Políticas de acesso ao cofre - Amazon S3 Glacier

Se você é novato no Amazon Simple Storage Service (Amazon S3), recomendamos que comece aprendendo mais sobre as classes de armazenamento S3 Glacier no Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Para obter mais informações, consulte Classes de armazenamento S3 Glacier e Classes de armazenamento para arquivamento de objetos no Guia do usuário do Amazon S3.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de acesso ao cofre

Uma política de acesso ao cofre do Amazon S3 Glacier é uma política baseada em recursos que você pode usar para gerenciar permissões para o seu cofre.

Você pode criar uma política de acesso ao cofre para cada cofre a fim de gerenciar permissões. Você pode modificar permissões em uma política de acesso ao cofre a qualquer momento. O S3 Glacier também dá suporte a uma política do Vault Lock em cada cofre que, depois de bloqueado por você, não poderá ser alterada. Para obter mais informações sobre como trabalhar com políticas do Vault Lock, consulte Políticas do Vault Lock.

Exemplo 1: conceder permissões entre contas para ações do S3 Glacier específicas

O exemplo de política a seguir concede permissões entre contas a duas Contas da AWS para um conjunto de operações do S3 Glacier em um cofre chamado examplevault.

nota

A conta que detém o cofre é cobrada por todos os custos associados ao cofre. Todas as solicitações, transferências de dados e custos de recuperação feitos por contas externas permitidas são cobrados na conta que detém o cofre.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

Exemplo 2: conceder permissões entre contas para operações de exclusão MFA

Você pode usar a Autenticação Multifator (MFA) para proteger os recursos do S3 Glacier . Para oferecer um nível extra de segurança, o MFA exige que os usuários provem a posse física de um dispositivo MFA fornecendo um código MFA válido. Para obter mais informações sobre como configurar acesso MFA, consulte Configurar acesso à API protegido por MFA no Guia do Usuário do IAM.

A política de exemplo concede permissão com Conta da AWS credenciais temporárias para excluir arquivos de um cofre chamado examplevault, desde que a solicitação seja autenticada com um dispositivo MFA. A política usa a chave de condição aws:MultiFactorAuthPresent para especificar esse requisito adicional. Para obter mais informações, consulte Chaves disponíveis para condições no Guia do Usuário DO IAM.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }