Amazon Glacier
开发人员指南 (API 版本 2012-06-01)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用文件库访问策略的 Amazon Glacier 访问控制

Amazon Glacier 文件库访问策略 是一种基于资源的策略,可用于管理对文件库的权限。有关可用的不同权限策略选项的信息,请参阅管理对资源的访问

您可以为每个文件库创建一个文件库访问策略来管理权限。您可以随时修改文件库访问策略中的权限。此外,Amazon Glacier 支持一个文件库对应一个文件库锁定策略,文件库在锁定后就无法更改。有关使用文件库锁定策略的更多信息,请参阅使用文件库锁定策略的 Amazon Glacier 访问控制

可以使用 Amazon Glacier API、AWS SDK、AWS CLI 或 Amazon Glacier 控制台创建和管理文件库访问策略。有关基于资源的文件库访问策略允许的 Amazon Glacier 操作的列表,请参阅Amazon Glacier API 权限:操作、资源和条件参考

示例 1:授予特定的 Amazon Glacier 操作的跨账户权限

以下示例策略向两个 AWS 账户授予对名为 examplevault 的文件库执行一组 Amazon Glacier 操作的跨账户权限。

注意

拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

示例 2:向所有 AWS 账户授予只读权限

以下示例策略授予的权限允许所有 AWS 账户执行 Amazon Glacier 操作以在名为 examplevault 的文件库中检索任何存档。检索到的存档对这些账户是只读的。

{ "Version":"2012-10-17", "Statement":[ { "Sid": "add-read-only-perm", "Principal": "*", "Effect": "Allow", "Action": [ "glacier:InitiateJob", "glacier:GetJobOutput" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

示例 3:授予 MFA 删除操作的跨账户权限

您可以使用多重验证 (MFA) 来保护您的 Amazon Glacier 资源。为了提供额外的安全级别,MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问的更多信息,请参阅 IAM 用户指南 中的配置受 MFA 保护的 API 访问

此示例策略向 AWS 账户授予临时凭证权限,用于从名为 examplevault 的文件库中删除存档,前提是请求已通过 MFA 设备验证。此策略使用 aws:MultiFactorAuthPresent 条件键指定这一附加要求。有关更多信息,请参阅IAM 用户指南中的条件的可用密钥

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }