ボールトアクセスポリシー - Amazon Glacier
例 1: 特定の Amazon Glacier アクションのクロスアカウント権限の付与例 2: MFA 削除オペレーションのクロスアカウント権限の付与

このページは、ボールトと 2012 年リリース当時の REST API を使用する、Amazon Glacier サービスの既存のお客様のみを対象としています。

アーカイブストレージソリューションをお探しの場合は、Amazon S3 の Amazon Glacier ストレージクラス (S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive) を使用することをお勧めします。これらのストレージオプションの詳細については、「Amazon Glacier ストレージクラス」を参照してください。

Amazon Glacier (元のスタンドアロンボールトベースのサービス) は、新規顧客を受け入れなくなりました。Amazon Glacier は、ボールトにデータを保存する独自の API を備えたスタンドアロンサービスであり、Amazon S3 および Amazon S3 Glacier ストレージクラスとは異なります。既存のデータは Amazon Glacier で無期限に安全性が確保され、引き続きアクセス可能です。移行は必要ありません。低コストの長期アーカイブストレージの場合、 は Amazon S3 Glacier ストレージクラス AWS を推奨します。これにより、S3 バケットベースの APIs、低コスト、 AWS サービス統合で優れたカスタマーエクスペリエンスを実現できます。 AWS リージョン 拡張機能が必要な場合は、Amazon Glacier ボールトから Amazon S3 Glacier ストレージクラスにデータを転送するためのAWS ソリューションガイダンスを使用して、Amazon S3 Glacier ストレージクラスへの移行を検討してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボールトアクセスポリシー

Amazon Glacier ボールトアクセスポリシーは、ボールトに対する権限を管理するのに使用できるリソースベースのポリシーです。

各ボールトに対して 1 つのボールトアクセスポリシーを作成してアクセス権限を管理できます。ボールトアクセスポリシーのアクセス許可は、いつでも変更できます。Amazon Glacier では、各ボールトでのボールトロックポリシーもサポートしています。ボールトロックポリシーは、ロック後に変更できません。ボールトロックポリシーの操作の詳細については、「ボールトロックポリシー」を参照してください。

例 1: 特定の Amazon Glacier アクションのクロスアカウント権限の付与

次のポリシー例では、examplevault というボールトの一連の Amazon Glacier オペレーションに対する 2つの AWS アカウント に、クロスアカウント権限を付与します。

注記

ボールトを所有するアカウントには、ボールトに関連するすべての料金が課金されます。許可された外部アカウントによって行われたすべてのリクエスト、データ転送、および取得のコストは、ボールトを所有するアカウントに課金されます。

例 2: MFA 削除オペレーションのクロスアカウント権限の付与

Multi-Factor Authentication (MFA) を使用して、Amazon Glacier リソースを保護できます。セキュリティのレベルをさらに強化するために、MFA は、ユーザーに有効な MFA コードを入力させて MFA デバイスの物理的所有を証明することを要求します。MFA アクセスの設定の詳細については、「」を参照してください。MFA 保護 API アクセスの設定IAM ユーザーガイド

サンプルポリシーは、リクエストが MFA デバイスで認証されている場合、examplevault という名前のボールトからアーカイブを削除する権限を AWS アカウント 一時的な認証情報で に付与します。ポリシーは aws:MultiFactorAuthPresent 条件キーを使用して、この追加要件を指定します。詳細については、IAM ユーザーガイド一部のサービスに使用可能なキーを参照してください。