ボールトアクセスポリシー - Amazon S3 Glacier

このページは、Vaults と 2012 RESTAPI年のオリジナルを使用する S3 Glacier サービスの既存のお客様専用です。

アーカイブストレージソリューションをお探しの場合は、Amazon S3、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive の S3 Glacier ストレージクラスを使用することをお勧めします。これらのストレージオプションの詳細については、Amazon S3 ユーザーガイドの「S3 Glacier ストレージクラス」およびS3 Glacier ストレージクラスを使用した長期データストレージ」を参照してください。 Amazon S3 これらのストレージクラスは Amazon S3 を使用しAPI、すべてのリージョンで利用可能で、Amazon S3 コンソール内で管理できます。Storage Cost Analysis、Storage Lens、高度なオプションの暗号化機能などの機能を提供します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボールトアクセスポリシー

Amazon S3 Glacier ボールトアクセスポリシーは、ボールトに対する権限を管理するのに使用できるリソースベースのポリシーです。

各ボールトに対して 1 つのボールトアクセスポリシーを作成してアクセス権限を管理できます。ボールトアクセスポリシーのアクセス許可は、いつでも変更できます。S3 Glacier では、各ボールトでのボールトロックポリシーもサポートしています。ボールトロックポリシーは、ロック後に変更できません。ボールトロックポリシーの操作の詳細については、「ボールトロックポリシー」を参照してください。

例 1: 特定の Amazon S3 Glacier アクションのクロスアカウント権限の付与

次のポリシー例では、examplevault というボールトの一連の S3 Glacier オペレーションに対する 2つの AWS アカウント に、クロスアカウント権限を付与します。

注記

ボールトを所有するアカウントには、ボールトに関連するすべての料金が課金されます。許可された外部アカウントによって行われたすべてのリクエスト、データ転送、および取得のコストは、ボールトを所有するアカウントに課金されます。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"cross-account-upload", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root", "arn:aws:iam::444455556666:root" ] }, "Effect":"Allow", "Action": [ "glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:AbortMultipartUpload", "glacier:CompleteMultipartUpload" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ] } ] }

例 2: MFA 削除オペレーションのクロスアカウントアクセス許可を付与する

多要素認証 (MFA) を使用して S3 Glacier リソースを保護できます。より高度なセキュリティを提供するために、 MFAでは、ユーザーは有効なMFAコードを指定してMFAデバイスの物理的な所有を証明する必要があります。MFA アクセスの設定の詳細については、IAM「 ユーザーガイド」のMFA「保護APIアクセスの設定」を参照してください。

サンプルポリシーは、リクエストがMFAデバイスで認証されている場合、examplevault という名前のボールトからアーカイブを削除するアクセス許可を AWS アカウント 一時的な認証情報で に付与します。ポリシーは aws:MultiFactorAuthPresent 条件キーを使用して、この追加要件を指定します。詳細については、「 ユーザーガイド」の「条件に使用可能なキー」を参照してください。 IAM

{ "Version": "2012-10-17", "Statement": [ { "Sid": "add-mfa-delete-requirement", "Principal": { "AWS": [ "arn:aws:iam::123456789012:root" ] }, "Effect": "Allow", "Action": [ "glacier:Delete*" ], "Resource": [ "arn:aws:glacier:us-west-2:999999999999:vaults/examplevault" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": true } } } ] }