库访问策略 - Amazon S3 Glacier
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

此页面仅适用于使用 Vaults 和 2012 年原始 REST API 的 S3 Glacier 服务的现有客户。

如果您正在寻找档案存储解决方案,我们建议您在亚马逊 S3、S3 Glacier 即时检索、S3 Glacier 灵活检索和 S3 Glacier Deep Archive Dee p Archive 中使用 S3 Glacier 存储类。要了解有关这些存储选项的更多信息,请参阅 Amazon S3 用户指南中的 S3 Glacier 存储类和使用 S3 Glacier 存储类的长期数据存储。这些存储类别使用 Amazon S3 API,适用于所有区域,并且可以在 Amazon S3 控制台中进行管理。它们提供存储成本分析、存储镜头、包括多种加密选项在内的安全功能等功能。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

库访问策略

Amazon S3 Glacier 文件库访问策略是一种基于资源的策略,可用于管理对文件库的权限。

您可以为每个文件库创建一个文件库访问策略来管理权限。您可以随时修改文件库访问策略中的权限。S3 Glacier 还支持对每个文件库设置文件库锁定策略,文件库被锁定后即无法更改。有关使用文件库锁定策略的更多信息,请参阅文件库锁定策略

示例 1:授予特定的 Amazon S3 Glacier 操作的跨账户权限

以下示例策略向两个 Amazon Web Services 账户 授予对名为 examplevault 的文件库执行一组 S3 Glacier 操作的跨账户权限。

注意

拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

示例 2:授予 MFA 删除操作的跨账户权限

您可以使用多重身份验证 (MFA) 来保护您的 S3 Glacier 资源。为了提供额外的安全级别,MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问权限的更多信息,请参阅《IAM 用户指南》中的配置受 MFA 保护的 API 访问

示例策略向 Amazon Web Services 账户 具有临时证书的用户授予从名为 examplevault 的文件库中删除档案的权限,前提是该请求已使用 MFA 设备进行身份验证。此策略使用 aws:MultiFactorAuthPresent 条件键指定这一附加要求。有关更多信息,请参阅《IAM 用户指南》中的可用的条件键

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }