# Autenticação e autorização para buckets de diretório em zonas locais
<a name="iam-directory-bucket-LZ"></a>

Os buckets de diretório em zonas locais oferecem suporte à autorização do AWS Identity and Access Management (IAM) e à autorização baseada em sessão. Para ter mais informações sobre autenticação e autorização para buckets de diretório, consulte [Autenticar e autorizar solicitações](s3-express-authenticating-authorizing.md).

## Recursos
<a name="directory-bucket-lz-resources"></a>

Os nomes de recurso da Amazon (ARNs) para buckets de diretório contêm o namespace `s3express`, a região principal da AWS, o ID da Conta da AWS e o nome do bucket de diretório, que inclui o ID da zona. Para acessar e executar ações no bucket de diretório, você deve usar o seguinte formato de ARN:

```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```

Para buckets de diretório em uma zona local, o ID da zona é o ID da zona local. Para ter mais informações sobre os buckets de diretório em zonas locais, consulte [Conceitos para buckets de diretório em zonas locais](s3-lzs-for-directory-buckets.md). Para obter mais informações sobre ARNs, consulte [Nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) no *Guia do usuário do IAM*. Para ter mais informações sobre recursos, consulte [Elementos de política JSON do IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do IAM*.

## Chaves de condição para buckets de diretório em zonas locais
<a name="condition-key-db-lz"></a>

Em zonas locais, você pode usar todas essas [chaves de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys) nas políticas do IAM. Além disso, para criar um perímetro de dados em torno dos grupos de fronteira da rede da zona local, você pode usar a chave de condição `s3express:AllAccessRestrictedToLocalZoneGroup` para negar todas as solicitações de fora dos grupos. 

A chave de condição a seguir pode ser usada para refinar ainda mais as condições sob as quais a instrução de política do IAM se aplica. Para conferir uma lista completa de operações de API, ações de política e chaves de condição compatíveis com buckets de diretório, consulte [Ações de política para buckets de diretório](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions).

**nota**  
A chave de condição a seguir se aplica somente às zonas locais e não é compatível com zonas de disponibilidade e Regiões da AWS.


| Operações de API | Ações de políticas | Descrição | Chave de condição | Descrição | Tipo | 
| --- | --- | --- | --- | --- | --- | 
|  [Operações de API de endpoint zonal](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html)  |  s3express:CreateSession  |  Concede permissão para criar um token de sessão, que é usado para conceder acesso a todas as operações de API de endpoint zonal, como `CreateSession`, `HeadBucket`, `CopyObject`, `PutObject` e `GetObject`.  |  s3express:AllAccessRestrictedToLocalZoneGroup  | Filtra todo o acesso ao bucket, a menos que a solicitação seja originada dos grupos de fronteira da rede da zona local da AWS fornecidos nessa chave de condição.  **Valores:** valor do grupo de borda da rede da zona local.   |  String  | 

## Exemplo de política
<a name="directory-bucket-lz-policies"></a>

Para restringir o acesso a objetos às solicitações de dentro de um limite de residência de dados definido por você (especificamente, um grupo de zonas locais, que é um conjunto de zonas locais associadas à mesma Região da AWS), você pode definir uma das seguintes políticas:
+ A política de controle de serviços (SCP). Para ter mais informações sobre as SCPs, consulte [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.
+ A política baseada em identidade do IAM para o perfil do IAM.
+ A política de endpoint da VPC. Para ter mais informações sobre as políticas de endpoint da VPC, consulte [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink*.
+ A política de bucket do S3.

**nota**  
A chave de condição `s3express:AllAccessRestrictedToLocalZoneGroup` não oferece suporte ao acesso por meio de um ambiente on-premises. Para oferecer suporte ao acesso por meio de um ambiente on-premises, é necessário adicionar o IP de origem às políticas. Para ter mais informações, consulte [aws:SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) no Guia do usuário do IAM. 

**Example – Política SCP**  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
```

**Example – Política baseada em identidade do IAM (anexada ao perfil do IAM)**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
```

**Example Política de endpoint da VPC**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
```

**Example – Política de bucket**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
```