Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen Beispiel 2: Berechtigungen über Konten hinweg für MFA-Löschoperationen erteilen

Diese Seite richtet sich nur an Bestandskunden des S3 Glacier-Dienstes, die Vaults und die ursprüngliche REST-API von 2012 verwenden.

Wenn Sie nach Archivspeicherlösungen suchen, empfehlen wir die Verwendung der S3 Glacier-Speicherklassen in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive. Weitere Informationen zu diesen Speicheroptionen finden Sie unter S3 Glacier-Speicherklassen und Langfristige Datenspeicherung mit S3 Glacier-Speicherklassen im Amazon S3 S3-Benutzerhandbuch. Diese Speicherklassen verwenden die Amazon S3 S3-API, sind in allen Regionen verfügbar und können in der Amazon S3 S3-Konsole verwaltet werden. Sie bieten Funktionen wie Speicherkostenanalyse, Storage Lens, Sicherheitsfunktionen einschließlich mehrerer Verschlüsselungsoptionen und mehr.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für den Tresorzugriff

Eine Tresorzugriffsrichtlinie in Amazon S3 Glacier ist eine ressourcenbasierte Richtlinie, mit der Sie die Berechtigungen für Ihren Tresor verwalten können.

Sie können eine Tresorzugriffsrichtlinie für jeden Tresor erstellen, um Berechtigungen zu verwalten. Sie können die Berechtigungen in einer Tresorzugriffsrichtlinie jederzeit ändern. S3 Glacier unterstützt auch eine Tresorverriegelungsrichtlinie für jeden Tresor, die nach dem Verriegeln nicht mehr geändert werden kann. Weitere Informationen zur Arbeit mit Tresorverriegelungs-Richtlinien finden Sie unter Tresorverriegelungs-Richtlinien.

Beispiele

Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen
Beispiel 2: Berechtigungen über Konten hinweg für MFA-Löschoperationen erteilen

Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen

Die folgende Beispielrichtlinie erteilt zwei AWS-Konten -Konten kontoübergreifende Berechtigungen für eine Reihe von S3-Glacier-Operationen in einem Tresor namens examplevault.

Anmerkung

Dem Konto, das den Tresor besitzt, werden alle mit dem Tresor verbundenen Kosten in Rechnung gestellt. Alle Kosten für Anfragen, Datentransfer und Abruf, die von berechtigten externen Konten getätigt werden, werden dem Konto in Rechnung gestellt, das den Tresor besitzt.



               {
                  "Version":"2012-10-17",
                  "Statement":[
                     {
                        "Sid":"cross-account-upload",
                        "Principal": {
                           "AWS": [
                              "arn:aws:iam::123456789012:root",
                              "arn:aws:iam::444455556666:root"
                           ]
                        },
                        "Effect":"Allow",
                        "Action": [
                           "glacier:UploadArchive",
                           "glacier:InitiateMultipartUpload",
                           "glacier:AbortMultipartUpload",
                           "glacier:CompleteMultipartUpload"
                        ],
                        "Resource": [
                           "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"                                           
                        ]
                     }
                  ]
               }

Beispiel 2: Berechtigungen über Konten hinweg für MFA-Löschoperationen erteilen

Sie können die Multi-Faktor-Authentifizierung (MFA) verwenden, um Ihre S3-Glacier-Ressourcen zu schützen. Um ein zusätzliches Maß an Sicherheit zu bieten, verlangt MFA, dass Benutzer den physischen Besitz eines MFA-Geräts anhand eines gültigen MFA-Codes nachweisen. Weitere Informationen zum Konfigurieren des MFA-Zugriffs finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs im IAM-Benutzerhandbuch.

Die Beispielrichtlinie gewährt einer Person AWS-Konto mit temporären Anmeldeinformationen die Erlaubnis, Archive aus einem Tresor namens examplevault zu löschen, vorausgesetzt, die Anfrage ist mit einem MFA-Gerät authentifiziert. Die Richtlinie verwendet den Bedingungsschlüssel aws:MultiFactorAuthPresent, um diese zusätzliche Anforderung anzugeben. Weitere Informationen finden Sie im Artikel zu verfügbaren Schlüsseln für Bedingungen im IAM-Benutzerhandbuch.



                  {
                     "Version": "2012-10-17",
                     "Statement": [
                        {
                           "Sid": "add-mfa-delete-requirement",
                           "Principal": {
                              "AWS": [
                                 "arn:aws:iam::123456789012:root"
                              ]
                           },
                           "Effect": "Allow",
                           "Action": [ 
                              "glacier:Delete*" 
                           ],
                           "Resource": [
                              "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"
                           ],
                           "Condition": {
                              "Bool": {
                                 "aws:MultiFactorAuthPresent": true
                              }
                           }
                        }
                     ]
                  }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für eine ressourcenbasierte Richtlinie

Tresorverriegelungs-Richtlinien