**此页面仅适用于使用文件库和 2012 年原始 REST API 的 Amazon Glacier 服务的现有客户。**
如果您正在寻找归档存储解决方案,建议使用 Amazon S3 中的 Amazon Glacier 存储类别 S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive。要了解有关这些存储选项的更多信息,请参阅 [Amazon Glacier 存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)。
Amazon Glacier(最初基于保管库的独立服务)不再接受新客户。Amazon Glacier 是一项独立的服务 APIs ,拥有自己的服务,可将数据存储在文件库中,不同于亚马逊 S3 和 Amazon S3 Glacier 存储类别。在 Amazon Glacier 中,您现有的数据将确保安全,并且可以无限期地访问。无需进行迁移。对于低成本、长期的存档存储, AWS 建议[使用 Amazon S3 Glacier 存储类别,这些存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)基于S3存储桶 APIs、完全 AWS 区域 可用性、更低的成本和 AWS 服务集成,可提供卓越的客户体验。如果您希望加强功能,可以考虑使用我们的 [AWS 将数据从 Amazon Glacier 文件库传输到 Amazon S3 Glacier 存储类别的解决方案指南](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/),迁移到 Amazon S3 Glacier 存储类别。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 文件库访问策略
Amazon Glacier 文件库访问策略是一种基于资源的策略,可用于管理对文件库的权限。
您可以为每个文件库创建一个文件库访问策略来管理*权限*。您可以随时修改文件库访问策略中的权限。Amazon Glacier 还支持对每个文件库设置文件库锁定策略,文件库被锁定后即无法更改。有关使用文件库锁定策略的更多信息,请参阅[文件库锁定策略](vault-lock-policy.md)。
**Topics**
+ [示例 1:授予特定的 Amazon Glacier 操作的跨账户权限](#vault-access-multiple-accounts)
+ [示例 2:授予 MFA 删除操作的跨账户权限](#vault-access-mfa-authentication)
## 示例 1:授予特定的 Amazon Glacier 操作的跨账户权限
以下示例策略向两个 AWS 账户 授予对名为 `examplevault` 的文件库执行一组 Amazon Glacier 操作的跨账户权限。
**注意**
拥有该文件库的账户需要支付与该文件库关联的所有费用。由允许的外部账户产生的所有请求、数据传输和检索费用均由拥有该文件库的账户支付。
## 示例 2:授予 MFA 删除操作的跨账户权限
您可以使用多重身份验证(MFA)来保护您的 Amazon Glacier 资源。为了提供额外的安全级别,MFA 要求用户通过提供有效的 MFA 代码来证明其实际拥有 MFA 设备。有关配置 MFA 访问权限的更多信息,请参阅《IAM 用户指南》中的[配置受 MFA 保护的 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/MFAProtectedAPI.html)**。
示例策略向 AWS 账户 具有临时证书的用户授予从名为 examplevault 的文件库中删除档案的权限,前提是该请求已使用 MFA 设备进行身份验证。此策略使用 `aws:MultiFactorAuthPresent` 条件键指定这一附加要求。有关更多信息,请参阅《IAM 用户指南》**中的[可用的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。