Policy di accesso delle vault - Amazon S3 Glacier
Esempio 1: concessione di autorizzazioni tra account per specifiche azioni di Amazon S3 GlacierEsempio 2: concessione di autorizzazioni tra account per operazioni di cancellazione MFA

Questa pagina è riservata ai clienti esistenti del servizio S3 Glacier che utilizzano Vaults e l'API REST originale del 2012.

Se stai cercando soluzioni di archiviazione, ti consigliamo di utilizzare le classi di storage S3 Glacier in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Per ulteriori informazioni su queste opzioni di storage, consulta le classi di storage S3 Glacier e lo storage dei dati a lungo termine con le classi di storage S3 Glacier nella Amazon S3 User Guide. Queste classi di storage utilizzano l'API Amazon S3, sono disponibili in tutte le regioni e possono essere gestite all'interno della console Amazon S3. Offrono funzionalità come Storage Cost Analysis, Storage Lens, funzionalità di sicurezza tra cui diverse opzioni di crittografia e altro ancora.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di accesso delle vault

Una policy di accesso a vault di Amazon S3 Glacier è una policy basata su risorse che puoi utilizzare per gestire le autorizzazioni di accesso alla vault.

Puoi creare una policy di accesso a vault per ogni vault allo scopo di gestire le autorizzazioni, nonché modificare le autorizzazioni in una policy di accesso a vault in qualsiasi momento. S3 Glacier supporta anche una policy di blocco della vault per ogni vault che, quando bloccata, non può più essere modificato. Per ulteriori informazioni sull'utilizzo delle policy di Vault Lock, consulta Policy di Vault Lock.

Esempio 1: concessione di autorizzazioni tra account per specifiche azioni di Amazon S3 Glacier

L'esempio di policy seguente consente di concedere autorizzazioni tra account a due Account AWS per un set di azioni di S3 Glacier su una vault denominata examplevault.

Nota

Tutti i costi associati al vault sono fatturati all'account proprietario del vault. Tutte i costi relativi a richieste, trasferimenti di dati e recuperi generati da account esterni autorizzati sono fatturati all'account proprietario del vault.


               {
                  "Version":"2012-10-17",
                  "Statement":[
                     {
                        "Sid":"cross-account-upload",
                        "Principal": {
                           "AWS": [
                              "arn:aws:iam::123456789012:root",
                              "arn:aws:iam::444455556666:root"
                           ]
                        },
                        "Effect":"Allow",
                        "Action": [
                           "glacier:UploadArchive",
                           "glacier:InitiateMultipartUpload",
                           "glacier:AbortMultipartUpload",
                           "glacier:CompleteMultipartUpload"
                        ],
                        "Resource": [
                           "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"                                           
                        ]
                     }
                  ]
               }

Esempio 2: concessione di autorizzazioni tra account per operazioni di cancellazione MFA

Puoi utilizzare l'autenticazione a più fattori (MFA) per proteggere le tue risorse S3 Glacier. Per fornire un ulteriore livello di protezione, MFA richiede agli utenti di dimostrare di possedere materialmente un dispositivo MFA fornendo un codice MFA valido. Per ulteriori informazioni sulla configurazione dell'accesso MFA, consulta la pagina Configurazione dell'accesso a API protetto con MFA nella Guida per l'utente IAM.

La politica di esempio concede un'autorizzazione Account AWS con credenziali temporanee per eliminare gli archivi da un archivio denominato examplevault, a condizione che la richiesta sia autenticata con un dispositivo MFA. La policy utilizza la chiave di condizione aws:MultiFactorAuthPresent per specificare questo requisito aggiuntivo. Per ulteriori informazioni, consulta la pagina Chiavi disponibili per le condizioni nella Guida per l'utente IAM.


                  {
                     "Version": "2012-10-17",
                     "Statement": [
                        {
                           "Sid": "add-mfa-delete-requirement",
                           "Principal": {
                              "AWS": [
                                 "arn:aws:iam::123456789012:root"
                              ]
                           },
                           "Effect": "Allow",
                           "Action": [ 
                              "glacier:Delete*" 
                           ],
                           "Resource": [
                              "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"
                           ],
                           "Condition": {
                              "Bool": {
                                 "aws:MultiFactorAuthPresent": true
                              }
                           }
                        }
                     ]
                  }