Tresorverriegelungs-Richtlinien - Amazon S3 Glacier

Wenn Sie mit dem Archivierungsspeicher in Amazon Simple Storage Service (Amazon S3) noch nicht vertraut sind, empfehlen wir Ihnen, sich zunächst über die S3-Glacier-Speicherklassen in Amazon S3 (S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive) zu informieren. Weitere Informationen finden Sie unter S3 Glacier-Speicherklassen und Speicherklassen für die Archivierung von Objekten im Amazon S3 S3-Benutzerhandbuch.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tresorverriegelungs-Richtlinien

Einem Amazon S3 Glacier (S3 Glacier)-Tresor können eine ressourcenbasierte Tresorzugriffsrichtlinie und eine Tresorverriegelungsrichtlinie angefügt werden. Eine Tresorverriegelungs-Richtlinie ist eine Tresorzugriffsrichtlinie, die Sie sperren können. Die Verwendung einer Tresorverriegelungsrichtlinie kann Ihnen dabei helfen, Anforderungen für gesetzliche Vorschriften und Compliance durchzusetzen. Amazon S3 Glacier unterstützt verschiedene API-Operationen, mit denen Sie die Tresorverriegelungsrichtlinien verwalten können, siehe Verriegeln eines Tresors mithilfe der S3-Glacier-API.

Nehmen wir als ein Beispiel für eine Tresorverriegelungs-Richtlinie an, dass Sie verpflichtet sind, Archive für ein Jahr aufzubewahren, bevor Sie sie löschen dürfen. Um diese Anforderung zu implementieren, können Sie eine Tresorverriegelungs-Richtlinie erstellen, die Benutzern die Berechtigung verweigert, ein Archiv zu löschen, wenn dieses Archiv noch nicht ein Jahr lang existiert. Sie können diese Richtlinie testen, bevor Sie sie sperren. Nachdem Sie die Richtlinie gesperrt haben, kann sie nicht mehr geändert werden. Weitere Informationen über den Verriegelungsprozess finden Sie unter Tresorverriegelungs-Richtlinien. Wenn Sie andere Benutzerberechtigungen verwalten möchten, die geändert werden können, können Sie die Tresorzugriffsrichtlinie verwenden (siehe Richtlinien für den Tresorzugriff).

Sie können die S3-Glacier-API, Amazon-SDKs, AWS CLI oder S3-Glacier-Konsole verwenden, um Tresorverriegelungsrichtlinien zu erstellen und zu verwalten. Eine Liste von zulässigen S3-Glacier-Aktionen für ressourcenbasierte Tresorrichtlinien finden Sie unter Referenztabelle für -API-Berechtigungen.

Beispiel 1: Berechtigungen zum Löschen von Archiven, die weniger als 365 Tage alt sind, verweigern

Angenommen, Sie haben eine gesetzliche Verpflichtung, Archive bis zu einem Jahr aufzubewahren, bevor Sie sie löschen können. Sie können diese Anforderung durchsetzen, indem Sie die folgende Tresorverriegelungs-Richtlinie implementieren. Die Richtlinie verweigert die Aktion glacier:DeleteArchive auf dem Tresor „examplevault“, wenn das zu löschende Archiv weniger als ein Jahr alt ist. Die Richtlinie verwendet den S3-Glacier-spezifischen Bedingungsschlüssel ArchiveAgeInDays, um die Pflicht zur einjährigen Aufbewahrung durchzusetzen.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }

Angenommen, Sie haben eine zeitabhängige Aufbewahrungsregel, nach der ein Archiv gelöscht werden kann, wenn es weniger als ein Jahr alt ist. Nehmen Sie gleichzeitig an, dass Sie Ihre Archive rechtssicher aufbewahren müssen, um auf unbestimmte Zeit eine Löschung oder Änderung während einer gerichtlichen Untersuchung zu verhindern. In diesem Fall hat die Pflicht zur rechtssicheren Aufbewahrung Vorrang vor der zeitabhängigen Aufbewahrungsregel, die in der Tresorverriegelungs-Richtlinie spezifiziert wurde.

Um diese beiden Regeln in Kraft zu setzen, enthält die folgende Beispielrichtlinie zwei Anweisungen:

  • Die erste Anweisung verweigert allen Benutzern die Berechtigung zum Löschen und verriegelt den Tresor. Diese Verriegelung erfolgt mithilfe des Tags LegalHold.

  • Die zweite Anweisung gewährt Berechtigungen zum Löschen, wenn das Archiv weniger als 365 Tage alt ist. Aber selbst wenn Archive weniger als 365 Tage alt sind, kann niemand sie löschen, wenn die Bedingung in der ersten Anweisung erfüllt ist.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }