk mengakses dan melakukan tindakan pada bucket direktori Anda, Anda harus menggunakan format ARN berikut ini:
```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```
Untuk bucket direktori di Zona Lokal, ID Zona adalah ID dari Zona Lokal. Untuk informasi selengkapnya tentang bucket direktori di Local Zones, lihat[Konsep untuk bucket direktori di Local Zones](s3-lzs-for-directory-buckets.md). Untuk informasi selengkapnya ARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) di *Panduan Pengguna IAM*. Untuk informasi selengkapnya tentang sumber daya, lihat [IAM JSON Policy Elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) di Panduan Pengguna *IAM*.
## Kunci kondisi untuk bucket direktori di Local Zones
Di Local Zones, Anda dapat menggunakan semua [kunci kondisi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys) ini dalam kebijakan IAM Anda. Selain itu, untuk membuat perimeter data di sekitar grup perbatasan jaringan Zona Lokal, Anda dapat menggunakan tombol kondisi `s3express:AllAccessRestrictedToLocalZoneGroup` untuk menolak semua permintaan dari luar grup.
Kunci kondisi berikut dapat digunakan untuk lebih menyempurnakan kondisi di mana pernyataan kebijakan IAM berlaku. Untuk mengetahui daftar lengkap operasi API, tindakan kebijakan, dan kunci kondisi yang didukung oleh bucket direktori, lihat [Tindakan kebijakan untuk bucket direktori](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions).
**catatan**
Kunci kondisi berikut hanya berlaku untuk Local Zones dan tidak didukung di Availability Zones dan Wilayah AWS.
| Operasi API | Tindakan kebijakan | Deskripsi | Kunci syarat | Deskripsi | Tipe |
| --- | --- | --- | --- | --- | --- |
| [Operasi API titik akhir zona](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html) | s3express:CreateSession | Memberikan izin untuk membuat token sesi, yang digunakan untuk memberikan akses ke semua operasi API titik akhir Zonal, seperti,,, `CreateSession``HeadBucket`, `CopyObject` dan. `PutObject` `GetObject` | s3express:AllAccessRestrictedToLocalZoneGroup | Memfilter semua akses ke bucket kecuali permintaan berasal dari grup perbatasan jaringan Zona AWS Lokal yang disediakan dalam kunci kondisi ini. **Nilai: Nilai** grup perbatasan jaringan Zona Lokal | String |
## Contoh kebijakan
Untuk membatasi akses objek ke permintaan dari dalam batas residensi data yang Anda tentukan (khususnya, Grup Zona Lokal yang merupakan kumpulan Local Zones yang diasuh ke yang sama Wilayah AWS), Anda dapat menetapkan salah satu kebijakan berikut:
+ Kebijakan kontrol layanan (SCP). Untuk selengkapnya SCPs, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.
+ Kebijakan berbasis identitas IAM untuk peran IAM.
+ Kebijakan titik akhir VPC. *Untuk informasi selengkapnya tentang kebijakan titik akhir VPC, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di Panduan.AWS PrivateLink *
+ Kebijakan bucket S3.
**catatan**
Kunci kondisi `s3express:AllAccessRestrictedToLocalZoneGroup` tidak mendukung akses dari lingkungan lokal. Untuk mendukung akses dari lingkungan lokal, Anda harus menambahkan IP sumber ke kebijakan. Untuk informasi selengkapnya, lihat [aws: SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) di Panduan Pengguna IAM.
**Example — Kebijakan SCP**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example — Kebijakan berbasis identitas IAM (melekat pada peran IAM)**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
```
**Example — Kebijakan titik akhir VPC**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example — kebijakan ember**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```