此页面仅适用于使用保管库的 S3 Glacier 服务的现有客户以及 2012 年以RESTAPI来的原始客户。
如果您正在寻找档案存储解决方案,我们建议您在亚马逊 S3、S3 Glacier 即时检索、S3 Glacier 灵活检索和 S3 Glacier Deep Archive Dee p Archive 中使用 S3 Glacier 存储类。要了解有关这些存储选项的更多信息,请参阅 Amazon S3 用户指南中的 S3 Glacier 存储类
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
库访问策略
Amazon S3 Glacier 文件库访问策略是一种基于资源的策略,可用于管理对文件库的权限。
您可以为每个文件库创建一个文件库访问策略来管理权限。您可以随时修改文件库访问策略中的权限。S3 Glacier 还支持对每个文件库设置文件库锁定策略,文件库被锁定后即无法更改。有关使用文件库锁定策略的更多信息,请参阅文件库锁定策略。
示例 1:授予特定的 Amazon S3 Glacier 操作的跨账户权限
以下示例策略向两个 Amazon Web Services 账户 授予对名为 examplevault 的文件库执行一组 S3 Glacier 操作的跨账户权限。
注意
拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }
示例 2:授予跨账户MFA删除操作权限
您可以使用多重身份验证 (MFA) 来保护您的 S3 Glacier 资源。为了提供额外的安全级别,MFA要求用户通过提供有效的MFA代码来证明实际拥有MFA设备。有关配置MFA访问权限的更多信息,请参阅《IAM用户指南》中的配置MFA受保护的API访问权限。
示例策略向 Amazon Web Services 账户 具有临时证书的用户授予从名为 examplevault 的文件库中删除档案的权限,前提是该请求已通过设备进行身份MFA验证。此策略使用 aws:MultiFactorAuthPresent 条件键指定这一附加要求。有关更多信息,请参阅《IAM用户指南》中的条件可用密钥。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }