Jika Anda baru mengenal penyimpanan arsip di Amazon Simple Storage Service (Amazon S3), kami sarankan Anda memulai dengan mempelajari lebih lanjut tentang kelas penyimpanan S3 Glacier di Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval, dan S3 Glacier Deep Archive. Untuk informasi selengkapnya, lihat Kelas penyimpanan S3 Glacier dan kelas Penyimpanan
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan Akses Vault
Kebijakan akses vault Amazon S3 Glacier adalah kebijakan berbasis sumber daya yang dapat Anda gunakan untuk mengelola izin untuk vault Anda.
Anda dapat membuat satu kebijakan akses vault untuk setiap vault guna mengelola izin. Anda dapat memodifikasi izin dalam kebijakan akses vault kapan saja. S3 Glacier juga mendukung kebijakan Vault Lock pada setiap vault yang, setelah Anda menguncinya, tidak dapat diubah. Untuk informasi selengkapnya tentang bekerja dengan kebijakan Vault Lock, lihat Kebijakan Vault Lock.
Contoh
Contoh 1: Memberikan Izin Lintas Akun untuk Tindakan Amazon S3 Glacier Spesifik
Contoh kebijakan berikut memberikan izin lintas akun ke duaAkun AWS untuk serangkaian operasi S3 Glacier pada vault bernama examplevault.
catatan
Akun yang memiliki vault ditagih untuk semua biaya yang terkait dengan vault. Semua permintaan, transfer data, dan biaya pengambilan yang dibuat oleh akun eksternal yang diizinkan ditagih ke akun yang memiliki vault.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }
Contoh 2: Memberikan Izin Lintas Akun untuk Operasi Hapus MFA
Anda dapat menggunakan autentikasi multi-faktor (MFA) untuk melindungi sumber daya S3 Glacier. Untuk memberikan tingkat keamanan tambahan, MFA mengharuskan pengguna membuktikan kepemilikan fisik perangkat MFA dengan memberikan kode MFA yang valid. Untuk informasi selengkapnya tentang mengonfigurasi akses MFA, lihat Mengonfigurasi Akses API yang Dilindungi MFA di Panduan Pengguna IAM.
Contoh kebijakan memberi Akun AWS dengan izin kredensial sementara untuk menghapus arsip dari vault bernama examplevault, asalkan permintaan diautentikasi dengan perangkat MFA. Kebijakan menggunakan kunci kondisi aws:MultiFactorAuthPresent untuk menentukan persyaratan tambahan ini. Untuk informasi selengkapnya, lihat Kunci yang Tersedia untuk Kondisi di Panduan Pengguna IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }
