Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen Beispiel 2: Erteilen Sie kontenübergreifende Berechtigungen für MFA Löschvorgänge

Diese Seite richtet sich nur an Bestandskunden des S3 Glacier-Dienstes, die Vaults und das Original REST API von 2012 verwenden.

Wenn Sie nach Archivspeicherlösungen suchen, empfehlen wir die Verwendung der S3 Glacier-Speicherklassen in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive. Weitere Informationen zu diesen Speicheroptionen finden Sie unter S3 Glacier-Speicherklassen und Langfristige Datenspeicherung mit S3 Glacier-Speicherklassen im Amazon S3 S3-Benutzerhandbuch. Diese Speicherklassen verwenden Amazon S3API, sind in allen Regionen verfügbar und können in der Amazon S3 S3-Konsole verwaltet werden. Sie bieten Funktionen wie Speicherkostenanalyse, Storage Lens, erweiterte optionale Verschlüsselungsfunktionen und mehr.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für den Tresorzugriff

Eine Tresorzugriffsrichtlinie in Amazon S3 Glacier ist eine ressourcenbasierte Richtlinie, mit der Sie die Berechtigungen für Ihren Tresor verwalten können.

Sie können eine Tresorzugriffsrichtlinie für jeden Tresor erstellen, um Berechtigungen zu verwalten. Sie können die Berechtigungen in einer Tresorzugriffsrichtlinie jederzeit ändern. S3 Glacier unterstützt auch eine Tresorverriegelungsrichtlinie für jeden Tresor, die nach dem Verriegeln nicht mehr geändert werden kann. Weitere Informationen zur Arbeit mit Tresorverriegelungs-Richtlinien finden Sie unter Tresorverriegelungs-Richtlinien.

Beispiele

Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen
Beispiel 2: Erteilen Sie kontenübergreifende Berechtigungen für MFA Löschvorgänge

Beispiel 1: Gewähren von kontoübergreifenden Berechtigungen für bestimmte Amazon-S3-Glacier-Aktionen

Die folgende Beispielrichtlinie erteilt zwei AWS-Konten -Konten kontoübergreifende Berechtigungen für eine Reihe von S3-Glacier-Operationen in einem Tresor namens examplevault.

Anmerkung

Dem Konto, das den Tresor besitzt, werden alle mit dem Tresor verbundenen Kosten in Rechnung gestellt. Alle Kosten für Anfragen, Datentransfer und Abruf, die von berechtigten externen Konten getätigt werden, werden dem Konto in Rechnung gestellt, das den Tresor besitzt.



               {
                  "Version":"2012-10-17",
                  "Statement":[
                     {
                        "Sid":"cross-account-upload",
                        "Principal": {
                           "AWS": [
                              "arn:aws:iam::123456789012:root",
                              "arn:aws:iam::444455556666:root"
                           ]
                        },
                        "Effect":"Allow",
                        "Action": [
                           "glacier:UploadArchive",
                           "glacier:InitiateMultipartUpload",
                           "glacier:AbortMultipartUpload",
                           "glacier:CompleteMultipartUpload"
                        ],
                        "Resource": [
                           "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"                                           
                        ]
                     }
                  ]
               }

Beispiel 2: Erteilen Sie kontenübergreifende Berechtigungen für MFA Löschvorgänge

Sie können die Multi-Faktor-Authentifizierung (MFA) verwenden, um Ihre S3 Glacier-Ressourcen zu schützen. Um ein zusätzliches Maß an Sicherheit zu bieten, MFA müssen Benutzer den physischen Besitz eines MFA Geräts nachweisen, indem sie einen gültigen MFA Code angeben. Weitere Informationen zur Konfiguration des MFA Zugriffs finden Sie unter Konfiguration MFA — Geschützten API Zugriff im IAMBenutzerhandbuch.

Die Beispielrichtlinie gewährt einer Person AWS-Konto mit temporären Anmeldeinformationen die Berechtigung, Archive aus einem Tresor mit dem Namen examplevault zu löschen, sofern die Anfrage mit einem Gerät authentifiziert wurde. MFA Die Richtlinie verwendet den Bedingungsschlüssel aws:MultiFactorAuthPresent, um diese zusätzliche Anforderung anzugeben. Weitere Informationen finden Sie im Benutzerhandbuch unter Verfügbare Schlüssel für Bedingungen. IAM



                  {
                     "Version": "2012-10-17",
                     "Statement": [
                        {
                           "Sid": "add-mfa-delete-requirement",
                           "Principal": {
                              "AWS": [
                                 "arn:aws:iam::123456789012:root"
                              ]
                           },
                           "Effect": "Allow",
                           "Action": [ 
                              "glacier:Delete*" 
                           ],
                           "Resource": [
                              "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"
                           ],
                           "Condition": {
                              "Bool": {
                                 "aws:MultiFactorAuthPresent": true
                              }
                           }
                        }
                     ]
                  }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für eine ressourcenbasierte Richtlinie

Tresorverriegelungs-Richtlinien