로컬 영역의 디렉터리 버킷에 대한 인증 및 권한 부여 - Amazon Simple Storage Service
리소스로컬 영역의 디렉터리 버킷에 대한 조건 키정책 예제

로컬 영역의 디렉터리 버킷에 대한 인증 및 권한 부여

로컬 영역의 디렉터리 버킷은 AWS Identity and Access Management(IAM) 권한 부여와 세션 기반 권한 부여를 모두 지원합니다. 디렉터리 버킷의 인증 및 권한 부여에 대한 자세한 내용은 요청 인증 및 권한 부여 섹션을 참조하세요.

리소스

디렉터리 버킷의 Amazon 리소스 이름(ARN)에는 s3express 네임스페이스, AWS 상위 리전, AWS 계정 ID 및 디렉터리 버킷 이름(영역 ID 포함)이 포함됩니다. 디렉터리 버킷에 액세스하고 작업을 수행하려면 다음 ARN 형식을 사용해야 합니다.

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

로컬 영역의 디렉터리 버킷의 경우 영역 ID는 로컬 영역의 ID입니다. 로컬 영역의 디렉터리 버킷에 대한 자세한 내용은 로컬 영역의 디렉터리 버킷에 대한 개념 섹션을 참조하세요. ARN에 대한 자세한 내용은 IAM 사용 설명서Amazon 리소스 이름(ARN)을 참조하세요. 리소스에 대한 자세한 내용은 IAM 사용 설명서IAM JSON 정책 요소: Resource를 참조하세요.

로컬 영역의 디렉터리 버킷에 대한 조건 키

로컬 영역에서는 IAM 정책의 모든 디렉터리 버킷의 조건 키를 사용할 수 있습니다. 또한 로컬 영역 네트워크 경계 그룹 주위에 데이터 경계를 생성하려면 s3express:AllAccessRestrictedToLocalZoneGroup 조건 키를 사용하여 그룹 외부의 모든 요청을 거부하면 됩니다.

IAM 정책 문이 적용되는 조건을 더 세분화하는 데 다음 조건 키를 사용할 수 있습니다. 디렉터리 버킷에서 지원하는 API 작업, 정책 작업 및 조건 키의 전체 목록은 Policy actions for directory buckets을 참조하세요.

참고

다음 조건 키는 로컬 영역에만 적용되며 가용 영역 및 AWS 리전에서는 지원되지 않습니다.

API 작업 정책 작업 설명 조건 키 설명 형식
영역 엔드포인트 API 작업 s3express:CreateSession

모든 영역 엔드포인트 API 작업(예: CreateSession, HeadBucket, CopyObject, PutObject, GetObject)에 대한 액세스 권한을 부여하는 데 사용되는 세션 토큰을 생성할 권한을 부여합니다.

 s3express:AllAccessRestrictedToLocalZoneGroup

요청이 이 조건 키에 제공된 AWS 로컬 영역 네트워크 경계 그룹에서 시작되지 않는 한 버킷에 대한 모든 액세스를 필터링합니다.

값: 로컬 영역 네트워크 경계 그룹 값

String

정책 예제

정의한 데이터 레지던시 경계(구체적으로, 동일한 AWS 리전의 상위 로컬 영역 집합인 로컬 영역 그룹) 내의 요청에 대한 객체 액세스를 제한하려면 다음 정책 중 하나를 설정하면 됩니다.

참고

s3express:AllAccessRestrictedToLocalZoneGroup 조건 키는 온프레미스 환경에서 시작되는 액세스를 지원하지 않습니다. 온프레미스 환경에서 시작되는 액세스를 지원하려면 정책에 소스 IP를 추가해야 합니다. 자세한 내용은 IAM 사용 설명서의 aws:SourceIp를 참조하세요.

예 – SCP 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
예 – IAM ID 기반 정책(IAM 역할에 연결됨)

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
예 - VPC 엔드포인트 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
예 - 버킷 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}