Amazon S3 Glacier 访问控制和文件库访问策略 - Amazon S3 Glacier
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 Glacier 访问控制和文件库访问策略

Amazon S3 Glacier 文件库访问策略是一种基于资源的策略,可用于管理对文件库的权限。有关可用的不同权限策略选项的信息,请参阅管理对资源的访问

您可以为每个文件库创建一个文件库访问策略来管理权限。您可以随时修改文件库访问策略中的权限。S3 Glacier 还支持对每个文件库执行文件库锁定策略,文件库在锁定后就无法更改。有关使用文件库锁定策略的更多信息,请参阅Amazon S3 Glacier 访问控制与文件库锁定策略

您可以使用冰川 API、亚马逊软件开发工具包、Amazon CLI或 S3 Glacier 控制台创建和管理文件库访问策略。有关基于资源的文件库访问策略允许的操作的列表,请参阅 Amazon S3 Glacier API 权限:操作、资源和条件参考

示例 1:授予特定的 Amazon S3 Glacier 操作的跨账户权限

以下示例策略授予两个 Amazon Web Services 账户 ,了解一组名为examplevault

注意

拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

示例 2:授予 MFA 删除操作的跨账户权限

可以使用多重身份验证 (MFA) 来保护您的 S3 Glacier 资源。为了提供额外的安全级别,MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问权限的更多信息,请参阅配置受 MFA 保护的 API 访问中的IAM 用户指南

示例策略授予 Amazon Web Services 账户 具有临时凭证权限,可从名为 examplevault 的文件库中删除存档,前提是请求已通过 MFA 设备验证。此策略使用 aws:MultiFactorAuthPresent 条件键指定这一附加要求。有关更多信息,请参阅 。适用于条件的可用键中的IAM 用户指南

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }