Si aún no se ha familiarizado con el almacenamiento de archivos en Amazon Simple Storage Service (Amazon S3), se recomienda que comience por obtener más información sobre las clases de almacenamiento de S3 Glacier en Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval y S3 Glacier Deep Archive. Para obtener más información, consulte Clases de almacenamiento de S3 Glacier y Clases
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de bloqueo de almacenes
Un almacén de Amazon S3 Glacier (S3 Glacier) puede tener asociada una política de acceso a almacenes basada en recursos y una política de bloqueo de almacenes. La política de bloqueo de almacenes es una política de acceso a almacenes que se puede bloquear. La política de bloqueo de almacenes puede ayudarle a aplicar requisitos normativos y de conformidad. Amazon S3 Glacier pone a su disposición un conjunto de operaciones API que le permiten administrar las políticas de bloqueo de almacenes. Consulte Bloqueo de un almacén con la API de S3 Glacier.
Para ver un ejemplo una política de bloqueo de almacenes, supongamos que le obligan a conservar los archivos durante un año antes de poder eliminarlos. Si desea implementar este requisito, puede crear una política de bloqueo de almacenes que deniegue permisos a los usuarios para eliminar un archivo hasta que tenga un año de antigüedad. Puede probar esta política antes de bloquearla. Una vez bloqueada, la política se vuelve inmutable. Para obtener más información acerca del proceso de bloqueo, consulte Políticas de bloqueo de almacenes. Si desea administrar otros permisos de usuario que puedan modificarse, puede utilizar la política de acceso a almacenes (consulte Políticas de acceso a almacenes).
Puede utilizar la API de S3 Glacier, los SDK de Amazon, la AWS CLI o la consola de S3 Glacier para crear y administrar las políticas de bloqueo de almacenes. Para ver una lista de las acciones de S3 Glacier permitidas en las políticas basadas en recursos, consulte Referencia de permisos de la API.
Ejemplos
Ejemplo 1: Denegar permisos de eliminación para archivos con una antigüedad inferior a 365 días
Supongamos que una normativa le obliga a conservar los archivos un periodo mínimo de un año antes de poder eliminarlos. Puede aplicar este requisito implementando la siguiente política de bloqueo de almacenes. La política deniega la acción glacier:DeleteArchive en el almacén examplevault si el archivo que se está eliminando tiene una antigüedad inferior a un año. La política utiliza la clave de condición ArchiveAgeInDays específica de S3 Glacier para aplicar el requisito de retención de un año.
{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }
Ejemplo 2: Denegar permisos de eliminación en función de una etiqueta
Supongamos que tiene una regla de conservación basada en un período de tiempo que establece que los archivos se pueden eliminar si tienen menos de un año de antigüedad. Al mismo tiempo, supongamos que tiene que aplicar una disposición legal para retener los archivos e impedir que se eliminen o modifiquen por tiempo indefinido durante una investigación legal. En este caso, la disposición legal de retención tiene prioridad frente a la regla de conservación basada en un período de tiempo que se especificó en la política de bloqueo de almacenes.
Para poder aplicar estas dos reglas, la siguiente política de ejemplo consta de dos instrucciones:
-
La primera instrucción deniega los permisos de eliminación a todo el mundo, lo que bloquea el almacén. Este bloqueo se realiza a través de la etiqueta
LegalHold. -
La segunda instrucción concede permisos de eliminación cuando el archivo tiene menos de 365 días de antigüedad. Sin embargo, aunque los archivos tengan menos de 365 días, nadie podrá eliminarlos cuando se cumpla la condición de la primera instrucción.
{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }
