Amazon Glacierは、非常に安価で(月額 $0.01/GBから)、セキュアかつ堅牢性の高いデータストレージを提供しています。Glacierに格納される各アイテムはアーカイブと呼ばれ、個々のアーカイブの最大サイズは40TBまでになります。またアーカイブ数は制限なくVaultに格納することが可能です。
本日より、AWSアカウント内での個々のVaultに対して新たなアクセス権を管理する機能を提供します。Vaultアクセスポリシーを定義することで、ユーザ個々、ビジネスグループ、外部のビジネスパートナーなどに対してアクセス権を付与することが可能になります。ユーザやグループ毎にIAMポリシーを定義することよりも、Vaultに対して単一のアクセスポリシーを定義した方が容易な場合が多くあります。例えば、Vaultに対して全ての削除リクエストを拒否するようなVaultアクセスポリシーを設定することで、重要なデータを誤って削除するようなことも簡単に防げます。
こういった場合は、複数のユーザやグループのIAMポリシーに設定するよりも、Vaultアクセスポリシーを利用するほうがシンプルになります。
AWS Management Console、AWSコマンドラインインターフェース(CLI)、AWS Tools for Windows PowerShell、もしくはGlacier API経由でVaultアクセスポリシーの設定が行えます。Vaultに対して1つのアクセスポリシーを定義でき、これにより特定のユーザやグループからの様々なAPIコールに対してAllowやDenyアクセスの指定ができます。またクロスアカウントアクセスを有効にすることで、他のAWSアカウントとVaultを共有することも可能になります。
AWS Management Consoleから
コンソールを利用したポリシーの設定について紹介します。まず、コンソールを開き、対象のVaultを選択します。新たにPermissionsタブが表示されているかと思います。
Edit Policy DocumentとAdd Permissionをクリックします。下記のように全ての削除リクエストを拒否するポリシーを設定してみます:
Add PermissionとSaveをクリックすることでポリシーが保存されウィンドウが閉じられます:
すぐに利用可能
本機能はすでに有効となっておりすぐにご利用いただけます!詳細に関しては、Glacier DeveloperガイドのVault Access Policiesをご確認ください
— Jeff (訳 北迫)