本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊EBS快照锁的概念
以下是开始使用快照锁定时需要理解的重要概念。
锁定模式
可以在以下两种模式之一中锁定快照:
监管模式
锁定快照后,具有相应IAM权限的用户可以随时解锁快照并修改锁定模式和锁定持续时间或到期日期。当在监管模式下锁定快照时,快照会立即被锁定;没有冷静期。要在监管模式下锁定快照之后将其删除,必须首先解锁快照,或者必须等待锁定过期。
通过确保只有某些用户有权解锁快照和修改快照锁定配置,您可以使用监管模式满足组织的数据监管要求。在合规模式下锁定快照之前,还可以利用监管模式测试锁定配置。
合规性模式
在合规模式下锁定快照时,可以选择指定在锁定快照之后立即开始的冷静期。在冷静期内,拥有适当权限的用户可以解锁快照、更改锁定模式、延长或缩短冷静期以及延长或缩短锁定持续时间或到期日期。在冷静期过期之后,您将无法解锁快照、更改锁定模式或者缩短锁定持续时间或过期日期;您只能延长锁定持续时间或过期日期。要在合规模式下锁定快照且冷静期过期之后将其删除,必须等待锁定过期。
注意
通过在请求中省略冷静期,可以在合规模式下锁定快照而不设冷静期。如果这样做,锁定将立即生效,而且无法解锁快照、更改锁定模式或者缩短锁定持续时间或过期日期;您只能延长锁定持续时间或过期日期。
可以利用合规模式保护出于合规性原因不应在特定的时期内删除的快照。合规模式具有以下优点:
-
它为您的快WORM照启用(一次写入、多次读取)配置。
-
它提供了一层额外的防御,可保护快照免遭意外删除或恶意删除。
-
它实施了保留期,可防止特权用户提前删除,以满足贵组织的数据保护策略和程序。
注意
要删除在锁定到期前锁定在合规模式下的快照,唯一的方法是关闭关联的 AWS 账户。
锁定持续时间
锁定持续时间是指快照要保持锁定状态的时期。可以将锁定持续时间指定为以下选项之一,但不能同时指定这两者:
天数
将锁定持续时间指定为快照要保持锁定状态的天数。当指定的天数过后,会自动解锁快照。持续时间介于 1 天到 36500 天(100 年)不等。
锁定到期日期
锁定持续时间由未来的过期日期决定。快照将保持锁定状态,直到达到锁定过期日期为止。当达到锁定过期日期时,会自动解锁快照。
冷静期
冷静期是一个可选的时期,可以在合规模式下锁定快照时指定此时期。在冷静期内,拥有适当权限的用户可以解锁快照、更改锁定模式、延长或缩短冷静期以及延长或缩短锁定持续时间。当冷静期过期之后,无论用户拥有何种权限,都无法解锁快照、更改锁定模式、恢复冷静期或缩短锁定持续时间。
在冷静期内,无法删除快照。
如果指定了冷静期,则冷静期将在您锁定快照之后立即开始。如果省略了冷静期,则会立即在合规模式下锁定快照而不设冷静期。
冷静期介于 1 到 72 小时不等。要在合规模式下立即锁定快照而不设冷静期,请勿在请求中指定冷静期。
锁定状态
快照锁定可处于以下几种状态之一:
-
compliance-cooloff
– 已在合规模式下锁定快照,但它仍处于冷静期内。无法删除快照,但可以将它解锁,而且拥有适当权限的用户可以修改锁定设置。 -
governance
– 已在监管模式下锁定快照。无法删除快照,但可以将它解锁,而且拥有适当权限的用户可以修改锁定设置。 -
compliance
– 已在合规模式下锁定快照,且未设冷静期或者冷静期已过期。无法解锁或删除快照。只有拥有适当权限的用户才能延长锁定时间。 -
expired
– 已在合规或监管模式下锁定快照,但锁定已过期。未锁定快照,可以将其删除。