**此页面仅适用于使用文件库和 2012 年原始 REST API 的 Amazon Glacier 服务的现有客户。**

如果您正在寻找归档存储解决方案，建议使用 Amazon S3 中的 Amazon Glacier 存储类别 S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive。要了解有关这些存储选项的更多信息，请参阅 [Amazon Glacier 存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)。

Amazon Glacier（最初基于保管库的独立服务）不再接受新客户。Amazon Glacier 是一项独立的服务 APIs ，拥有自己的服务，可将数据存储在文件库中，不同于亚马逊 S3 和 Amazon S3 Glacier 存储类别。在 Amazon Glacier 中，您现有的数据将确保安全，并且可以无限期地访问。无需进行迁移。对于低成本、长期的存档存储， AWS 建议[使用 Amazon S3 Glacier 存储类别，这些存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)基于S3存储桶 APIs、完全 AWS 区域 可用性、更低的成本和 AWS 服务集成，可提供卓越的客户体验。如果您希望加强功能，可以考虑使用我们的 [AWS 将数据从 Amazon Glacier 文件库传输到 Amazon S3 Glacier 存储类别的解决方案指南](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)，迁移到 Amazon S3 Glacier 存储类别。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Glacier 基于资源的策略示例
<a name="security_iam_resource-based-policy-examples"></a>

 Amazon Glacier 文件库可以有一个文件库访问策略和一个文件库锁定策略与之关联。Amazon Glacier *文件库访问策略*是一种基于资源的策略，可用于管理对文件库的权限。*文件库锁定策略* 是可锁定的文件库访问策略。在锁定文件库锁定策略后，无法更改策略。可以使用文件库锁定策略来实施合规性控制。

**Topics**
+ [

# 文件库访问策略
](vault-access-policy.md)
+ [

# 文件库锁定策略
](vault-lock-policy.md)

# 文件库访问策略
<a name="vault-access-policy"></a>

Amazon Glacier 文件库访问策略是一种基于资源的策略，可用于管理对文件库的权限。

您可以为每个文件库创建一个文件库访问策略来管理*权限*。您可以随时修改文件库访问策略中的权限。Amazon Glacier 还支持对每个文件库设置文件库锁定策略，文件库被锁定后即无法更改。有关使用文件库锁定策略的更多信息，请参阅[文件库锁定策略](vault-lock-policy.md)。

**Topics**
+ [

## 示例 1：授予特定的 Amazon Glacier 操作的跨账户权限
](#vault-access-multiple-accounts)
+ [

## 示例 2：授予 MFA 删除操作的跨账户权限
](#vault-access-mfa-authentication)

## 示例 1：授予特定的 Amazon Glacier 操作的跨账户权限
<a name="vault-access-multiple-accounts"></a>

以下示例策略向两个 AWS 账户 授予对名为 `examplevault` 的文件库执行一组 Amazon Glacier 操作的跨账户权限。

**注意**  
拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。

## 示例 2：授予 MFA 删除操作的跨账户权限
<a name="vault-access-mfa-authentication"></a>

您可以使用多重身份验证（MFA）来保护您的 Amazon Glacier 资源。为了提供额外的安全级别，MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问权限的更多信息，请参阅《IAM 用户指南》中的[配置受 MFA 保护的 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/MFAProtectedAPI.html)**。

示例策略向 AWS 账户 具有临时证书的用户授予从名为 examplevault 的文件库中删除档案的权限，前提是该请求已使用 MFA 设备进行身份验证。此策略使用 `aws:MultiFactorAuthPresent` 条件键指定这一附加要求。有关更多信息，请参阅《IAM 用户指南》**中的[可用的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。

# 文件库锁定策略
<a name="vault-lock-policy"></a>

可以为 Amazon Glacier（Amazon Glacier）文件库附加一个基于资源的文件库访问策略和一个文件库锁定策略。*文件库锁定策略* 是您可以锁定的文件库访问策略。使用文件库锁定策略可以帮助您强制执行监管和合规性要求。Amazon Glacier 提供了一组用于管理文件库锁策略的 API 操作，请参阅[使用 Amazon Glacier API 锁定文件库](vault-lock-how-to-api.md)。

我们举例来说明文件库锁定策略，假设您需要先将档案保留一年，然后才能删除档案。要实施此要求，您可以创建一个文件库锁定策略，以便在档案保留时间达到 1 年之前拒绝用户档案的权限。在锁定一个策略之前，可以先测试该策略。锁定策略后，策略将是不可变的。有关锁定过程的更多信息，请参阅[文件库锁定策略](#vault-lock-policy)。如果您要管理可更改的其他用户权限，可以使用文件库访问策略（请参阅[文件库访问策略](vault-access-policy.md)）。

您可以使用 Amazon Glacier API SDKs AWS CLI、亚马逊或 Amazon Glacier 控制台来创建和管理文件库锁定策略。有关基于文件库资源的策略所允许的 Amazon Glacier 操作的列表，请参阅 [API 权限参考](glacier-api-permissions-ref.md)。

**Topics**
+ [

## 示例 1：拒绝针对保留时间不到 365 天的档案的删除权限
](#vault-lock-archive-age)
+ [

## 示例 2：根据标签来拒绝删除权限
](#vault-lock-legal-hold-tag)

## 示例 1：拒绝针对保留时间不到 365 天的档案的删除权限
<a name="vault-lock-archive-age"></a>

假定您需要符合法规要求，只能删除保留时间达到 1 年的档案。可通过实施以下文件库锁定策略来实施此要求。如果要删除的档案的保留时间不到 1 年，则该策略将拒绝对 examplevault 文件库执行 `glacier:DeleteArchive` 操作。该策略使用特定于 Amazon Glacier 的条件键 `ArchiveAgeInDays` 来实施 1 年保留要求。

## 示例 2：根据标签来拒绝删除权限
<a name="vault-lock-legal-hold-tag"></a>

假定您实施了一个基于时间的保留规则，即允许在档案保留时间不到 1 年的情况下删除档案。同时，假定您需要对您的档案实施法定保留策略，以在法律调查期间无限期地禁止删除或修改操作。在这种情况下，法定保留优先于文件库锁定策略中指定的基于时间的保留规则。

为了实施这两个规则，以下示例策略包含两条语句：
+ 第一条语句拒绝任何人删除档案（锁定文件库）。可通过使用 `LegalHold` 标签执行此锁定。
+ 第二条语句授予在档案保留时间不到 365 天的情况下删除档案的权限。但是，如果满足第一条语句中的条件，即使在档案保留时间不到 365 天的情况下，任何人也无法删除档案。