库访问策略 - Amazon S3 Glacier
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

如果您不熟悉 Amazon Simple Storage Service (Amazon S3) 中的归档存储功能,建议您先详细了解 Amazon S3 中的 S3 Glacier 存储类、S3 Glacier 即时检索S3 Glacier 灵活检索S3 Glacier 深度归档。有关更多信息,请参阅 Amazon S3 用户指南中的 S3 Glacier 存储类和用于存档对象的存储类。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

库访问策略

Amazon S3 Glacier 文件库访问策略是一种基于资源的策略,可用于管理对文件库的权限。

您可以为每个文件库创建一个文件库访问策略来管理权限。您可以随时修改文件库访问策略中的权限。S3 Glacier 还支持对每个文件库设置文件库锁定策略,文件库被锁定后即无法更改。有关使用文件库锁定策略的更多信息,请参阅文件库锁定策略

示例 1:授予特定的 Amazon S3 Glacier 操作的跨账户权限

以下示例策略向两个 Amazon Web Services 账户授予对名为 examplevault 的文件库执行一组 S3 Glacier 操作的跨账户权限。

注意

拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

示例 2:授予 MFA 删除操作的跨账户权限

您可以使用多重身份验证 (MFA) 来保护您的 S3 Glacier 资源。为了提供额外的安全级别,MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问权限的更多信息,请参阅《IAM 用户指南》中的配置受 MFA 保护的 API 访问

此示例策略向 Amazon Web Services 账户授予临时凭证权限,用于从名为 examplevault 的文件库中删除档案,前提是请求已通过 MFA 设备验证。此策略使用 aws:MultiFactorAuthPresent 条件键指定这一附加要求。有关更多信息,请参阅《IAM 用户指南》中的可用的条件键

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }