ごみ箱の保持ルールをロックして、更新または削除されないようにする

ごみ箱を使用すると、リージョンレベルの保持ルールをいつでもロックできます。

注記

タグレベルの保持ルールはロックできません。

ロックされた保持ルールは、必要なIAMアクセス許可を持つユーザーであっても、変更または削除することはできません。保持ルールをロックすることで、偶発的な、または悪意のある変更や削除から保護できます。

保持ルールをロックするには、ロック解除の遅延期間を指定する必要があります。これは、保持ルールをロック解除してから変更または削除できるようになるまで待つ必要がある期間です。ロック解除の遅延期間中は、保持ルールを変更または削除することはできません。保持ルールの変更または削除は、ロック解除の遅延期間の終了後にのみ行えます。

保持ルールのロック後は、ロック解除の遅延期間を変更できません。アカウントの権限が侵害された場合、ロック解除の遅延期間を設けることで、セキュリティ上の脅威を検出して対応するための追加の時間を確保できます。この期間は、セキュリティ違反を特定して対応するのにかかる時間よりも長くする必要があります。過去のセキュリティインシデントと、アカウント侵害の特定と是正に必要な時間を確認することで、適切な期間を設定することができます。

Amazon EventBridge ルールを使用して、保持ルールのロック状態の変更を通知することをお勧めします。詳細については、「Amazon を使用してごみ箱をモニタリングする EventBridge」を参照してください。

考慮事項

• ロックできるのはリージョンレベルの保持ルールだけです。

• 保持ルールのロックはいつでも解除できます。

• ロック解除の遅延期間は 7〜30 日でなければなりません。

• 保持ルールはロック解除の遅延期間中に再ロックできます。保持ルールを再ロックすると、ロック解除の遅延期間がリセットされます。

リージョンレベルの保持ルールは、次のいずれかの方法でロックできます。

Recycle Bin console

保持ルールをロックするには

1. ごみ箱コンソールをhttps://console.aws.amazon.com/rbin/自宅/

2. ナビゲーションパネルで、[Retention rules] (保持ルール) を選択します。

3. グリッドでロックする保持ルールを選択し、[Actions] (アクション)、[Edit retention rule lock] (保持ルールロックの編集) の順に選択します。

4. [Edit retention rule lock] (保持ルールロックの編集) 画面で [Lock] (ロック) を選択し、[Unlock delay period] (ロック解除の遅延期間) でロック解除の遅延期間を日単位で指定します。

5. [I acknowledge that locking the retention rule will prevent it from being modified or deleted] (保持ルールをロックすると変更や削除ができなくなることを確認) チェックボックスをオンにし、[Save] (保存) を選択します。

AWS CLI

ロック解除された保持ルールをロックするには

ロックルール AWS CLI コマンドを使用します。--identifier については、ロックする保持ルールの ID を指定します。--lock-configuration については、ロック解除の遅延期間を日単位で指定します。

aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'

例

次のコマンド例では、6lsJ2Fa9nh9 保持ルールをロックし、ロック解除の遅延期間を 15 日間に設定します。

aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'