Políticas de acesso ao cofre - Amazon S3 Glacier

Esta página é somente para clientes existentes do serviço S3 Glacier que usam o Vaults e o original de 2012. REST API

Se você estiver procurando por soluções de armazenamento de arquivamento, sugerimos usar as classes de armazenamento S3 Glacier no Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Para saber mais sobre essas opções de armazenamento, consulte Classes de armazenamento S3 Glacier e Armazenamento de dados de longo prazo usando classes de armazenamento S3 Glacier no Guia do usuário do Amazon S3. Essas classes de armazenamento usam o Amazon S3API, estão disponíveis em todas as regiões e podem ser gerenciadas no console do Amazon S3. Eles oferecem recursos como análise de custos de armazenamento, lente de armazenamento, recursos avançados de criptografia opcional e muito mais.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de acesso ao cofre

Uma política de acesso ao cofre do Amazon S3 Glacier é uma política baseada em recursos que você pode usar para gerenciar permissões para o seu cofre.

Você pode criar uma política de acesso ao cofre para cada cofre a fim de gerenciar permissões. Você pode modificar permissões em uma política de acesso ao cofre a qualquer momento. O S3 Glacier também dá suporte a uma política do Vault Lock em cada cofre que, depois de bloqueado por você, não poderá ser alterada. Para obter mais informações sobre como trabalhar com políticas do Vault Lock, consulte Políticas do Vault Lock.

Exemplo 1: conceder permissões entre contas para ações do S3 Glacier específicas

O exemplo de política a seguir concede permissões entre contas a duas Contas da AWS para um conjunto de operações do S3 Glacier em um cofre chamado examplevault.

nota

A conta que detém o cofre é cobrada por todos os custos associados ao cofre. Todas as solicitações, transferências de dados e custos de recuperação feitos por contas externas permitidas são cobrados na conta que detém o cofre.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

Exemplo 2: Conceder permissões entre contas para operações de MFA exclusão

Você pode usar a autenticação multifator (MFA) para proteger seus recursos do S3 Glacier. Para fornecer um nível extra de segurança, MFA exige que os usuários provem a posse física de um MFA dispositivo fornecendo um MFA código válido. Para obter mais informações sobre como configurar o MFA acesso, consulte Configurando o API acesso MFA protegido no Guia do IAM usuário.

O exemplo de política concede a um Conta da AWS usuário com credenciais temporárias permissão para excluir arquivos de um cofre chamado examplevault, desde que a solicitação seja autenticada com um dispositivo. MFA A política usa a chave de condição aws:MultiFactorAuthPresent para especificar esse requisito adicional. Para obter mais informações, consulte Chaves disponíveis para condições no Guia IAM do usuário.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }