ボールトロックポリシー

Amazon S3 Glacier (S3 Glacier) ボールトでは、リソースベースのボールトアクセスポリシーを 1 つ持つことが可能で、それに 1 つのボールトロックポリシーを割り当てることができます。ボールトロックポリシーは、ユーザーがロック可能なボールトアクセスポリシーです。ボールトロックを使用すると、規制要件およびコンプライアンス要件を適用するのに役立てることができます。Amazon S3 Glacier には、ボールトロックポリシーの管理に使用する一連の API オペレーションが用意されています。「」S3 Glacier API を使用したボールトのロック。

ボールトロックポリシーの例として、ポリシーを削除する前に 1 年間そのアーカイブを保持するように指定されていると仮定します。この条件を導入するには、アーカイブが 1 年経過するまで、ユーザーにそのアーカイブを削除する権限を拒否するス許可を拒否するボールトロックポリシーを作成します。ポリシーをロックする前に、このポリシーをテストできます。ポリシーをロックすると、ポリシーは変更不可能になります。ボールトロック処理の詳細については、「ボールトロックポリシー」を参照してください。変更可能な他のユーザー権限を管理する場合は、ボールトアクセスポリシーを使用できます (「ボールトアクセスポリシー」を参照)。

S3 Glacier API、Amazon SDK、AWS CLI、または S3 Glacier コンソールを使用して、ボールトロックポリシーを作成し管理できます。ボールトリソースベースのポリシーに対して許可される S3 Glacier アクションのリストについては、「API の権限リファレンス」を参照してください。

例 1: 365 日経過していないアーカイブの削除権限を拒否する

アーカイブが削除可能になる前に 1 年間保持しなければならない規制要件があるとします。次のボールトロックのポリシーを導入すると、その要件を適用できます。削除しようとしているアーカイブが 1 年経過していない場合は、ポリシーによって glacier:DeleteArchive アクションが拒否されます。ポリシーは、S3 Glacier-specific 固有の条件 キー ArchiveAgeInDays を使用して、1年間の保持要件を適用します。

{
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "deny-based-on-archive-age",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": "glacier:DeleteArchive",
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan" : {
                              "glacier:ArchiveAgeInDays" : "365"
                              }
                           }
                        }
                     ]
                  }
            

例 2: タグに基づいて削除の権限を拒否します。

1 年未満のアーカイブを削除可能にする時間ベースの保持ルールがあるとします。同時に、法的な調査が行われている間は、削除や変更を防ぐため、アーカイブを無期限にリーガルホールドの対象としなければならない場合があるとします。この場合、リーガルホールドはボールトロックポリシーで指定されている時間ベースの保持ルールよりも優先されます。

これら 2 つのルールを配置するために、次のポリシーの例では 2 つのステートメントが含まれています。

• 最初のステートメントは、全員の削除権限を拒否し、ボールトをロックします。このロックは LegalHold タグを使用して行われます。

• 2 番目のステートメントは、アーカイブが 365 日経過していない場合に削除の権限を付与します。ただし、アーカイブが 365 日経過していない場合でも、最初のステートメントの条件が満たされていれば、誰もアーカイブを削除することはできません。

               {
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "lock-vault",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "StringLike": {
                           "glacier:ResourceTag/LegalHold": [
                           "true",
                           ""
                           ]
                        }
                     }
                     },
                     {
                     "Sid": "you-can-delete-archive-less-than-1-year-old",
                     "Principal": {
                           "AWS": "arn:aws:iam::123456789012:root"
                        },
                     "Effect": "Allow",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan": {
                           "glacier:ArchiveAgeInDays": "365"
                        }
                     }
                     }
                  ]
               }