本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對本機區域中的目錄儲存貯體進行身分驗證和授權
Local Zones 中的目錄儲存貯體支援 AWS Identity and Access Management (IAM) 授權和工作階段型授權。如需對目錄儲存貯體進行身分驗證和授權的詳細資訊,請參閱[驗證和授權請求](s3-express-authenticating-authorizing.md)。
## Resources
目錄儲存貯體的 Amazon Resource Name (ARNs) 包含`s3express`命名空間、 AWS 父區域、 AWS 帳戶 ID 和包含區域 ID 的目錄儲存貯體名稱。若要存取並對目錄儲存貯體執行動作,您必須使用下列 ARN 格式:
```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```
對於本機區域中的目錄儲存貯體,區域 ID 是本機區域的 ID。如需有關 Local Zones 內目錄儲存貯體的詳細資訊,請參閱[Local Zones 中目錄儲存貯體的概念](s3-lzs-for-directory-buckets.md)。如需 ARN 的詳細資訊,請參閱「IAM 使用者指南」**中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。如需資源的詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM JSON 政策元素:Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
## 本機區域中目錄儲存貯體的條件索引鍵
在 Local Zones 中,您可以在 IAM 政策中使用所有這些[條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys)。此外,若要在本機區域網路邊界群組周圍建立資料周邊,您可以使用條件索引鍵 `s3express:AllAccessRestrictedToLocalZoneGroup` 拒絕來自群組外部的所有請求。
您可以使用下列條件索引鍵來進一步縮小套用 IAM 政策陳述式的條件。如需目錄儲存貯體支援的 API 操作、政策動作和條件索引鍵完整清單,請參閱[目錄儲存貯體的政策動作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions)。
**注意**
下列條件索引鍵僅適用於本機區域,可用區域和 AWS 區域並不支援。
| API 操作 | 政策動作 | Description | 條件金鑰 | 說明 | Type |
| --- | --- | --- | --- | --- | --- |
| [區域端點 API 操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html) | s3express:CreateSession | 准許建立工作階段權杖,此權杖用於授予所有區域端點 API 操作的存取權,例如 `CreateSession`、`HeadBucket`、`CopyObject`、`PutObject` 和 `GetObject`。 | s3express:AllAccessRestrictedToLocalZoneGroup | 篩選儲存貯體的所有存取權,除非請求來自此條件金鑰中提供的 AWS Local Zone 網路邊界群組。 **值:**本機區域網路邊界群組值 | String |
## 政策範例
若要限制物件存取來自您定義之資料落地界限內的請求 (具體而言,本機區域群組是相同 AWS 區域的一組父本機區域),您可以設定下列任何政策:
+ 服務控制政策 (SCP)。如需 SCP 的資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ IAM 角色的 IAM 身分型政策。
+ VPC 端點政策。如需 VPC 端點政策的詳細資訊,請參閱《AWS PrivateLink 指南》**中的[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
+ S3 儲存貯體政策。
**注意**
條件索引鍵 `s3express:AllAccessRestrictedToLocalZoneGroup` 不支援從內部部署環境進行存取。若要支援從內部部署環境進行存取,您必須將來源 IP 新增至政策。如需詳細資訊,請參閱《IAM 使用者指南》中的 [aws:SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip)。
**Example – SCP 政策**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – IAM 身分型政策 (連接至 IAM 角色)**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
```
**Example – VPC 端點政策**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – 儲存貯體政策**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```