Control del acceso de Amazon S3 Glacier con políticas de bloqueo de almacenes - Amazon S3 Glacier

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso de Amazon S3 Glacier con políticas de bloqueo de almacenes

Un almacén de Amazon S3 Glacier (S3 Glacier) puede tener asociada una política de acceso a almacenes basada en recursos y una política de bloqueo de almacenes. La política de bloqueo de almacenes es una política de acceso a almacenes que se puede bloquear. La política de bloqueo de almacenes puede ayudarle a aplicar requisitos normativos y de conformidad. Amazon S3 Glacier ofrece un conjunto de operaciones API que le permiten administrar las políticas de bloqueo de almacenes; consulteBloqueo de un almacén con la API de Amazon S3 Glacier.

Para ver un ejemplo una política de bloqueo de almacenes, supongamos que le obligan a conservar los archivos durante un año antes de poder eliminarlos. Si desea implementar este requisito, puede crear una política de bloqueo de almacenes que deniegue permisos a los usuarios para eliminar un archivo hasta que tenga un año de antigüedad. Puede probar esta política antes de bloquearla. Una vez bloqueada, la política se vuelve inmutable. Para obtener más información acerca del proceso de bloqueo, consulte Bloqueo de almacenes de Amazon S3 Glacier. Si desea administrar otros permisos de usuario que puedan modificarse, puede utilizar la política de acceso a almacenes (consulte Control del acceso de Amazon S3 Glacier con políticas de acceso a almacenes).

Puede utilizar la API de S3 Glacier, los SDK de Amazon,AWS CLIo la consola de S3 Glacier para crear y administrar políticas de bloqueo de almacenes. Para ver una lista de las acciones de S3 Glacier permitidas en las políticas basadas en recursos de almacenes, consultePermisos de la API de Amazon S3 Glacier: Referencia de acciones, recursos y condiciones.

Ejemplo 1: Denegar permisos de eliminación de archivos con una antigüedad inferior a 365 días

Supongamos que una normativa le obliga a conservar los archivos un periodo mínimo de un año antes de poder eliminarlos. Puede aplicar este requisito implementando la siguiente política de bloqueo de almacenes. La política deniega la acción glacier:DeleteArchive en el almacén examplevault si el archivo que se está eliminando tiene una antigüedad inferior a un año. La directiva utiliza la clave de condición específica de S3 GlacierArchiveAgeInDaysPara aplicar el requisito de conservación de un año.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }

Supongamos que tiene una regla de conservación basada en un período de tiempo que establece que los archivos se pueden eliminar si tienen menos de un año de antigüedad. Al mismo tiempo, supongamos que tiene que aplicar una disposición legal para retener los archivos e impedir que se eliminen o modifiquen por tiempo indefinido durante una investigación legal. En este caso, la disposición legal de retención tiene prioridad frente a la regla de conservación basada en un período de tiempo que se especificó en la política de bloqueo de almacenes.

Para poder aplicar estas dos reglas, la siguiente política de ejemplo consta de dos instrucciones:

  • La primera instrucción deniega los permisos de eliminación a todo el mundo, lo que bloquea el almacén. Este bloqueo se realiza a través de la etiqueta LegalHold.

  • La segunda instrucción concede permisos de eliminación cuando el archivo tiene menos de 365 días de antigüedad. Sin embargo, aunque los archivos tengan menos de 365 días, nadie podrá eliminarlos cuando se cumpla la condición de la primera instrucción.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }