ボールトアクセスポリシー - Amazon S3 Glacier
例 1: 特定の Amazon S3 Glacier アクションのクロスアカウント権限の付与例 2: MFA 削除オペレーションのクロスアカウント権限の付与

このページは、Vaults と 2012 年以降の元の REST API を使用する S3 Glacier サービスの既存のお客様のみを対象としています。

アーカイブストレージソリューションをお探しの場合は、Amazon S3、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive の S3 Glacier ストレージクラスを使用することをお勧めします。これらのストレージオプションの詳細については、「Amazon S3 ユーザーガイド」の「S3 Glacier ストレージクラス」およびS3 Glacier ストレージクラスを使用した長期データストレージ」を参照してください。 Amazon S3 これらのストレージクラスは Amazon S3 API を使用し、すべてのリージョンで利用でき、Amazon S3 コンソール内で管理できます。Storage Cost Analysis、Storage Lens、複数の暗号化オプションを含むセキュリティ機能などを提供します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボールトアクセスポリシー

Amazon S3 Glacier ボールトアクセスポリシーは、ボールトに対する権限を管理するのに使用できるリソースベースのポリシーです。

各ボールトに対して 1 つのボールトアクセスポリシーを作成してアクセス権限を管理できます。ボールトアクセスポリシーのアクセス許可は、いつでも変更できます。S3 Glacier では、各ボールトでのボールトロックポリシーもサポートしています。ボールトロックポリシーは、ロック後に変更できません。ボールトロックポリシーの操作の詳細については、「ボールトロックポリシー」を参照してください。

例 1: 特定の Amazon S3 Glacier アクションのクロスアカウント権限の付与

次のポリシー例では、examplevault というボールトの一連の S3 Glacier オペレーションに対する 2つの AWS アカウント に、クロスアカウント権限を付与します。

注記

ボールトを所有するアカウントには、ボールトに関連するすべての料金が課金されます。許可された外部アカウントによって行われたすべてのリクエスト、データ転送、および取得のコストは、ボールトを所有するアカウントに課金されます。


               {
                  "Version":"2012-10-17",
                  "Statement":[
                     {
                        "Sid":"cross-account-upload",
                        "Principal": {
                           "AWS": [
                              "arn:aws:iam::123456789012:root",
                              "arn:aws:iam::444455556666:root"
                           ]
                        },
                        "Effect":"Allow",
                        "Action": [
                           "glacier:UploadArchive",
                           "glacier:InitiateMultipartUpload",
                           "glacier:AbortMultipartUpload",
                           "glacier:CompleteMultipartUpload"
                        ],
                        "Resource": [
                           "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"                                           
                        ]
                     }
                  ]
               }

例 2: MFA 削除オペレーションのクロスアカウント権限の付与

Multi-Factor Authentication (MFA) を使用して、S3 Glacier リソースを保護できます。セキュリティのレベルをさらに強化するために、MFA は、ユーザーに有効な MFA コードを入力させて MFA デバイスの物理的所有を証明することを要求します。MFA アクセスの設定の詳細については、「」を参照してください。MFA 保護 API アクセスの設定IAM ユーザーガイド

サンプルポリシーは、リクエストが MFA デバイスで認証されている限り、examplevault という名前のボールトからアーカイブを削除する AWS アカウント アクセス許可を一時的な認証情報で に付与します。ポリシーは aws:MultiFactorAuthPresent 条件キーを使用して、この追加要件を指定します。詳細については、IAM ユーザーガイド一部のサービスに使用可能なキーを参照してください。


                  {
                     "Version": "2012-10-17",
                     "Statement": [
                        {
                           "Sid": "add-mfa-delete-requirement",
                           "Principal": {
                              "AWS": [
                                 "arn:aws:iam::123456789012:root"
                              ]
                           },
                           "Effect": "Allow",
                           "Action": [ 
                              "glacier:Delete*" 
                           ],
                           "Resource": [
                              "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"
                           ],
                           "Condition": {
                              "Bool": {
                                 "aws:MultiFactorAuthPresent": true
                              }
                           }
                        }
                     ]
                  }