Políticas de acceso a almacenes - Amazon S3 Glacier

Esta página es solo para los clientes actuales del servicio S3 Glacier que utilizan Vaults y el original de 2012. REST API

Si busca soluciones de almacenamiento de archivos, le sugerimos que utilice las clases de almacenamiento S3 Glacier en Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval y S3 Glacier Deep Archive. Para obtener más información sobre estas opciones de almacenamiento, consulte Clases de almacenamiento de S3 Glacier y Almacenamiento de datos a largo plazo con clases de almacenamiento de S3 Glacier en la Guía del usuario de Amazon S3. Estas clases de almacenamiento utilizan Amazon S3API, están disponibles en todas las regiones y se pueden gestionar en la consola de Amazon S3. Ofrecen funciones como el análisis de costos de almacenamiento, Storage Lens, funciones avanzadas de cifrado opcionales y más.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de acceso a almacenes

Una política de acceso a almacenes de Amazon S3 Glacier es una política basada en recursos que se puede utilizar para administrar los permisos del almacén.

Puede crear una política de acceso a almacenes por cada almacén para administrar los permisos. Puede modificar los permisos de una política de acceso a almacenes en cualquier momento. S3 Glacier también admite una política de bloqueo de almacenes en cada almacén que, después de bloquearlo, no puede modificarse. Para obtener más información sobre el trabajo con políticas de bloqueo de almacenes, consulte Políticas de bloqueo de almacenes.

Ejemplo 1: Concesión de permisos entre cuentas para acciones específicas de Amazon S3 Glacier

La siguiente política de ejemplo concede permisos entre cuentas a dos Cuentas de AWS para un conjunto de operaciones de S3 Glacier en un almacén denominado examplevault.

nota

Todos los costos asociados con el almacén se facturan a la cuenta propietaria del almacén. Todos los costos de solicitudes, transferencia de datos y recuperación permitidos por las cuentas externas se facturan a la cuenta propietaria del almacén.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

Ejemplo 2: Otorgar permisos entre cuentas para operaciones de MFA eliminación

Puede usar la autenticación multifactorial (MFA) para proteger sus recursos de S3 Glacier. Para proporcionar un nivel de seguridad adicional, MFA requiere que los usuarios demuestren la posesión física de un MFA dispositivo proporcionando un MFA código válido. Para obtener más información sobre la configuración del MFA acceso, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.

La política de ejemplo concede un permiso Cuenta de AWS con credenciales temporales para eliminar archivos de un almacén denominado examplevault, siempre que la solicitud se autentique con un dispositivo. MFA La política usa la clave de condición aws:MultiFactorAuthPresent para especificar este requisito adicional. Para obtener más información, consulte las claves de condiciones disponibles en la Guía del usuario. IAM

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }