Exemple 1 : Refuser des autorisations de suppression pour les archives datant d'il y a moins de 365 jours Exemple 2 : Refuser des autorisations de suppression reposant sur une balise

Si vous débutez dans le stockage d'archives dans Amazon Simple Storage Service (Amazon S3), nous vous recommandons dans un premier temps de vous familiariser avec les classes de stockage S3 Glacier dans Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval et S3 Glacier Deep Archive. Pour plus d'informations, consultez les sections Classes de stockage S3 Glacier et Classes de stockage pour l'archivage d'objets dans le guide de l'utilisateur Amazon S3.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Stratégies de verrouillage de coffre

Un coffre Amazon S3 Glacier (S3 Glacier) peut être attaché à une seule stratégie d'accès au coffre basée sur les ressources et à une seule stratégie de verrouillage de coffre. Une stratégie de verrouillage de coffre est une stratégie d'accès au coffre que vous pouvez verrouiller. L'utilisation d'une politique de verrouillage de coffre peut vous aider à faire respecter les exigences réglementaires et de conformité. Amazon S3 Glacier propose un ensemble d'opérations d'API qui vous permettent de gérer les politiques de verrouillage de coffre (consultez Verrouillage d'un coffre à l'aide de l'API S3 Glacier).

Pour illustrer le concept de stratégie de verrouillage de coffre, supposons que vous soyez tenu de conserver les archives pendant un an avant de pouvoir les supprimer. Pour mettre en place de cette exigence, vous pouvez créer une stratégie de verrouillage de coffre qui interdit aux utilisateurs de supprimer une archive avant un an. Vous pouvez tester cette stratégie avant de la verrouiller. En effet, une fois la stratégie verrouillée, elle ne peut plus être modifiée. Pour plus d'informations sur le processus de verrouillage, consultez la page Stratégies de verrouillage de coffre. Pour gérer d'autres autorisations utilisateur qui peuvent être modifiées, vous pouvez utiliser la stratégie d'accès au coffre (voir la page Politiques d'accès au coffre-fort).

Vous pouvez utiliser l'API S3 Glacier, les kits SDK Amazon, l'interface AWS CLI ou la console S3 Glacier pour créer et gérer les politiques de verrouillage de coffre. Pour voir la liste des actions S3 Glacier autorisées pour les politiques basées sur les ressources de coffre, consultez Référence des autorisations d'API.

Exemples

Exemple 1 : Refuser des autorisations de suppression pour les archives datant d'il y a moins de 365 jours
Exemple 2 : Refuser des autorisations de suppression reposant sur une balise

Exemple 1 : Refuser des autorisations de suppression pour les archives datant d'il y a moins de 365 jours

Supposons qu'une exigence réglementaire vous oblige à conserver les archives pendant 1 an avant de pouvoir les supprimer. Vous pouvez appliquer cette exigence en mettant en œuvre la stratégie suivante de verrouillage de coffre. Cette stratégie refuse l'action glacier:DeleteArchive sur le coffre examplevault si l'archive que vous tentez de supprimer a moins d'un an. Cette politique utilise la clé de condition ArchiveAgeInDays propre à S3 Glacier pour faire respecter l'exigence de conservation d'un an.


{
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "deny-based-on-archive-age",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": "glacier:DeleteArchive",
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan" : {
                              "glacier:ArchiveAgeInDays" : "365"
                              }
                           }
                        }
                     ]
                  }

Exemple 2 : Refuser des autorisations de suppression reposant sur une balise

Supposons que vous ayez une règle de conservation basée sur le temps et selon laquelle une archive peut être supprimée si elle a moins d'un an. Parallèlement, supposons que vous ayez besoin d'associer une suspension légale sur vos archives afin d'éviter toute suppression ou modification pendant une durée indéfinie lors d'une enquête juridique. Dans ce cas, la suspension légale est prioritaire pendant la durée de la règle de conservation basée sur le temps spécifiée dans la stratégie de verrouillage de coffre.

Pour mettre ces deux règles en place, l'exemple de stratégie suivant comporte deux instructions :

La première instruction refuse les autorisations de suppression pour tout le monde et verrouille le coffre. Ce verrouillage est effectué à l'aide de la balise LegalHold.
La deuxième instruction octroie des autorisations de suppression lorsque l'archive a moins de 365 jours. Mais même si les archives ont moins de 365 jours, personne ne peut les supprimer lorsque la condition de la première instruction est remplie.



               {
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "lock-vault",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "StringLike": {
                           "glacier:ResourceTag/LegalHold": [
                           "true",
                           ""
                           ]
                        }
                     }
                     },
                     {
                     "Sid": "you-can-delete-archive-less-than-1-year-old",
                     "Principal": {
                           "AWS": "arn:aws:iam::123456789012:root"
                        },
                     "Effect": "Allow",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan": {
                           "glacier:ArchiveAgeInDays": "365"
                        }
                     }
                     }
                  ]
               }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques d'accès au coffre-fort

Résolution des problèmes