Amazon S3 Glacier 액세스 정책과 볼트 액세스 정책 - Amazon S3 Glacier

Amazon S3 Glacier 액세스 정책과 볼트 액세스 정책

Amazon S3 Glacier 볼트 액세스 정책은 볼트에 대한 권한을 관리할 때 사용할 수 있는 리소스 기반 정책입니다. 다양하게 지원되는 권한 정책 옵션에 대한 자세한 내용은 리소스 액세스 관리 단원을 참조하십시오.

각 볼트마다 권한을 관리할 수 있는 볼트 액세스 정책은 한 가지만 생성할 수 있습니다. 언제든 볼트 액세스 정책 내 권한을 수정할 수 있습니다. S3 Glacier는 볼트별로 한 번 잠그면 수정할 수 없는 볼트 잠금 정책을 지원합니다. 볼트 잠금 정책의 사용에 대한 자세한 내용은 볼트 잠금 정책을 사용하는 Amazon S3 Glacier 액세스 제어 단원을 참조하십시오.

볼트 액세스 정책은 Glacier API, AWS SDK, AWS CLI 또는 S3 Glacier 콘솔을 사용하여 생성하거나 관리할 수 있습니다. 볼트 액세스 리소스 기반 정책에서 허용되는 작업 목록은 Amazon S3 Glacier API 권한: 작업, 리소스 및 조건 참조 단원을 참조하십시오.

예제 1: 특정 Amazon S3 Glacier 작업에 대한 교차 계정 권한 부여

다음 정책 예제에서는 이름이 examplevault인 볼트에서 S3 Glacier 작업을 실행할 수 있는 교차 계정 권한을 AWS 계정 2개에게 부여합니다.

참고

볼트가 속하는 계정에게는 볼트와 관련된 모든 비용이 청구됩니다. 허용되는 외부 계정에서 실행한 요청, 데이터 전송 및 가져오기 비용 역시 볼트가 속한 계정에게 청구됩니다.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

예제 2: MFA 삭제 작업에 대한 교차 계정 권한 부여

Multi-Factor Authentication(MFA)을 사용하여 S3 Glacier 리소스를 보호할 수 있습니다. MFA에서 보안 계층을 추가하려면 사용자가 유효한 MFA 코드를 입력하여 MFA 디바이스에 대한 물리적인 소유권을 입증해야 합니다. MFA 액세스 구성에 대한 자세한 내용은 IAM 사용 설명서에서 MFA 보호 API 액세스 구성 단원을 참조하십시오.

아래 정책 예제는 이름이 examplevault인 볼트에서 아카이브를 삭제할 수 있는 임시 자격 증명 권한을 AWS 계정에게 부여합니다. 단, MFA 디바이스에서 요청 인증이 필요합니다. 이 정책은 aws:MultiFactorAuthPresent 조건 키를 사용하여 이러한 추가 요건을 지정합니다. 자세한 내용은 IAM 사용 설명서에서 사용 가능한 조건 키 단원을 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }