Esempi di policy basate sull'identità per Amazon Glacier - Amazon Glacier
Best practice per le policyUtilizzo della consoleConsentire agli utenti di visualizzare le loro autorizzazioniEsempi di policy gestite dal cliente

Questa pagina è riservata ai clienti esistenti del servizio Amazon Glacier che utilizzano Vaults e l'API REST originale del 2012.

Se stai cercando soluzioni di archiviazione, ti consigliamo di utilizzare le classi di storage Amazon Glacier in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Per ulteriori informazioni su queste opzioni di storage, consulta le classi di storage di Amazon Glacier.

Amazon Glacier (servizio autonomo originale basato su vault) non accetterà più nuovi clienti a partire dal 15 dicembre 2025, senza alcun impatto sui clienti esistenti. Amazon Glacier è un servizio APIs autonomo che archivia i dati in vault ed è distinto dalle classi di storage Amazon S3 e Amazon S3 Glacier. I dati esistenti rimarranno sicuri e accessibili in Amazon Glacier a tempo indeterminato. Non è richiesta alcuna migrazione. Per uno storage di archiviazione a lungo termine a basso costo, AWS consiglia le classi di storage Amazon S3 Glacier, che offrono un'esperienza cliente superiore con disponibilità Regione AWS completa, costi inferiori e integrazione dei servizi APIs basata su bucket S3. AWS Se desideri funzionalità avanzate, prendi in considerazione la migrazione alle classi di storage Amazon S3 Glacier utilizzando la AWS nostra Solutions Guidance per il trasferimento di dati dai vault Amazon Glacier alle classi di storage Amazon S3 Glacier.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per Amazon Glacier

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon Glacier. Per concedere agli utenti l’autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare Creazione di policy IAM (console) nella Guida per l’utente di IAM.

Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Amazon Glacier, incluso il formato di per ogni tipo di ARNs risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon Glacier nel Service Authorization Reference.

Di seguito è riportato un esempio di policy che concede le autorizzazioni per tre azioni relative al vault Amazon Glacier glacier:CreateVault (eglacier:ListVaults) su una risorsaglacier:DescribeVault, utilizzando l'Amazon Resource Name (ARN) che identifica tutti i vault nella regione. us-west-2 AWS ARNs AWS identifica in modo univoco le risorse. Per ulteriori informazioni sull' ARNs utilizzo con Amazon Glacier, consulta. Risorse relative alle policy per Amazon Glacier

JSON

      {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
            {
               "Effect": "Allow",
               "Action": [
               "glacier:CreateVault",
               "glacier:DescribeVault",
               "glacier:ListVaults"
               ],
               "Resource": "arn:aws:glacier:us-west-2:123456789012:vaults/*"
            }
         ]
      }

La policy concede autorizzazioni per creare, elencare e ottenere descrizioni di vault nella regione us-west-2. Il carattere jolly (*) alla fine dell'ARN significa che questa istruzione può corrispondere a qualsiasi nome di vault.

Importante

Quando concedi autorizzazioni per creare un vault utilizzando l'operazione glacier:CreateVault, devi specificare un carattere jolly (*) in quanto non puoi conoscere il nome di vault fino a che non crei il vault.

Best practice per le policy

Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Glacier nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consultare Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.

  • Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consultare Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.

  • Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso a operazioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per maggiori informazioni, consultare la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consultare Best practice di sicurezza in IAM nella Guida per l’utente di IAM.

Utilizzo della console Amazon Glacier

Per accedere alla console Amazon Glacier, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Glacier presenti nel tuo. Account AWS Se si cra una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso o l' AWS CLI API. AWS Al contrario, è opportuno concedere l’accesso solo alle operazioni che corrispondono all’operazione API che stanno cercando di eseguire.

La console Amazon Glacier fornisce un ambiente integrato per creare e gestire vault Amazon Glacier. Come minimo, alle identità IAM che crei devono essere concesse le autorizzazioni per l'glacier:ListVaultsazione di visualizzazione della console Amazon Glacier, come mostrato nell'esempio seguente.

JSON

         {
               "Version":"2012-10-17",		 	 	 
               "Statement": [
                  {
                     "Action": [
                     "glacier:ListVaults"     
                     ],
                     "Effect": "Allow",
                     "Resource": "*"
                  }
               ]
            }

AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon Glacier:

  • AmazonGlacierReadOnlyAccess— Concede l'accesso in sola lettura ad Amazon AWS Management Console Glacier tramite.

  • AmazonGlacierFullAccess— Garantisce l'accesso completo ad Amazon AWS Management Console Glacier tramite.

Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse dell'API Amazon Glacier. Puoi collegare queste policy personalizzate ai ruoli IAM personalizzati che crei per i tuoi vault Amazon Glacier.

Entrambe le politiche gestite di Amazon AWS Glacier discusse nella sezione successiva concedono autorizzazioni per. glacier:ListVaults

Per maggiori informazioni, consultare Aggiunta di autorizzazioni a un utente nella Guida per l’utente di IAM.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando l'API or a livello di codice. AWS CLI AWS 

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di Amazon Glacier. Queste policy funzionano quando utilizzi l'API REST di Amazon Glacier, Amazon, la console di gestione SDKs Amazon Glacier o, se applicabile, AWS CLI la console di gestione Amazon Glacier.

Nota

Tutti gli esempi utilizzano la regione Stati Uniti occidentali (Oregon) () e contengono account fittizius-west-2. IDs

Esempio 1: consentire a un utente di scaricare archivi da un vault

Per scaricare un archivio, devi dapprima avviare un processo per recuperare l'archivio. Quando il processo è completato, puoi scaricare i dati. L'esempio di policy che segue concede autorizzazioni per l'operazione di avvio di un processo glacier:InitiateJob (che consente all'utente di recuperare un archivio o un inventario vault dal vault) e autorizzazioni per l'operazione di download di dati recuperati glacier:GetJobOutput. La policy concede inoltre autorizzazioni per l'esecuzione dell'operazione glacier:DescribeJob di modo che l'utente possa ottenere lo stato del processo. Per ulteriori informazioni, consulta Initiate Job (POST jobs).

La policy concede tali autorizzazioni su un vault denominato examplevault. Puoi ottenere l'ARN del vault dalla console Amazon Glacier o a livello di codice chiamando le azioni o le API. Describe Vault (GET vault) List Vaults (GET vaults)

Esempio 2: consentire a un utente di creare un vault e di configurare le notifiche

L'esempio di policy seguente concede autorizzazioni per creare una vault nella regione us-west-2 come specificato nell'elemento Resource e per configurare le notifiche. Per ulteriori informazioni sull'utilizzo delle notifiche, consulta Configurazione delle notifiche Vault in Amazon Glacier. La policy concede anche le autorizzazioni per elencare i vault nella regione e ottenere una descrizione specifica del vault. AWS

Importante

Quando concedi autorizzazioni per creare un vault utilizzando l'operazione glacier:CreateVault, devi specificare un carattere jolly (*) nel valore Resource in quanto non puoi conoscere il nome di vault fino a che non crei il vault.

Esempio 3: consentire a un utente di caricare archivi in un determinato vault

L'esempio di policy seguente concede autorizzazioni per caricare archivi in una determinata vault nella regione us-west-2. Queste autorizzazioni consentono a un utente di caricare tutto l'archivio in una sola volta utilizzando l'operazione API Upload Archive (POST archive) oppure in parti utilizzando l'operazione API Initiate Multipart Upload (POST multipart-uploads).

Esempio 4: concedere autorizzazioni complete a un utente su un determinato vault

La seguente policy di esempio concede le autorizzazioni per tutte le azioni di Amazon Glacier su un vault denominato. examplevault