本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 資料落地工作負載
AWS 專用本地區域 (專用本地區域) 是一種 AWS 基礎設施,由 完全管理 AWS、專為您或您的社群專用而建置,並放置在您指定的位置或資料中心,以協助符合法規要求。專用本地區域是一種 AWS 本地區域 (本地區域) 產品。如需詳細資訊,請參閱[AWS Dedicated Local Zones](https://aws.amazon.com/dedicatedlocalzones/)。
在 Dedicated Local Zones 中,您可以建立 S3 目錄儲存貯體將資料儲存在特定資料周界,這有助於支援資料落地和隔離使用案例。Dedicated Local Zones 中的目錄儲存貯體可支援 S3 Express One Zone 和 S3 One Zone-Infrequent Access (S3 One Zone-IA、Z-IA) 儲存類別。目錄儲存貯體目前不適用於其他 [AWS Local Zones 位置](https://aws.amazon.com/about-aws/global-infrastructure/localzones/locations/)。
您可以在專用本機區域中使用 AWS 管理主控台、REST API、 AWS Command Line Interface (AWS CLI) 和 AWS SDKs。
如需在 Local Zones 中使用目錄儲存貯體的詳細資訊,請參閱下列主題:
**Topics**
+ [Local Zones 中目錄儲存貯體的概念](s3-lzs-for-directory-buckets.md)
+ [啟用 Local Zones 的帳戶](opt-in-directory-bucket-lz.md)
+ [來自 VPC 的私有連線](connectivity-lz-directory-buckets.md)
+ [在本機區域中建立目錄儲存貯體](create-directory-bucket-LZ.md)
+ [對本機區域中的目錄儲存貯體進行身分驗證和授權](iam-directory-bucket-LZ.md)
# Local Zones 中目錄儲存貯體的概念
在 Local Zone 中建立目錄儲存貯體之前,您必須擁有您要建立儲存貯體的 Local Zone ID。您可以使用 [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html) API 操作來尋找所有 Local Zone 資訊。此 API 操作列出 Local Zones 的相關資訊,包括其 Local Zone ID、父區域、網路邊界群組和選擇加入狀態。在您擁有 Local Zone ID 且選擇加入後,您可以在 Local Zone 中建立目錄儲存貯體。目錄儲存貯體名稱是由您提供的基本名稱,以及包含儲存貯體位置的區域 ID 所組成,字尾為 `--x-s3`。
本機區域使用 Amazon 備援和非常高頻寬的私有網路連線到**父區域**。這可讓在 Local Zone 中執行的應用程式快速、安全且無縫地存取 AWS 服務 父區域中的其餘 。**父區域 ID** 是處理一些 Local Zone 控制平面操作的區域 ID。**網路邊界群組**是用來 AWS 公告公有 IP 地址的唯一群組。如需 Local Zones、父區域和父區域 ID 的詳細資訊,請參閱《[AWS Local Zones 使用者指南》中的 Local Zones 概念](https://docs.aws.amazon.com/local-zones/latest/ug/concepts-local-zones.html)。 AWS * *
所有目錄儲存貯體都會使用 `s3express` 命名空間,這與一般用途儲存貯體的 `s3` 命名空間不同。對於目錄儲存貯體,請求會路由到**地區端點**或**區域端點**。如果您使用 AWS 管理主控台、 或 AWS SDKs AWS CLI,系統會自動為您處理路由。
大多數的儲存貯體層級 API 操作 (例如 `CreateBucket` 和 `DeleteBucket`) 會路由到地區端點,這些操作也稱為地區端點 API 操作。地區端點的格式為 `s3express-control.ParentRegionCode.amazonaws.com`。所有物件層級 API 操作 (例如 `PutObject`) 和兩個儲存貯體層級 API 操作 (`CreateSession` 和 `HeadBucket`) 都會路由到區域端點,這些操作也稱為區域端點 API 操作。區域端點的格式為 `s3express-LocalZoneID.ParentRegionCode.amazonaws.com`。如需依端點類型列出的 API 操作完整清單,請參閱[目錄儲存貯體 API 操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-differences.html#s3-express-differences-api-operations)。
若要從虛擬私有雲端 (VPC) 存取本機區域中的目錄儲存貯體,您可以使用閘道 VPC 端點。使用閘道端點不需額外付費。若要設定閘道 VPC 端點以存取本機區域中的目錄儲存貯體和物件,請參閱[來自 VPC 的私有連線](connectivity-lz-directory-buckets.md)。
# 啟用 Local Zones 的帳戶
下列主題說明如何為 Dedicated Local Zones 啟用帳戶。
對於 AWS 專用本機區域 (專用本機區域) 中的所有服務,包括 Amazon S3,您的管理員必須先啟用您的 , AWS 帳戶 才能在專用本機區域中建立或存取任何資源。您可以使用 [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html) API 操作來確認您的帳戶 ID 的 Local Zone 存取權。
為了進一步保護 Amazon S3 中的資料,您預設只能存取自己建立的 S3 資源。Local Zones 中的儲存貯體預設會啟用所有 S3 封鎖公開存取設定,且 S3 物件擁有權會設定為儲存貯體擁有者強制執行。這些設定無法修改。或者,若要僅限在本機區域網路邊界群組內存取,您可以在 IAM 政策中使用條件索引鍵 `s3express:AllAccessRestrictedToLocalZoneGroup`。如需詳細資訊,請參閱[對本機區域中的目錄儲存貯體進行身分驗證和授權](iam-directory-bucket-LZ.md)。
# 來自 VPC 的私有連線
若要減少封包在網路上花費的時間,請使用閘道端點設定您的虛擬私有雲端 (VPC),以存取可用區域中的目錄儲存貯體,同時將流量保留在 AWS 網路中,無需額外費用。
**設定閘道 VPC 端點**
1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中選擇**端點**。
1. 選擇**建立端點**。
1. 建立端點的名稱。
1. 對於 **Service category** (服務類別),選擇 **AWS 服務**。
1. 針對**服務**,新增篩選條件 **Type=Gateway**,然後選擇 **com.amazonaws.*region*.s3express** 旁邊的選項按鈕。
1. 針對 **VPC**,選擇要在其中建立端點的 VPC。
1. 針對**路由表**,選擇端點要使用之 VPC 中的路由表。建立端點之後,路由記錄會新增至您在此步驟中選取的路由表。
1. 針對**政策**,選擇**完整存取**,以允許 VPC 端點上所有資源的所有主體進行所有操作。否則,選擇**自訂**以連接 VPC 端點政策,該政策會控制主體在 VPC 端點上對資源執行操作的許可。
1. 針對 **IP address type** (IP 地址類型),從下列選項中選擇:
+ **IPv4** – 將 IPv4 地址指派給端點網路介面。只有當所有選取的子網路都具有 IPv4 地址範圍,且此服務接受 IPv4 請求時,才支援此選項。
+ **IPv6** – 將 IPv6 地址指派給端點網路介面。只有當所有選取的子網路都是僅限 IPv6 子網路,且此服務接受 IPv6 請求時,才支援此選項。
+ **Dualstack** – 將 IPv4 和 IPv6 地址指派給端點網路介面。只有當所有選取的子網路都具有 IPv4 和 IPv6 地址範圍,且此服務接受 IPv4 和 IPv6 請求時,才支援此選項。
1. (選用) 若要新增標籤,請選擇**新增標籤**,然後輸入標籤金鑰和標籤值。
1. 選擇**建立端點**。
若要進一步了解閘道 VPC 端點,請參閱《AWS PrivateLink 指南》**中的[閘道端點](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html)。對於資料落地使用案例,建議您只使用閘道 VPC 端點從 VPC 存取儲存貯體。當存取僅限於 VPC 或 VPC 端點時,您可以透過 AWS 管理主控台、REST API AWS CLI和 AWS SDKs存取物件。
**注意**
若要使用 限制對 VPC 或 VPC 端點的存取 AWS 管理主控台,您必須使用 AWS 管理主控台 私有存取。如需詳細資訊,請參閱《AWS 管理主控台 指南》**中的[AWS 管理主控台 私有存取](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)。
# 在本機區域中建立目錄儲存貯體
在 Dedicated Local Zones 中,您可以建立目錄儲存貯體在特定資料周邊儲存和擷取物件,以協助符合您的資料落地和隔離使用案例。S3 目錄儲存貯體是 Local Zones 中唯一支援的儲存貯體類型,且包含稱為 `LocalZone` 的儲存貯體位置類型。目錄儲存貯體名稱是由您提供的基本名稱以及包含儲存貯體位置區域 ID 和 `--x-s3` 的字尾所組成。您可以使用 [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html) API 操作來取得本機區域 ID 清單。如需詳細資訊,請參閱[目錄儲存貯體命名規則](directory-bucket-naming-rules.md)。
**注意**
對於 AWS 專用本機區域 (專用本機區域) 中的所有服務,包括 S3,您的管理員必須先啟用您的 , AWS 帳戶 才能在專用本機區域中建立或存取任何資源。如需詳細資訊,請參閱[啟用 Local Zones 的帳戶](opt-in-directory-bucket-lz.md)。
對於資料落地要求,建議您只從閘道 VPC 端點存取儲存貯體。如需詳細資訊,請參閱[來自 VPC 的私有連線](connectivity-lz-directory-buckets.md)。
若要僅限在本機區域網路邊界群組內存取,您可以在 IAM 政策中使用條件索引鍵 `s3express:AllAccessRestrictedToLocalZoneGroup`。如需詳細資訊,請參閱[對本機區域中的目錄儲存貯體進行身分驗證和授權](iam-directory-bucket-LZ.md)。
以下說明如何使用 AWS 管理主控台 AWS CLI、 和 AWS SDKs 在單一本機區域中建立目錄儲存貯體。
## 使用 S3 主控台
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要在其中建立目錄儲存貯體之本機區域的父區域。
**注意**
如需父區域的詳細資訊,請參閱[Local Zones 中目錄儲存貯體的概念](s3-lzs-for-directory-buckets.md)。
1. 在左側導覽窗格中,選擇 **Buckets** (儲存貯體)。
1. 選擇 **Create bucket** (建立儲存貯體)。
**Create bucket (建立儲存貯體)** 頁面隨即開啟。
1. 在**一般組態**下,檢視您要在其中建立儲存貯體的 AWS 區域 。
1. 針對**儲存貯體類型**,選擇**目錄**。
**注意**
如果您已選擇不支援目錄儲存貯體的區域,儲存貯體類型預設為一般用途儲存貯體。若要建立目錄儲存貯體,您必須選擇支援的區域。如需支援目錄儲存貯體的區域清單,請參閱[目錄儲存貯體的地區和區域端點](s3-express-Regions-and-Zones.md)。
在您建立儲存貯體之後,便無法變更儲存貯體類型。
1. 在**儲存貯體位置**下,選擇您要使用的本機區域。
**注意**
儲存貯體建立之後,就無法變更本機區域。
1. 在**儲存貯體位置**下,選取核取方塊,表示您確實了解在本機區域發生中斷時,您的資料可能無法使用或遺失。
**重要**
雖然目錄儲存貯體會儲存在單一本機區域內的多部裝置,但不會以備援方式跨本機區域儲存資料。
1. 針對**儲存貯體名稱**,輸入您的目錄儲存貯體的名稱。
如需目錄儲存貯體命名規則的詳細資訊,請參閱[一般用途儲存貯體命名規則](bucketnamingrules.md)。當您使用主控台建立目錄儲存貯體時,您提供的基本名稱會自動新增字尾。此字尾包含您所選擇本機區域的區域 ID。
建立儲存貯體後,便無法變更其名稱。
**重要**
請勿在儲存貯體名稱中包含敏感資訊,例如帳號。在指向儲存貯體中之物件的 URL 中,會顯示儲存貯體名稱。
1. 在**物件擁有權**下,會自動啟用**儲存貯體擁有者強制執行**設定,並停用所有存取控制清單 (ACL)。對於目錄儲存貯體,ACL 已停用且無法啟用。
啟用**儲存貯體擁有者強制執行**時,儲存貯體擁有者會自動擁有並完全控制儲存貯體中的每個物件。ACL 不再影響 S3 儲存貯體中資料的存取許可。儲存貯體單獨使用政策來定義存取控制。Amazon S3 中的大多數新式使用案例不再需要使用 ACL。如需詳細資訊,請參閱[控制物件的擁有權並停用儲存貯體的 ACL](about-object-ownership.md)。
1. 在**此儲存貯體的「封鎖公開存取」設定**下,會自動啟用您目錄儲存貯體的所有封鎖公開存取設定。您無法修改目錄儲存貯體的這些設定。如需封鎖公開存取的詳細資訊,請參閱 [封鎖對 Amazon S3 儲存體的公開存取權](access-control-block-public-access.md)。
1. 在**預設加密**下,目錄儲存貯體預設會**使用 Amazon S3 受管金鑰的伺服器端加密 (SSE-S3)** 來加密資料。您也可以選擇使用 ** AWS Key Management Service 金鑰的伺服器端加密 (SSE-KMS) 來加密**目錄儲存貯體中的資料。
1. 選擇**建立儲存貯體**。
建立儲存貯體之後,您可以新增檔案和資料夾至儲存貯體。如需詳細資訊,請參閱[使用目錄儲存貯體中的物件](directory-buckets-objects.md)。
## 使用 AWS CLI
此範例示範如何使用 AWS CLI在本機區域中建立目錄儲存貯體。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
建立目錄儲存貯體時,您必須提供組態詳細資訊,並使用下列命名慣例:`bucket-base-name--zone-id--x-s3`。
```
aws s3api create-bucket
--bucket bucket-base-name--zone-id--x-s3
--create-bucket-configuration 'Location={Type=LocalZone,Name=local-zone-id},Bucket={DataRedundancy=SingleLocalZone,Type=Directory}'
--region parent-region-code
```
如需本機區域 ID 和父區域代碼的詳細資訊,請參閱[Local Zones 中目錄儲存貯體的概念](s3-lzs-for-directory-buckets.md)。如需 AWS CLI 命令的詳細資訊,請參閱AWS CLI 命令參考**中的 [create-bucket](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html)。
## 使用 AWS SDKs
------
#### [ SDK for Go ]
此範例示範如何使用 適用於 Go 的 AWS SDK在本機區域中建立目錄儲存貯體。
**Example**
```
var bucket = "bucket-base-name--zone-id--x-s3" // The full directory bucket name
func runCreateBucket(c *s3.Client) {
resp, err := c.CreateBucket(context.Background(), &s3.CreateBucketInput{
Bucket: &bucket,
CreateBucketConfiguration: &types.CreateBucketConfiguration{
Location: &types.LocationInfo{
Name: aws.String("local-zone-id"),
Type: types.LocationTypeLocalZone,
},
Bucket: &types.BucketInfo{
DataRedundancy: types.DataRedundancySingleLocalZone,
Type: types.BucketTypeDirectory,
},
},
})
var terr *types.BucketAlreadyOwnedByYou
if errors.As(err, &terr) {
fmt.Printf("BucketAlreadyOwnedByYou: %s\n", aws.ToString(terr.Message))
fmt.Printf("noop...\n") // No operation performed, just printing a message
return
}
if err != nil {
log.Fatal(err)
}
fmt.Printf("bucket created at %s\n", aws.ToString(resp.Location))
}
```
------
#### [ SDK for Java 2.x ]
此範例示範如何使用 AWS SDK for Java 2.x在本機區域中建立目錄儲存貯體。
**Example**
```
public static void createBucket(S3Client s3Client, String bucketName) {
//Bucket name format is {base-bucket-name}--{local-zone-id}--x-s3
//example: doc-example-bucket--local-zone-id--x-s3 is a valid name for a directory bucket created in a Local Zone.
CreateBucketConfiguration bucketConfiguration = CreateBucketConfiguration.builder()
.location(LocationInfo.builder()
.type(LocationType.LOCAL_ZONE)
.name("local-zone-id").build()) //this must match the Local Zone ID in your bucket name
.bucket(BucketInfo.builder()
.type(BucketType.DIRECTORY)
.dataRedundancy(DataRedundancy.SINGLE_LOCAL_ZONE)
.build()).build();
try {
CreateBucketRequest bucketRequest = CreateBucketRequest.builder().bucket(bucketName).createBucketConfiguration(bucketConfiguration).build();
CreateBucketResponse response = s3Client.createBucket(bucketRequest);
System.out.println(response);
}
catch (S3Exception e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ 適用於 JavaScript 的 AWS SDK ]
此範例示範如何使用 適用於 JavaScript 的 AWS SDK在本機區域中建立目錄儲存貯體。
**Example**
```
// file.mjs, run with Node.js v16 or higher
// To use with the preview build, place this in a folder
// inside the preview build directory, such as /aws-sdk-js-v3/workspace/
import { S3 } from "@aws-sdk/client-s3";
const region = "parent-region-code";
const zone = "local-zone-id";
const suffix = `${zone}--x-s3`;
const s3 = new S3({ region });
const bucketName = `bucket-base-name--${suffix}`; // Full directory bucket name
const createResponse = await s3.createBucket(
{ Bucket: bucketName,
CreateBucketConfiguration: {Location: {Type: "LocalZone", Name: "local-zone-id"},
Bucket: { Type: "Directory", DataRedundancy: "SingleLocalZone" }}
}
);
```
------
#### [ 適用於 .NET 的 SDK ]
此範例示範如何使用 適用於 .NET 的 SDK在本機區域中建立目錄儲存貯體。
**Example**
```
using (var amazonS3Client = new AmazonS3Client())
{
var putBucketResponse = await amazonS3Client.PutBucketAsync(new PutBucketRequest
{
BucketName = "bucket-base-name--local-zone-id--x-s3",
PutBucketConfiguration = new PutBucketConfiguration
{
BucketInfo = new BucketInfo { DataRedundancy = DataRedundancy.SingleLocalZone, Type = BucketType.Directory },
Location = new LocationInfo { Name = "local-zone-id", Type = LocationType.LocalZone }
}
}).ConfigureAwait(false);
}
```
------
#### [ SDK for PHP ]
此範例示範如何使用 AWS SDK for PHP在本機區域中建立目錄儲存貯體。
**Example**
```
require 'vendor/autoload.php';
$s3Client = new S3Client([
'region' => 'parent-region-code',
]);
$result = $s3Client->createBucket([
'Bucket' => 'bucket-base-name--local-zone-id--x-s3',
'CreateBucketConfiguration' => [
'Location' => ['Name'=> 'local-zone-id', 'Type'=> 'LocalZone'],
'Bucket' => ["DataRedundancy" => "SingleLocalZone" ,"Type" => "Directory"] ],
]);
```
------
#### [ SDK for Python ]
此範例示範如何使用 適用於 Python (Boto3) 的 AWS SDK在本機區域中建立目錄儲存貯體。
**Example**
```
import logging
import boto3
from botocore.exceptions import ClientError
def create_bucket(s3_client, bucket_name, local_zone):
'''
Create a directory bucket in a specified Local Zone
:param s3_client: boto3 S3 client
:param bucket_name: Bucket to create; for example, 'bucket-base-name--local-zone-id--x-s3'
:param local_zone: String; Local Zone ID to create the bucket in
:return: True if bucket is created, else False
'''
try:
bucket_config = {
'Location': {
'Type': 'LocalZone',
'Name': local_zone
},
'Bucket': {
'Type': 'Directory',
'DataRedundancy': 'SingleLocalZone'
}
}
s3_client.create_bucket(
Bucket = bucket_name,
CreateBucketConfiguration = bucket_config
)
except ClientError as e:
logging.error(e)
return False
return True
if __name__ == '__main__':
bucket_name = 'BUCKET_NAME'
region = 'parent-region-code'
local_zone = 'local-zone-id'
s3_client = boto3.client('s3', region_name = region)
create_bucket(s3_client, bucket_name, local_zone)
```
------
#### [ SDK for Ruby ]
此範例示範如何使用 適用於 Ruby 的 AWS SDK在本機區域中建立目錄儲存貯體。
**Example**
```
s3 = Aws::S3::Client.new(region:'parent-region-code')
s3.create_bucket(
bucket: "bucket-base-name--local-zone-id--x-s3",
create_bucket_configuration: {
location: { name: 'local-zone-id', type: 'LocalZone' },
bucket: { data_redundancy: 'SingleLocalZone', type: 'Directory' }
}
)
```
------
# 對本機區域中的目錄儲存貯體進行身分驗證和授權
Local Zones 中的目錄儲存貯體支援 AWS Identity and Access Management (IAM) 授權和工作階段型授權。如需對目錄儲存貯體進行身分驗證和授權的詳細資訊,請參閱[驗證和授權請求](s3-express-authenticating-authorizing.md)。
## Resources
目錄儲存貯體的 Amazon Resource Name (ARNs) 包含`s3express`命名空間、 AWS 父區域、 AWS 帳戶 ID 和包含區域 ID 的目錄儲存貯體名稱。若要存取並對目錄儲存貯體執行動作,您必須使用下列 ARN 格式:
```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```
對於本機區域中的目錄儲存貯體,區域 ID 是本機區域的 ID。如需有關 Local Zones 內目錄儲存貯體的詳細資訊,請參閱[Local Zones 中目錄儲存貯體的概念](s3-lzs-for-directory-buckets.md)。如需 ARN 的詳細資訊,請參閱「IAM 使用者指南」**中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。如需資源的詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM JSON 政策元素:Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
## 本機區域中目錄儲存貯體的條件索引鍵
在 Local Zones 中,您可以在 IAM 政策中使用所有這些[條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys)。此外,若要在本機區域網路邊界群組周圍建立資料周邊,您可以使用條件索引鍵 `s3express:AllAccessRestrictedToLocalZoneGroup` 拒絕來自群組外部的所有請求。
您可以使用下列條件索引鍵來進一步縮小套用 IAM 政策陳述式的條件。如需目錄儲存貯體支援的 API 操作、政策動作和條件索引鍵完整清單,請參閱[目錄儲存貯體的政策動作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions)。
**注意**
下列條件索引鍵僅適用於本機區域,可用區域和 AWS 區域並不支援。
| API 操作 | 政策動作 | Description | 條件金鑰 | 說明 | Type |
| --- | --- | --- | --- | --- | --- |
| [區域端點 API 操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html) | s3express:CreateSession | 准許建立工作階段權杖,此權杖用於授予所有區域端點 API 操作的存取權,例如 `CreateSession`、`HeadBucket`、`CopyObject`、`PutObject` 和 `GetObject`。 | s3express:AllAccessRestrictedToLocalZoneGroup | 篩選儲存貯體的所有存取權,除非請求來自此條件金鑰中提供的 AWS Local Zone 網路邊界群組。 **值:**本機區域網路邊界群組值 | String |
## 政策範例
若要限制物件存取來自您定義之資料落地界限內的請求 (具體而言,本機區域群組是相同 AWS 區域的一組父本機區域),您可以設定下列任何政策:
+ 服務控制政策 (SCP)。如需 SCP 的資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ IAM 角色的 IAM 身分型政策。
+ VPC 端點政策。如需 VPC 端點政策的詳細資訊,請參閱《AWS PrivateLink 指南》**中的[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
+ S3 儲存貯體政策。
**注意**
條件索引鍵 `s3express:AllAccessRestrictedToLocalZoneGroup` 不支援從內部部署環境進行存取。若要支援從內部部署環境進行存取,您必須將來源 IP 新增至政策。如需詳細資訊,請參閱《IAM 使用者指南》中的 [aws:SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip)。
**Example – SCP 政策**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – IAM 身分型政策 (連接至 IAM 角色)**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
```
**Example – VPC 端點政策**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – 儲存貯體政策**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```