Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richtlinien für den Tresorzugriff
Eine Amazon S3 Glacier ist eine auf Ressourcen basierende Richtlinie, die Sie verwenden können, um Berechtigungen für Ihren Tresor zu verwalten.
Sie können eine Tresorzugriffsrichtlinie für jeden Tresor erstellen, um Berechtigungen zu verwalten. Sie können die Berechtigungen in einer Tresorzugriffsrichtlinie jederzeit ändern. S3 Glacier unterstützt auch eine Tresorsperrrichtlinie für jeden Tresor, die nach dem Sperren nicht mehr geändert werden kann. Weitere Informationen zur Arbeit mit Tresorverriegelungs-Richtlinien finden Sie unter Tresorverriegelungs-Richtlinien.
Beispiele
Beispiel 1: Kontoübergreifende Berechtigungen für bestimmte Amazon S3 Glacier-Aktionen gewähren
Die folgende Beispielrichtlinie gewährt zwei kontoübergreifenden BerechtigungenAWS-Konten für eine Reihe von S3 Glacier-Vorgängen in einem Tresor namensexamplevault.
Anmerkung
Dem Konto, das den Tresor besitzt, werden alle mit dem Tresor verbundenen Kosten in Rechnung gestellt. Alle Kosten für Anfragen, Datentransfer und Abruf, die von berechtigten externen Konten getätigt werden, werden dem Konto in Rechnung gestellt, das den Tresor besitzt.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }
Beispiel 2: Berechtigungen über Konten hinweg für MFA-Löschoperationen erteilen
Sie können die Multi-Factor Authentication (MFA) verwenden, um Ihre S3 Glacier Glacier Glacier Glacier zu schützen. Um ein zusätzliches Maß an Sicherheit zu bieten, verlangt MFA, dass Benutzer den physischen Besitz eines MFA-Geräts anhand eines gültigen MFA-Codes nachweisen. Weitere Informationen zur Konfiguration des MFA-Zugriffs finden Sie unter Konfiguration eines MFA-geschützten API-Zugriffs im IAM-Benutzerhandbuch.
Die Beispielrichtlinie gewährt einer PersonAWS-Konto mit temporären Anmeldeinformationen die Berechtigung, Archive aus einem Tresor namens examplevault zu löschen, sofern die Anforderung mit einem MFA-Gerät authentifiziert wird. Die Richtlinie verwendet den Bedingungsschlüssel aws:MultiFactorAuthPresent, um diese zusätzliche Anforderung anzugeben. Weitere Informationen finden Sie unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }
