S3 Glacier ボールトロック - Amazon S3 Glacier

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

S3 Glacier ボールトロック

以下のトピックでは、Amazon S3 Glacier でボールトをロックする方法とボールトロックポリシーの使用方法について説明します。

ボールトロックの概要

S3 Glacier のボールトロックでは、ボールトロックポリシーを使用して、S3 Glacier の各ボールトに対するコンプライアンス管理を簡単にデプロイして適用することができます。ボールトロックポリシーで「write once read many」(WORM) などのコントロールを指定して、ポリシーをロックしてポリシーをロックし、future 編集できないようにします。

重要

ボールトロックポリシーがロックされると、ポリシーは変更または削除できなくなります。

S3 Glacier では、ボールトロックポリシーによって一連の管理を実施することにより、コンプライアンス目標の達成に役立てることができます。たとえば、ボールトロックポリシーを使用してデータ保持を強制できます。ボールトロックポリシーでは、さまざまなコンプライアンスコントロールをデプロイできます。AWS Identity and Access Management(IAM) ポリシー言語。ボールトロックポリシーの詳細については、「」を参照してください。ボールトロックポリシーによる Amazon S3 Glacier のアクセス制御

ボールトロックポリシーは、ボールトアクセスポリシーとは異なります。どちらのポリシーも、ボールトへのアクセスを制御します。ただし、ボールトロックポリシーでは、ロックによって変更を禁止することにより、コンプライアンス管理を強力に実施することができます。ボールトロックポリシーは、データへの詳細なアクセス制御が求められることの多い、規制やコンプライアンス管理のデプロイに使用できます。

重要

最初にボールトを作成し、ボールトロックポリシーを完了してから、アーカイブをボールトにアップロードして、ポリシーがボールトに適用されるようにすることをお勧めします。

対照的に、ボールトアクセスポリシーでは、コンプライアンスと関係がなく、一時的で、頻繁に変更が発生しやすいアクセス制御を実装します。ボールトロックポリシーとボールトアクセスポリシーは同時に使用できます。たとえば、ボールトロックポリシーで時間ベースのデータ保持ルールを実装し (削除の拒否)、ボールトアクセスポリシーを使用して、指定したサードパーティやビジネスパートナーに対して読み取り許可を付与することができます (読み取りの許可)。

ボールトのロックには、2 つのステップがあります。

  1. ボールトロックポリシーをボールトに関連付けてロックを開始します。これにより、ロックが InProgress 状態になり、ロック ID が返されます。ポリシーが InProgress 状態では、ロック ID の有効期限が切れるまでの 24 時間にボールトロックポリシーを検証することができます。ボールトが InProgress 状態から抜けないようにするには、24 時間以内にボールトロック処理を完了する必要があります。そうしないと、ボールトロックポリシーが削除されます。

  2. ロック ID を使用してロック処理を完了します。ボールトロックポリシーが想定どおりに機能しない場合は、ボールトロック処理を中止して最初からやり直すことができます。ボールトのロックに S3 Glacier API をボールトのロックに使用する方法については、「」を参照してください。S3 Glacier API を使用したボールトのロック