Políticas do Vault Lock - Amazon S3 Glacier

Esta página é somente para clientes existentes do serviço S3 Glacier que usam o Vaults e a API REST original de 2012.

Se você estiver procurando por soluções de armazenamento de arquivamento, sugerimos usar as classes de armazenamento S3 Glacier no Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Para saber mais sobre essas opções de armazenamento, consulte Classes de armazenamento S3 Glacier e Armazenamento de dados de longo prazo usando classes de armazenamento S3 Glacier no Guia do usuário do Amazon S3. Essas classes de armazenamento usam a API do Amazon S3, estão disponíveis em todas as regiões e podem ser gerenciadas no console do Amazon S3. Eles oferecem recursos como análise de custos de armazenamento, lente de armazenamento, recursos de segurança, incluindo várias opções de criptografia e muito mais.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do Vault Lock

Um cofre do Amazon S3 Glacier (S3 Glacier) pode ter uma política de acesso ao cofre baseada em recursos e uma política do Vault Lock anexadas a ele. Uma política do Vault Lock é uma política de acesso ao cofre que você pode bloquear. Usar uma política do Vault Lock pode ajudar você a impor requisitos regulatórios e de conformidade. O Amazon S3 Glacier oferece um conjunto de operações da API para gerenciar as políticas do Vault Lock, consulte Bloquear um vault usando S3 Glacier API;.

Como exemplo de uma política do Vault Lock, suponhamos que você precise manter arquivos por um ano antes de excluí-los. Para implementar esse requisito, você pode criar uma política do Vault Lock que negue a usuários permissões para excluir um arquivo até que o arquivo exista por um ano. Você pode testar essa política antes de bloqueá-la. Depois de bloquear a política, ela se tornará imutável. Para obter mais informações sobre o processo de bloqueio, consulte Políticas do Vault Lock. Se quiser gerenciar outras permissões de usuário que possam ser alteradas, você poderá usar a política de acesso ao cofre (consulte Políticas de acesso ao cofre).

Você pode usar a API do S3 Glacier, AWS CLI os Amazon SDKs ou o console do S3 Glacier para criar e gerenciar políticas do Vault Lock. Para obter uma lista de ações do S3 Glacier permitidas para políticas baseadas em recursos do cofre, consulte Referência de permissões da API.

Exemplo 1: negar permissões de exclusão para arquivos com menos de 365 dias

Suponhamos que você tenha um requisito regulatório para reter arquivos por até um ano antes de excluí-los. Você pode impor esse requisito implementando a política do Vault Lock a seguir. A política negará a ação glacier:DeleteArchive no cofre examplevault se o arquivo que estiver sendo excluído tiver menos de um ano. A política usa a chave de condição específica do S3 Glacier-specific ArchiveAgeInDays para impor o requisito de retenção de um ano.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }

Suponhamos que você tenha uma regra de retenção baseada em tempo de que um arquivo possa ser excluído caso tenha menos de um ano. Ao mesmo tempo, suponhamos que você precise impor uma retenção legal sobre os arquivos a fim de evitar a exclusão ou a modificação por uma duração indefinida durante uma investigação legal. Nesse caso, a retenção legal tem precedência sobre a regra de retenção baseada em tempo especificada na política do Vault Lock.

Para impor essas duas regras, a seguinte política de exemplo tem duas instruções:

  • A primeira instrução nega permissões de exclusão a todos, bloqueando o cofre. Esse bloqueio é realizado usando a tag LegalHold.

  • A segunda instrução concede permissões de exclusão quando o arquivo tem menos de 365 dias. Mas, mesmo quando arquivos tiverem menos de 365 dias, ninguém poderá excluí-los quando a condição da primeira instrução for atendida.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }