Exemplos de políticas baseadas em identidade para o Amazon S3 Glacier - Amazon S3 Glacier

Esta página é somente para clientes existentes do serviço S3 Glacier que usam o Vaults e o original de 2012. REST API

Se você estiver procurando por soluções de armazenamento de arquivamento, sugerimos usar as classes de armazenamento S3 Glacier no Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Para saber mais sobre essas opções de armazenamento, consulte Classes de armazenamento S3 Glacier e Armazenamento de dados de longo prazo usando classes de armazenamento S3 Glacier no Guia do usuário do Amazon S3. Essas classes de armazenamento usam o Amazon S3API, estão disponíveis em todas as regiões e podem ser gerenciadas no console do Amazon S3. Eles oferecem recursos como análise de custos de armazenamento, lente de armazenamento, recursos avançados de criptografia opcional e muito mais.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade para o Amazon S3 Glacier

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do S3 Glacier. Eles também não podem realizar tarefas usando o AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos de JSON política, consulte Criar IAM políticas (console) no Guia do IAMusuário.

Para obter detalhes sobre ações e tipos de recursos definidos pelo S3 Glacier, incluindo o formato de cada um dos ARNs tipos de recursos, consulte Ações, recursos e chaves de condição para o Amazon S3 Glacier na Referência de autorização de serviço.

Veja a seguir um exemplo de política que concede permissões para três ações relacionadas ao cofre do S3 Glacier (glacier:DescribeVaulteglacier:ListVaults) em um recursoglacier:CreateVault, usando o Amazon Resource Name (ARN) que identifica todos os cofres na região. us-west-2 AWS ARNsidentifique AWS recursos de forma exclusiva. Para obter mais informações sobre o ARNs uso com o S3 Glacier, consulte. Recursos de política para o S3 Glacier

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glacier:CreateVault", "glacier:DescribeVault", "glacier:ListVaults" ], "Resource": "arn:aws:glacier:us-west-2:123456789012:vaults/*" } ] }

A política concede permissões para criar, listar e obter descrições de cofres na região us-west-2. O caractere curinga (*) no final de ARN significa que essa instrução pode corresponder a qualquer nome de cofre.

Importante

Ao conceder permissões para criar um cofre usando a operação glacier:CreateVault, você deve especificar um caractere curinga (*) porque você não saberá o nome do cofre até criar o cofre.

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do S3 Glacier em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

  • Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte políticas AWS gerenciadas ou políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.

  • Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.

  • Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.

  • Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validar políticas com o IAM Access Analyzer no Guia do IAMUsuário.

  • Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte APIAcesso seguro MFA no Guia do IAM usuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Usando o console S3 Glacier

Para acessar o console da Amazon S3 Glacier, você deve ter um conjunto mínimo de permissões. Essas permissões devem autorizar você a listar e visualizar detalhes sobre os recursos do S3 Glacier na sua Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que eles estão tentando realizar.

O console do S3 Glacier fornece um ambiente integrado para você criar e gerenciar cofres do S3 Glacier. No mínimo, IAM as identidades que você cria devem receber permissões para que a glacier:ListVaults ação visualize o console do S3 Glacier, conforme mostrado no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "glacier:ListVaults" ], "Effect": "Allow", "Resource": "*" } ] }

AWS aborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas AWS gerenciadas no Guia IAM do usuário.

As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são específicas do S3 Glacier:

  • AmazonGlacierReadOnlyAccess— Concede acesso somente de leitura ao S3 Glacier por meio do. AWS Management Console

  • AmazonGlacierFullAccess— Concede acesso total ao S3 Glacier por meio do. AWS Management Console

Você também pode criar suas próprias IAM políticas personalizadas para permitir permissões para API ações e recursos do S3 Glacier. Você pode anexar essas políticas personalizadas às IAM funções personalizadas que você cria para seus cofres do S3 Glacier.

Ambas as políticas AWS gerenciadas do S3 Glacier discutidas na próxima seção concedem permissões para. glacier:ListVaults

Para obter mais informações, consulte Adicionar permissões a um usuário no Guia do IAM usuário.

Permitir que usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Exemplos de política gerenciada pelo cliente

Nesta seção, você encontrará exemplos de políticas de usuário que concedem permissões para diversas ações do S3 Glacier. Essas políticas funcionam quando você usa o S3 Glacier RESTAPI, o AmazonSDKs, o console de gerenciamento ou AWS CLI, se aplicável, o S3 Glacier.

nota

Todos os exemplos usam a região Oeste dos EUA (Oregon) (us-west-2) e contêm uma conta fictícia. IDs

Exemplo 1: permitir que um usuário faça download de arquivos de um cofre

Para fazer download de um arquivo, você primeiro inicia um trabalho a fim de recuperar o arquivo. Depois que o trabalho de recuperação for concluído, você poderá fazer download dos dados. A política de exemplo a seguir concede permissões para a ação glacier:InitiateJob a fim de iniciar um trabalho (que permite ao usuário recuperar um arquivo ou um inventário de cofre do cofre) e permissões para a ação glacier:GetJobOutput a fim de fazer download dos dados recuperados. A política também concede permissões para realizar a ação glacier:DescribeJob, de maneira que o usuário possa obter o status do trabalho. Para obter mais informações, consulte Initiate Job (POSTtrabalhos).

A política concede essas permissões em um cofre chamado examplevault. Você pode obter o cofre no console ARN do Amazon S3 Glacier ou programaticamente chamando as ações ou as ações. Describe Vault (GET vault) List Vaults (GET vaults) API

{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault", "Action":["glacier:InitiateJob", "glacier:GetJobOutput", "glacier:DescribeJob"] } ] }

Exemplo 2: permitir que um usuário crie um cofre e configure notificações

A política de exemplo a seguir concede permissões para criar um cofre na região EUA-oeste-2, conforme especificado no elemento Resource, e configurar notificações. Para obter mais informações sobre como trabalhar com notificações, consulte Configurar notificações de cofre no Amazon S3 Glacier. A política também concede permissões para listar cofres na AWS região e obter uma descrição específica do cofre.

Importante

Ao conceder permissões para criar um cofre usando a operação glacier:CreateVault, você deve especificar um caractere curinga (*) no valor Resource porque você não saberá o nome do cofre até criar o cofre.

{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:glacier:us-west-2:123456789012:vaults/*", "Action":["glacier:CreateVault", "glacier:SetVaultNotifications", "glacier:GetVaultNotifications", "glacier:DeleteVaultNotifications", "glacier:DescribeVault", "glacier:ListVaults"] } ] }

Exemplo 3: permitir que um usuário faça upload para um cofre específico

A política de exemplo a seguir concede permissões a fim de fazer upload de arquivos para um determinado cofre na região EUA-oeste-2. Essas permissões permitem que um usuário carregue um arquivo de uma só vez usando a Upload Archive (POST archive) API operação ou em partes usando a Initiate Multipart Upload (POST multipart-uploads) API operação.

{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault", "Action":["glacier:UploadArchive", "glacier:InitiateMultipartUpload", "glacier:UploadMultipartPart", "glacier:ListParts", "glacier:ListMultipartUploads", "glacier:CompleteMultipartUpload"] } ] }

Exemplo 4: conceder a um usuário permissões completas em um cofre específico

A política de exemplo a seguir concede permissões a todas as ações do S3 Glacier em um cofre chamado examplevault.

{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault", "Action":["glacier:*"] } ] }