Tresorverriegelungs-Richtlinien - Amazon S3 Glacier

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tresorverriegelungs-Richtlinien

Ein Amazon S3 Glacier (S3 Glacier) -Tresor kann über eine ressourcenbasierte Tresorzugriffsrichtlinie und eine Vault-Lock-Richtlinie verfügen. Eine Tresorverriegelungs-Richtlinie ist eine Tresorzugriffsrichtlinie, die Sie sperren können. Die Verwendung einer Vault Lock-Richtlinie kann Ihnen helfen, regulatorische und Compliance-Anforderungen durchzusetzen. Amazon Glacier bietet eine Reihe von API-Operationen, mit denen Sie die Vault-Lock-Richtlinien verwalten können, sieheSperren eines Tresors mithilfe der S3 Glacier API.

Nehmen wir als ein Beispiel für eine Tresorverriegelungs-Richtlinie an, dass Sie verpflichtet sind, Archive für ein Jahr aufzubewahren, bevor Sie sie löschen dürfen. Um diese Anforderung zu implementieren, können Sie eine Tresorverriegelungs-Richtlinie erstellen, die Benutzern die Berechtigung verweigert, ein Archiv zu löschen, wenn dieses Archiv noch nicht ein Jahr lang existiert. Sie können diese Richtlinie testen, bevor Sie sie sperren. Nachdem Sie die Richtlinie gesperrt haben, kann sie nicht mehr geändert werden. Weitere Informationen über den Verriegelungsprozess finden Sie unter Tresorverriegelungs-Richtlinien. Wenn Sie andere Benutzerberechtigungen verwalten möchten, die geändert werden können, können Sie die Tresorzugriffsrichtlinie verwenden (siehe Richtlinien für den Tresorzugriff).

Sie können die S3 Glacier-API, Amazon SDKs oder die S3 Glacier-Konsole verwendenAWS CLI, um Vault Lock-Richtlinien zu erstellen und zu verwalten. Eine Liste der S3 Glacier-Aktionen, die für ressourcenbasierte Richtlinien im Tresor zulässig sind, finden Sie unterReferenztabelle für -API-Berechtigungen.

Beispiel 1: Berechtigungen zum Löschen von Archiven, die weniger als 365 Tage alt sind, verweigern

Angenommen, Sie haben eine gesetzliche Verpflichtung, Archive bis zu einem Jahr aufzubewahren, bevor Sie sie löschen können. Sie können diese Anforderung durchsetzen, indem Sie die folgende Tresorverriegelungs-Richtlinie implementieren. Die Richtlinie verweigert die Aktion glacier:DeleteArchive auf dem Tresor „examplevault“, wenn das zu löschende Archiv weniger als ein Jahr alt ist. Die Richtlinie verwendet den S3 Glacier-spezifischen BedingungsschlüsselArchiveAgeInDays, um die einjährige Aufbewahrungspflicht durchzusetzen.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }

Angenommen, Sie haben eine zeitabhängige Aufbewahrungsregel, nach der ein Archiv gelöscht werden kann, wenn es weniger als ein Jahr alt ist. Nehmen Sie gleichzeitig an, dass Sie Ihre Archive rechtssicher aufbewahren müssen, um auf unbestimmte Zeit eine Löschung oder Änderung während einer gerichtlichen Untersuchung zu verhindern. In diesem Fall hat die Pflicht zur rechtssicheren Aufbewahrung Vorrang vor der zeitabhängigen Aufbewahrungsregel, die in der Tresorverriegelungs-Richtlinie spezifiziert wurde.

Um diese beiden Regeln in Kraft zu setzen, enthält die folgende Beispielrichtlinie zwei Anweisungen:

  • Die erste Anweisung verweigert allen Benutzern die Berechtigung zum Löschen und verriegelt den Tresor. Diese Verriegelung erfolgt mithilfe des Tags LegalHold.

  • Die zweite Anweisung gewährt Berechtigungen zum Löschen, wenn das Archiv weniger als 365 Tage alt ist. Aber selbst wenn Archive weniger als 365 Tage alt sind, kann niemand sie löschen, wenn die Bedingung in der ersten Anweisung erfüllt ist.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }