Richtlinien für den Tresorzugriff - Amazon S3 Glacier

Wenn Sie mit dem Archivierungsspeicher in Amazon Simple Storage Service (Amazon S3) noch nicht vertraut sind, empfehlen wir Ihnen, sich zunächst über die S3-Glacier-Speicherklassen in Amazon S3 (S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive) zu informieren. Weitere Informationen finden Sie unter S3-Glacier-Speicherklassen und Speicherklassen für die Archivierung von Objekten im Amazon S3-Benutzerhandbuch.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für den Tresorzugriff

Eine Tresorzugriffsrichtlinie in Amazon S3 Glacier ist eine ressourcenbasierte Richtlinie, mit der Sie die Berechtigungen für Ihren Tresor verwalten können.

Sie können eine Tresorzugriffsrichtlinie für jeden Tresor erstellen, um Berechtigungen zu verwalten. Sie können die Berechtigungen in einer Tresorzugriffsrichtlinie jederzeit ändern. S3 Glacier unterstützt auch eine Tresorverriegelungsrichtlinie für jeden Tresor, die nach dem Verriegeln nicht mehr geändert werden kann. Weitere Informationen zur Arbeit mit Tresorverriegelungs-Richtlinien finden Sie unter Tresorverriegelungs-Richtlinien.

Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen

Die folgende Beispielrichtlinie erteilt zwei AWS-Konten-Konten kontoübergreifende Berechtigungen für eine Reihe von S3-Glacier-Operationen in einem Tresor namens examplevault.

Anmerkung

Dem Konto, das den Tresor besitzt, werden alle mit dem Tresor verbundenen Kosten in Rechnung gestellt. Alle Kosten für Anfragen, Datentransfer und Abruf, die von berechtigten externen Konten getätigt werden, werden dem Konto in Rechnung gestellt, das den Tresor besitzt.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

Beispiel 2: Berechtigungen über Konten hinweg für MFA-Löschoperationen erteilen

Sie können die Multi-Faktor-Authentifizierung (MFA) verwenden, um Ihre S3-Glacier-Ressourcen zu schützen. Um ein zusätzliches Maß an Sicherheit zu bieten, verlangt MFA, dass Benutzer den physischen Besitz eines MFA-Geräts anhand eines gültigen MFA-Codes nachweisen. Weitere Informationen zum Konfigurieren des MFA-Zugriffs finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs im IAM-Benutzerhandbuch.

Die Beispielrichtlinie erteilt einem AWS-Konto mit temporären Anmeldeinformationen die Berechtigung, Archive aus einem Tresor namens „examplevault“ zu löschen, vorausgesetzt die Anforderung wird mit einem MFA-Gerät authentifiziert. Die Richtlinie verwendet den Bedingungsschlüssel aws:MultiFactorAuthPresent, um diese zusätzliche Anforderung anzugeben. Weitere Informationen finden Sie im Artikel zu verfügbaren Schlüsseln für Bedingungen im IAM-Benutzerhandbuch.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }