此頁面僅適用於使用保管庫和 2012 年起原始 REST API 的 S3 冰川服務的現有客戶。
如果您正在尋找存檔儲存解決方案,我們建議您使用 Amazon S3 中的 S3 Glacier 儲存類別、S3 冰川即時擷取、S3 冰川彈性擷取和 S3 Glacier Deep Archive。若要進一步了解這些儲存選項,請參閱 Amazon S3 使用者指南中的 S3 Glacier 儲存類
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
保存庫存取政策
Amazon S3 Glacier 保存庫存取政策是資源型的政策,可用來管理保存庫的許可。
您可以為每個保存庫建立一個保存庫存取政策,以管理許可。您隨時可以修改保存庫存取政策中的許可。S3 Glacier 也支援每個保存庫的保存庫鎖定政策,在您鎖定之後便無法更改。如需使用保存庫鎖定政策的詳細資訊,請參閱保存庫鎖定政策。
範例 1:授予特定 Amazon S3 Glacier 動作的跨帳戶許可
以下範例政策為名為 examplevault 之保存庫上的一組 S3 Glacier 作業,將跨帳戶許可授予給兩個 AWS 帳戶 。
注意
擁有保存庫的帳戶會被收取與保存庫關聯的所有費用。外部帳戶允許的所有請求、資料傳輸和擷取費用均計入擁有保存庫的帳戶。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }
範例 2:授予 MFA 刪除操作的跨帳戶許可
您可以使用多重要素驗證 (MFA) 保護 S3 Glacier 資源。為提供額外等級的安全性,MFA 要求使用者透過提供有效的 MFA 代碼來證明實際擁有 MFA 裝置。如需有關設定 MFA 存取的詳細資訊,請參閱《IAM 使用者指南》中的設定 MFA 保護的 API 存取。
範例原則會授 AWS 帳戶 與具有臨時登入資料的權限,以便從名為 examplevault 的儲存庫中刪除歸檔,前提是要求已透過 MFA 裝置進行驗證。政策使用 aws:MultiFactorAuthPresent 條件金鑰來指定此額外的需求。如需詳細資訊,請參閱《IAM 使用者指南》中的適用於條件的可用索引鍵。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }
