Esta página é somente para clientes existentes do serviço S3 Glacier que usam o Vaults e o original de 2012. REST API
Se você estiver procurando por soluções de armazenamento de arquivamento, sugerimos usar as classes de armazenamento S3 Glacier no Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Para saber mais sobre essas opções de armazenamento, consulte Classes de armazenamento S3 Glacier e Armazenamento de dados de longo prazo usando classes
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas do Vault Lock
Um cofre do Amazon S3 Glacier (S3 Glacier) pode ter uma política de acesso ao cofre baseada em recursos e uma política do Vault Lock anexadas a ele. Uma política do Vault Lock é uma política de acesso ao cofre que você pode bloquear. Usar uma política do Vault Lock pode ajudar você a impor requisitos regulatórios e de conformidade. O Amazon S3 Glacier fornece um conjunto de API operações para você gerenciar as políticas do Vault Lock, consulte. Bloquear um vault usando S3 Glacier API;
Como exemplo de uma política do Vault Lock, suponhamos que você precise manter arquivos por um ano antes de excluí-los. Para implementar esse requisito, você pode criar uma política do Vault Lock que negue a usuários permissões para excluir um arquivo até que o arquivo exista por um ano. Você pode testar essa política antes de bloqueá-la. Depois de bloquear a política, ela se tornará imutável. Para obter mais informações sobre o processo de bloqueio, consulte Políticas do Vault Lock. Se quiser gerenciar outras permissões de usuário que possam ser alteradas, você poderá usar a política de acesso ao cofre (consulte Políticas de acesso ao cofre).
Você pode usar o console S3 Glacier SDKs AWS CLI, API Amazon ou S3 Glacier para criar e gerenciar políticas do Vault Lock. Para obter uma lista de ações do S3 Glacier permitidas para políticas baseadas em recursos do cofre, consulte Referência de permissões do API.
Exemplos
Exemplo 1: negar permissões de exclusão para arquivos com menos de 365 dias
Suponhamos que você tenha um requisito regulatório para reter arquivos por até um ano antes de excluí-los. Você pode impor esse requisito implementando a política do Vault Lock a seguir. A política negará a ação glacier:DeleteArchive
no cofre examplevault se o arquivo que estiver sendo excluído tiver menos de um ano. A política usa a chave de condição específica do S3 Glacier-specific ArchiveAgeInDays
para impor o requisito de retenção de um ano.
{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }
Exemplo 2: negar permissões de exclusão com base em uma tag
Suponhamos que você tenha uma regra de retenção baseada em tempo de que um arquivo possa ser excluído caso tenha menos de um ano. Ao mesmo tempo, suponhamos que você precise impor uma retenção legal sobre os arquivos a fim de evitar a exclusão ou a modificação por uma duração indefinida durante uma investigação legal. Nesse caso, a retenção legal tem precedência sobre a regra de retenção baseada em tempo especificada na política do Vault Lock.
Para impor essas duas regras, a seguinte política de exemplo tem duas instruções:
-
A primeira instrução nega permissões de exclusão a todos, bloqueando o cofre. Esse bloqueio é realizado usando a tag
LegalHold
. -
A segunda instrução concede permissões de exclusão quando o arquivo tem menos de 365 dias. Mas, mesmo quando arquivos tiverem menos de 365 dias, ninguém poderá excluí-los quando a condição da primeira instrução for atendida.
{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }