Cette page s'adresse uniquement aux clients existants du service S3 Glacier utilisant Vaults et l'API REST d'origine datant de 2012.
Si vous recherchez des solutions de stockage d'archives, nous vous conseillons d'utiliser les classes de stockage S3 Glacier dans Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval et S3 Glacier Deep Archive. Pour en savoir plus sur ces options de stockage, consultez les sections Classes de stockage S3 Glacier
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques d'accès au coffre-fort
Une stratégie d'accès au coffre Amazon S3 Glacier est une politique basée sur les ressources que vous pouvez utiliser pour gérer les autorisations d'accès à votre coffre.
Vous pouvez créer une stratégie d'accès aux coffres pour chaque coffre afin de gérer les autorisations. Vous pouvez à tout moment modifier les autorisations contenues dans d'une stratégie d'accès au coffre. S3 Glacier prend également en charge une politique de verrouillage de coffre pour chaque coffre qui, une fois verrouillé, ne peut pas être modifié. Pour plus d'informations sur l'utilisation des stratégies de verrouillage de coffre, consultez la page Stratégies de verrouillage de coffre.
Exemples
Exemple 1 : Octroi d'autorisations entres comptes pour des actions Amazon S3 Glacier spécifiques
L'exemple de politique suivant accorde des autorisations entre comptes à deux Comptes AWS pour un ensemble d'opérations S3 Glacier sur un coffre nommé examplevault.
Note
Le compte qui possède le coffre est facturé pour tous les coûts liés à ce dernier. Toutes les demandes, tous les transferts de données et les coûts d'extraction effectués par des comptes externes autorisés sont facturés au compte qui possède le coffre.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }
Exemple 2 : Accorder des autorisations entre comptes pour les opérations de suppression MFA
Vous pouvez utiliser l'authentification multifactorielle (MFA) pour protéger vos ressources S3 Glacier. Pour fournir un niveau supplémentaire de sécurité, MFA requiert des utilisateurs qu'ils prouvent la possession matérielle d'un appareil MFA en fournissant un code MFA valide. Pour plus d'informations sur la configuration de l'accès MFA, consultez Configuration de l'accès aux API protégé par MFA dans le Guide de l'utilisateur IAM.
L'exemple de politique accorde à une personne Compte AWS possédant des informations d'identification temporaires l'autorisation de supprimer des archives d'un coffre-fort nommé examplevault, à condition que la demande soit authentifiée par un périphérique MFA. La stratégie utilise la clé de condition aws:MultiFactorAuthPresent pour spécifier cette exigence supplémentaire. Pour plus d'informations, consultez Clés disponibles pour les conditions dans le Guide de l'utilisateur IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }
