Esempio 1: concessione di autorizzazioni tra account per specifiche azioni di Amazon S3 Glacier Esempio 2: concedere autorizzazioni per più account per le operazioni di eliminazione MFA

Questa pagina è riservata ai clienti esistenti del servizio S3 Glacier che utilizzano Vaults e l'originale del 2012. REST API

Se stai cercando soluzioni di archiviazione, ti consigliamo di utilizzare le classi di storage S3 Glacier in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Per ulteriori informazioni su queste opzioni di storage, consulta le classi di storage S3 Glacier e lo storage dei dati a lungo termine con le classi di storage S3 Glacier nella Amazon S3 User Guide. Queste classi di storage utilizzano Amazon S3API, sono disponibili in tutte le regioni e possono essere gestite all'interno della console Amazon S3. Offrono funzionalità come Storage Cost Analysis, Storage Lens, funzionalità di crittografia opzionali avanzate e altro ancora.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di accesso delle vault

Una policy di accesso a vault di Amazon S3 Glacier è una policy basata su risorse che puoi utilizzare per gestire le autorizzazioni di accesso alla vault.

Puoi creare una policy di accesso a vault per ogni vault allo scopo di gestire le autorizzazioni, nonché modificare le autorizzazioni in una policy di accesso a vault in qualsiasi momento. S3 Glacier supporta anche una policy di blocco della vault per ogni vault che, quando bloccata, non può più essere modificato. Per ulteriori informazioni sull'utilizzo delle policy di Vault Lock, consulta Policy di Vault Lock.

Esempi

Esempio 1: concessione di autorizzazioni tra account per specifiche azioni di Amazon S3 Glacier
Esempio 2: concedere autorizzazioni per più account per le operazioni di eliminazione MFA

Esempio 1: concessione di autorizzazioni tra account per specifiche azioni di Amazon S3 Glacier

L'esempio di policy seguente consente di concedere autorizzazioni tra account a due Account AWS per un set di azioni di S3 Glacier su una vault denominata examplevault.

Nota

Tutti i costi associati al vault sono fatturati all'account proprietario del vault. Tutte i costi relativi a richieste, trasferimenti di dati e recuperi generati da account esterni autorizzati sono fatturati all'account proprietario del vault.



               {
                  "Version":"2012-10-17",
                  "Statement":[
                     {
                        "Sid":"cross-account-upload",
                        "Principal": {
                           "AWS": [
                              "arn:aws:iam::123456789012:root",
                              "arn:aws:iam::444455556666:root"
                           ]
                        },
                        "Effect":"Allow",
                        "Action": [
                           "glacier:UploadArchive",
                           "glacier:InitiateMultipartUpload",
                           "glacier:AbortMultipartUpload",
                           "glacier:CompleteMultipartUpload"
                        ],
                        "Resource": [
                           "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"                                           
                        ]
                     }
                  ]
               }

Esempio 2: concedere autorizzazioni per più account per le operazioni di eliminazione MFA

Puoi utilizzare l'autenticazione a più fattori (MFA) per proteggere le tue risorse S3 Glacier. Per fornire un ulteriore livello di sicurezza, MFA richiede agli utenti di dimostrare il possesso fisico di un MFA dispositivo fornendo un codice valido. MFA Per ulteriori informazioni sulla configurazione dell'MFAaccesso, vedere Configuring MFA -Protected API Access nella Guida per l'IAMutente.

La politica di esempio concede a un utente Account AWS con credenziali temporanee l'autorizzazione a eliminare gli archivi da un archivio denominato examplevault, a condizione che la richiesta sia autenticata con un dispositivo. MFA La policy utilizza la chiave di condizione aws:MultiFactorAuthPresent per specificare questo requisito aggiuntivo. Per ulteriori informazioni, consulta Available Keys for Conditions nella Guida per l'utente. IAM



                  {
                     "Version": "2012-10-17",
                     "Statement": [
                        {
                           "Sid": "add-mfa-delete-requirement",
                           "Principal": {
                              "AWS": [
                                 "arn:aws:iam::123456789012:root"
                              ]
                           },
                           "Effect": "Allow",
                           "Action": [ 
                              "glacier:Delete*" 
                           ],
                           "Resource": [
                              "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault"
                           ],
                           "Condition": {
                              "Bool": {
                                 "aws:MultiFactorAuthPresent": true
                              }
                           }
                        }
                     ]
                  }

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su risorse

Policy di Vault Lock