**此頁面僅適用於使用 Vaults 和 2012 年原始 REST API 的 Amazon Glacier 服務的現有客戶。**

如果您要尋找封存儲存解決方案，建議您在 Amazon Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive 中使用 Amazon Glacier 儲存類別。 Amazon S3 若要進一步了解這些儲存選項，請參閱 [Amazon Glacier 儲存類別](https://aws.amazon.com/s3/storage-classes/glacier/)。

Amazon Glacier （原始獨立保存庫型服務） 不再接受新客戶。Amazon Glacier 是一項獨立服務，具有自己的 APIs，可將資料存放在保存庫中，並與 Amazon S3 和 Amazon S3 Glacier 儲存類別不同。您現有的資料將在 Amazon Glacier 中無限期保持安全且可存取。不需要遷移。對於低成本、長期的封存儲存， AWS 建議使用 [Amazon S3 Glacier 儲存類別](https://aws.amazon.com/s3/storage-classes/glacier/)，透過 S3 儲存貯體型 APIs、完整 AWS 區域 可用性、降低成本 AWS 和服務整合，提供卓越的客戶體驗。如果您想要增強功能，請考慮使用我們的解決方案指南，將資料從 Amazon S3 Glacier 保存庫傳輸至 Amazon S3 Glacier 儲存類別，以遷移至 Amazon S3 Glacier 儲存類別。 [AWS Amazon Glacier Amazon S3 ](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Glacier 的資源型政策範例
<a name="security_iam_resource-based-policy-examples"></a>

 Amazon Glacier 保存庫可以有一個與之相關聯的保存庫存取政策和一個保存庫鎖定政策。Amazon Glacier *保存庫存取政策*是以資源為基礎的政策，可用來管理保存庫的許可。*保存庫鎖定政策*是可以鎖定的保存庫存取政策。鎖定保存庫鎖定政策後，便無法變更政策。您可以使用保存庫鎖定政策強制執行合規性控制。

**Topics**
+ [保存庫存取政策](vault-access-policy.md)
+ [保存庫鎖定政策](vault-lock-policy.md)

# 保存庫存取政策
<a name="vault-access-policy"></a>

Amazon Glacier 保存庫存取政策是以資源為基礎的政策，可用來管理保存庫的許可。

您可以為每個保存庫建立一個保存庫存取政策，以管理*許可*。您隨時可以修改保存庫存取政策中的許可。Amazon Glacier 也在每個保存庫上支援保存庫鎖定政策，這些政策在您鎖定後就無法變更。如需使用保存庫鎖定政策的詳細資訊，請參閱[保存庫鎖定政策](vault-lock-policy.md)。

**Topics**
+ [範例 1：授予特定 Amazon Glacier 動作的跨帳戶許可](#vault-access-multiple-accounts)
+ [範例 2：授予 MFA 刪除操作的跨帳戶許可](#vault-access-mfa-authentication)

## 範例 1：授予特定 Amazon Glacier 動作的跨帳戶許可
<a name="vault-access-multiple-accounts"></a>

下列範例政策 AWS 帳戶 會針對名為 的保存庫上的一組 Amazon Glacier 操作，將跨帳戶許可授予兩個 `examplevault`。

**注意**  
擁有保存庫的帳戶會被收取與保存庫關聯的所有費用。外部帳戶允許的所有請求、資料傳輸和擷取費用均計入擁有保存庫的帳戶。

## 範例 2：授予 MFA 刪除操作的跨帳戶許可
<a name="vault-access-mfa-authentication"></a>

您可以使用多重要素驗證 (MFA) 來保護 Amazon Glacier 資源。為提供額外等級的安全性，MFA 要求使用者透過提供有效的 MFA 代碼來證明實際擁有 MFA 裝置。如需有關設定 MFA 存取的詳細資訊，請參閱《*IAM 使用者指南*》中的[設定 MFA 保護的 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/MFAProtectedAPI.html)。

範例政策會授予 AWS 帳戶 具有臨時登入資料的 許可，以從名為 examplevault 的保存庫中刪除封存，前提是請求已使用 MFA 裝置進行身分驗證。政策使用 `aws:MultiFactorAuthPresent` 條件金鑰來指定此額外的需求。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[適用於條件的可用索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。

# 保存庫鎖定政策
<a name="vault-lock-policy"></a>

Amazon Glacier (Amazon Glacier) 保存庫可以連接一個資源型保存庫存取政策和一個保存庫鎖定政策。*保存庫鎖定政策*是您可以鎖定的保存庫存取政策。使用保存庫鎖定政策可協助您強制執行法規和合規要求。Amazon Glacier 為您提供一組 API 操作來管理保存庫鎖定政策，請參閱 [使用 Amazon Glacier API 鎖定保存庫](vault-lock-how-to-api.md)。

做為保存庫鎖定政策的範例，假設您的保存庫必須保留封存一年才能將其刪除。為了實作此要求，您可以建立保存庫鎖定政策，拒絕使用者刪除封存的權限，直到封存已存在一年。您可以在鎖定之前測試此政策。鎖定政策後，政策將不可改變。如需鎖定程序的詳細資訊，請參閱[保存庫鎖定政策](#vault-lock-policy)。如果您要管理可以變更的其他使用者許可，則可以使用保存庫存取政策 (請參閱 [保存庫存取政策](vault-access-policy.md))。

您可以使用 Amazon Glacier API AWS CLI、Amazon SDKs 或 Amazon Glacier 主控台來建立和管理保存庫鎖定政策。如需保存庫資源型政策允許的 Amazon Glacier 動作清單，請參閱 [API 許可參考](glacier-api-permissions-ref.md)。

**Topics**
+ [範例 1：用於不超過 365 天的封存之拒絕刪除權限](#vault-lock-archive-age)
+ [範例 2：根據標籤拒絕刪除權限](#vault-lock-legal-hold-tag)

## 範例 1：用於不超過 365 天的封存之拒絕刪除權限
<a name="vault-lock-archive-age"></a>

假設有一個法規要求，封存保留長達一年，才能將它們刪除。您可以透過實作以下保存庫鎖定政策來強制執行該要求。文件庫存取政策拒絕 `glacier:DeleteArchive` 動作 examplevault 如果要刪除的檔案小於 1 年。此政策使用 Amazon Glacier 特定條件金鑰`ArchiveAgeInDays`來強制執行一年保留要求。

## 範例 2：根據標籤拒絕刪除權限
<a name="vault-lock-legal-hold-tag"></a>

假設您有一個以時間為基礎的保留規則，即一個封存可以在不到一年的時間內被刪除。同時，假設您需要對封存進行合法保留，以防止在法律調查期間無限期地刪除或修改。在這種情況下，法律保留優先於保存庫鎖定政策中指定的以時間為基礎的保留規則。

為了實施這兩個規則，以下範例政策有兩個陳述式：
+ 第一個陳述式拒絕給每個人的刪除許可、鎖定文件庫。此鎖是使用 `LegalHold` 標籤執行的。
+ 第二個陳述式授予封存小於 365 天的刪除權限。但是，即使存檔少於 365 天，在第一個陳述式中的條件符合時，就沒有人可以將封存刪除。