

 **이 페이지는 볼트와 2012년부터 원래 REST API를 사용하는 Amazon Glacier 서비스의 기존 고객만 사용할 수 있습니다.**

아카이브 스토리지 솔루션을 찾고 있다면 Amazon S3의 Amazon Glacier 스토리지 클래스, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval 및 S3 Glacier Deep Archive를 사용하는 것이 좋습니다. 이러한 스토리지 옵션에 대한 자세한 내용은 [Amazon Glacier 스토리지 클래스](https://aws.amazon.com/s3/storage-classes/glacier/)를 참조하세요.

Amazon Glacier(기존 독립 실행형 볼트 기반 서비스)는 더 이상 신규 고객을 받지 않습니다. Amazon Glacier는 데이터를 볼트에 저장하고 Amazon S3 및 Amazon S3 Glacier 스토리지 클래스와 구별되는 자체 API를 갖춘 독립 실행형 서비스입니다. 기존 데이터는 Amazon Glacier에서 무기한으로 안전하게 보관되며 액세스 가능합니다. 마이그레이션은 필요하지 않습니다. 저비용 장기 아카이브 스토리지의 경우는 [S3 버킷 기반 API, 전체 가용성, 저렴한 비용 및 서비스 통합을 통해 우수한 고객 경험을 제공하는 Amazon S3 Glacier 스토리지 클래스](https://aws.amazon.com/s3/storage-classes/glacier/)를 AWS 권장합니다. S3 APIs AWS 리전 AWS 향상된 기능을 원하는 경우 [Amazon Glacier 볼트에서 Amazon S3 Glacier 스토리지 클래스로 데이터를 전송하기 위한AWS 솔루션 지침](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)을 사용하여 Amazon S3 Glacier 스토리지 클래스로 마이그레이션하는 것이 좋습니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Glacier용 리소스 기반 정책 예제
<a name="security_iam_resource-based-policy-examples"></a>

 Amazon Glacier 볼트에는 각각 볼트 액세스 정책 1개와 볼트 잠금 정책 1개를 연결할 수 있습니다. Amazon Glacier *볼트 액세스 정책*은 볼트에 대한 권한을 관리할 때 사용할 수 있는 리소스 기반 정책입니다. *볼트 잠금 정책*은 잠글 수 있는 볼트 액세스 정책입니다. 볼트 잠금 정책으로 고정한 후에는 정책을 변경할 수 없습니다. 볼트 잠금 정책은 규정 준수 제어 항목을 적용할 때 사용됩니다.

**Topics**
+ [볼트 액세스 정책](vault-access-policy.md)
+ [볼트 잠금 정책](vault-lock-policy.md)

# 볼트 액세스 정책
<a name="vault-access-policy"></a>

Amazon Glacier 볼트 액세스 정책은 볼트에 대한 권한을 관리할 때 사용할 수 있는 리소스 기반 정책입니다.

각 볼트마다 *권한*을 관리할 수 있는 볼트 액세스 정책은 한 가지만 생성할 수 있습니다. 언제든 볼트 액세스 정책에서 권한을 수정할 수 있습니다. 또한 Amazon Glacier는 각 볼트에 대해 볼트 잠금 정책을 지원합니다. 이 정책에 따르면 볼트를 잠근 후에는 변경할 수 없습니다. 볼트 잠금 정책의 사용에 대한 자세한 내용은 [볼트 잠금 정책](vault-lock-policy.md) 섹션을 참조하세요.

**Topics**
+ [예시 1: 특정 Amazon Glacier 작업용 교차 계정 권한 부여](#vault-access-multiple-accounts)
+ [예제 2: MFA 삭제 작업에 대한 교차 계정 권한 부여](#vault-access-mfa-authentication)

## 예시 1: 특정 Amazon Glacier 작업용 교차 계정 권한 부여
<a name="vault-access-multiple-accounts"></a>

다음 정책 예시에서는 이름이 `examplevault`인 볼트의 Amazon Glacier 작업 세트를 위한 교차 계정 권한을 두 AWS 계정 에 부여합니다.

**참고**  
볼트가 속하는 계정에게는 볼트와 관련된 모든 비용이 청구됩니다. 허용되는 외부 계정에서 실행한 요청, 데이터 전송 및 가져오기 비용 역시 볼트가 속한 계정에게 청구됩니다.

## 예제 2: MFA 삭제 작업에 대한 교차 계정 권한 부여
<a name="vault-access-mfa-authentication"></a>

다중 인증(MFA)을 사용하여 Amazon Glacier 리소스를 보호할 수 있습니다. MFA에서 보안 계층을 추가하려면 사용자가 유효한 MFA 코드를 입력하여 MFA 디바이스에 대한 물리적인 소유권을 입증해야 합니다. MFA 액세스 구성에 대한 자세한 정보는 **IAM 사용 설명서의 [MFA 보호 API 액세스 구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/MFAProtectedAPI.html)을 참조하세요.

예제 정책은 요청이 MFA 디바이스로 인증된 경우 임시 자격 증명이 AWS 계정 있는에 examplevault라는 볼트에서 아카이브를 삭제할 수 있는 권한을 부여합니다. 이 정책은 `aws:MultiFactorAuthPresent` 조건 키를 사용하여 이러한 추가 요건을 지정합니다. 자세한 내용은 **IAM 사용 설명서의 [조건에 사용 가능한 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)를 참조하세요.

# 볼트 잠금 정책
<a name="vault-lock-policy"></a>

Amazon Glacier(Amazon Glacier) 볼트는 각각 리소스 기반 볼트 액세스 정책 한 개와 볼트 잠금 정책 한 개를 연결할 수 있습니다. *볼트 잠금 정책*은 잠글 수 있는 볼트 액세스 정책입니다. 볼트 잠금 정책을 사용하면 규제 및 규정 준수 요구 사항을 적용할 수 있습니다. Amazon Glacier가 제공하는 볼트 잠금 정책을 관리하기 위한 API 작업 세트는 [Amazon Glacier API를 사용하여 볼트 잠금](vault-lock-how-to-api.md) 섹션을 참조하세요.

볼트 잠금 정책의 예를 들자면, 아카이브를 삭제하기 전에 1년간 저장해야 한다고 가정하겠습니다. 이러한 요건을 만족하려면 먼저 아카이브를 1년간 저장할 때까지 사용자가 아카이브를 삭제하지 못하도록 볼트 잠금 정책을 생성해야 합니다. 생성된 정책은 고정하기 전에 테스트할 수 있습니다. 일단 고정된 정책은 변경할 수 없습니다. 잠금 프로세스에 대한 자세한 내용은 [볼트 잠금 정책](#vault-lock-policy) 섹션을 참조하세요. 그 밖에 변경 가능한 사용자 권한을 관리하려면 볼트 액세스 정책을 사용할 수 있습니다([볼트 액세스 정책](vault-access-policy.md) 참조).

Amazon Glacier API, Amazon SDKs AWS CLI또는 Amazon Glacier 콘솔을 사용하여 볼트 잠금 정책을 생성하고 관리할 수 있습니다. 볼트 리소스 기반 정책에서 허용되는 Amazon Glacier 작업 목록은 [API 권한 준거](glacier-api-permissions-ref.md) 섹션을 참조하세요.

**Topics**
+ [예제 1: 365일이 지나지 않은 아카이브에 대한 삭제 권한 거부](#vault-lock-archive-age)
+ [예제 2: 태그를 기반으로 한 삭제 권한 거부](#vault-lock-legal-hold-tag)

## 예제 1: 365일이 지나지 않은 아카이브에 대한 삭제 권한 거부
<a name="vault-lock-archive-age"></a>

예를 들어 규제 요건에 따라 아카이브를 삭제하기 전에 최대 1년까지 저장해야 한다고 가정하겠습니다. 이러한 요건은 다음 볼트 잠금 정책을 구현하여 만족할 수 있습니다. 이 정책에 따라 삭제하려는 아카이브의 저장 기간이 1년 미만인 경우에는 examplevault 볼트에 대한 `glacier:DeleteArchive` 작업이 거부됩니다. 이 정책은 Amazon Glacier별 조건 키인 `ArchiveAgeInDays`를 사용하여 1년 보존 요건을 적용합니다.

## 예제 2: 태그를 기반으로 한 삭제 권한 거부
<a name="vault-lock-legal-hold-tag"></a>

저장 기간이 1년 미만인 아카이브는 삭제할 수 있다는 시간 기반 저장 규칙이 있다고 가정하겠습니다. 또한 법적 조사 기간에는 아카이브를 삭제 또는 변경할 수 없도록 법적 보존을 무기한 설정해야 한다고 가정하겠습니다. 이 경우 법적 보존이 볼트 잠금 정책에서 지정한 시간 기반 저장 규칙보다 우선합니다.

다음 정책 예제에는 이러한 두 가지 정책을 적용할 수 있도록 2개의 문이 있습니다.
+ 첫 번째 문은 볼트를 잠가서 모든 사용자의 삭제 권한을 거부합니다. 이 잠금에서는 `LegalHold` 태그를 사용합니다.
+ 두 번째 문은 아카이브의 저장 기간이 365일 미만일 때 삭제 권한을 부여합니다. 하지만 아카이브의 저장 기간이 365일 미만이라고 해도 첫 번째 문의 조건에 부합될 경우 아무도 삭제할 수 없습니다.