ボールトアクセスポリシーによる Amazon S3 Glacier のアクセス制御 - Amazon S3 Glacier

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

ボールトアクセスポリシーによる Amazon S3 Glacier のアクセス制御

Amazon S3 Glacier ボールトアクセスポリシーは、ボールトに対するアクセス許可を管理するのに使用できるリソースベースのポリシーです。使用できるさまざま権限ポリシーオプションについては、「リソースへのアクセスの管理」を参照してください。

各ボールトに対して 1 つのボールトアクセスポリシーを作成してアクセス権限を管理できます。ボールトアクセスポリシーのアクセス許可はいつでも変更できます。S3 Glacier は、各ボールトでボールトロックポリシーもサポートしています。ロックしたら、そのボールトを変更することはできません。ボールトロックポリシーの操作の詳細については、「ボールトロックポリシーによる Amazon S3 Glacier のアクセス制御」を参照してください。

Glacier API、AWS SDK、AWS CLI、または S3 Glacier コンソールを使用して、ボールトアクセスポリシーを作成し管理できます。ボールトアクセスリソースベースのポリシーに対して許可されるオペレーションのリストについては、「Amazon S3 Glacier API のアクセス権限: アクション、リソース、条件リファレンス」を参照してください。

例 1: 特定の Amazon S3 Glacier アクションのクロスアカウント権限の付与

次のポリシー例では、S3 Glacier というボールトの一連の examplevault オペレーションに対する 2 つの AWS アカウントに、クロスアカウント権限を付与します。

注記

ボールトを所有するアカウントには、ボールトに関連するすべての料金が課金されます。許可された外部アカウントによって行われたすべてのリクエスト、データ転送、および取得のコストは、ボールトを所有するアカウントに課金されます。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

例 2: MFA 削除オペレーションのクロスアカウント権限の付与

Multi-Factor Authentication (MFA) を使用して、S3 Glacier リソースを保護できます。セキュリティのレベルをさらに強化するために、MFA は、ユーザーに有効な MFA コードを入力させて MFA デバイスの物理的所有を証明することを要求します。MFA アクセス設定の詳細については、『IAM ユーザーガイド』の「MFA で保護された API アクセスの設定」を参照してください。

ポリシー例では、リクエストが MFA デバイスによって認証されていれば、examplevault というボールトからのアーカイブを削除するための AWS アカウントの一時認証アクセス権限を付与します。ポリシーは aws:MultiFactorAuthPresent 条件キーを使用して、この追加要件を指定します。詳細については、『IAM ユーザーガイド』の「条件に利用可能なキー」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }