的文件库访问策略的 Amazon S3 Glacier 访问控制 - Simple Storage Service(Amazon S3)Glacier
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的文件库访问策略的 Amazon S3 Glacier 访问控制

Amazon S3 Glacier 文件库访问策略是一种基于资源的策略,可用于管理对文件库的权限。有关可用的不同权限策略选项的信息,请参阅管理对资源的访问

您可以为每个文件库创建一个文件库访问策略来管理权限。您可以随时修改文件库访问策略中的权限。S3 Glacier 还支持一个文件库对应一个文件库锁定策略,文件库在锁定后就无法更改。有关使用文件库锁定策略的更多信息,请参阅带文件库锁定策略的 Amazon S3 Glacier 访问控制

你可以使用 Glacier API、亚马逊软件开发工具包,Amazon CLI,或者使用 S3 Glacier 控制台创建和管理文件库访问策略。有关基于资源的文件库访问策略允许的操作的列表,请参阅 Amazon S3 Glacier API 权限:操作、资源和条件参考

示例 1:授予特定的 Amazon S3 Glacier 操作的跨账户权限

以下示例策略向两个账户授予两个账户权限。Amazon Web Services 账户用于在名为的文件库上执行一组 S3 Glacier 操作examplevault.

注意

拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

示例 2:授予 MFA 删除操作的跨账户权限

您可以使用多重验证 (MFA) 来保护您的 S3 Glacier 资源。为了提供额外的安全级别,MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问权限的更多信息,请参阅配置受 MFA 保护的 API 访问中的IAM 用户指南.

该示例策略授予Amazon Web Services 账户具有临时凭证权限,用于从名为 examplevault 的文件库中删除存档,前提是请求已通过 MFA 设备验证。此策略使用 aws:MultiFactorAuthPresent 条件键指定这一附加要求。有关更多信息,请参阅 。的条件键中的IAM 用户指南.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }