使用保留規則 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用保留規則

若要啟用並使用資源回收筒,您必須在要保護資源的 AWS 區域中建立保留規則。保留規則會指定下列項目:

  • 您要保護的資源類型。

  • 刪除資源回收筒時您想要保留於資源回收筒中的資源。

  • 在永久刪除資源之前,要在資源回收筒中保留資源的保留期限。

使用資源回收筒,您可以建立兩種類型的保留規則:

  • 標籤層級保留規則 - 標籤層級保留規則會使用資源標籤,來識別要保留在資源回收筒中的資源。針對每個保留規則,您可以指定一或多個標籤鍵值組。以保留規則中指定的至少一個標籤鍵值組標記的指定類型資源會在刪除時自動保留在資源回收筒中。如果您想要根據其標籤來保護帳戶中的特定資源,請使用此類型的保留規則。

  • 區域層級保留規則 - 區域層級保留規則未指定任何資源標籤。其會套用至其建立規則所在區域中指定類型的所有資源,即使是未標記資源也一樣。若想要保護特定區域中特定類型的所有資源,請使用此類型的保留規則。

在您建立保留規則之後,符合其條件的資源會在刪除後自動在資源回收筒中於指定期間內保留下來。

建立保留規則

建立保留規則時,您必須指定下列必要的參數:

  • 要受保留規則保護的資源類型。

  • 要受保留規則保護的資源。您可以在標籤層級和區域層級建立保留規則。

    • 若要建立標籤層級保留規則,請指定資源標籤,而這些標籤會識別要保護的資源。您只能為每個規則指定最多 50 個標籤,並將相同的標籤鍵值組新增至最多五個保留規則。

    • 若要建立區域層級保留規則,請不要指定任何標籤鍵值組。在這種情況下,指定類型的所有資源都受到保護。

  • 資源刪除後要在資源回收筒中保留的期限。期間可以長達 1 年 (365 天)。

您也可以指定以下選用參數:

  • 保留規則的選用名稱。名稱長度上限為 255 個字元。

  • 保留規則的選用描述。描述最長可為 255 個字元。

    注意

    建議您不要在保留規則說明中加入個人識別資訊、機密或敏感資訊。

  • 選用保留規則標籤,可協助識別和組織您的保留規則。您可以將最多 50 個標籤指派給每個規則。

您也可以在建立時選擇鎖定保留規則。如果您在建立時鎖定保留規則,則還必須指定解除鎖定延遲期間 (可以是 7 到 30 天)。依預設,保留規則會維持解除鎖定狀態,除非您明確予以鎖定。

保留規則只會在其建立所在區域中運作。如果打算在其他區域中使用資源回收筒,您必須在這些區域中建立額外的保留規則。

您可以使用下列其中一種方法來建立資源回收筒保留規則。

Recycle Bin console
建立保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention Rules (保留規則),然後選擇 Create retention rule (建立保留規則)。

  3. Rule details (規則詳細資訊) 區段中,執行下列動作:

    1. (選用) 對於 Retention rule name (保留規則名稱),輸入保留規則的描述性名稱。

    2. (選用) 對於 Retention rule description (保留規則描述),輸入保留規則的簡短描述。

  4. Rule settings (規則設定) 區段中,執行下列動作:

    1. 對於 Resource Type (資源類型),選取要保護之保留規則的資源類型。保留規則將僅於資源回收筒中保留此類型的資源。

    2. 執行以下任意一項:

      • 如要建立符合區域中所有已刪除指定類型資源的區域層級保留規則,請選取 Apply to all resources (套用到所有資源)。保留規則會在刪除時,保留資源回收筒中指定的所有已刪除資源,即使資源並無任何標籤也一樣。

      • 若要建立標籤層級保留規則,如為 Resource tags to match (要符合的資源標籤),輸入要用來識別要保留在資源回收筒中之指定類型資源的標籤鍵值組。保留規則只會保留至少具有其中一個指定之標籤鍵值組的指定類型資源。

    3. 若為 Retention period (保留期間),請輸入保留規則要在資源回收筒中保留資源的天數。

  5. (選用) 若要鎖定保留規則,針對 Rule lock settings (規則鎖定設定),選取 Lock (鎖定),然後針對 Unlock delay period (解除鎖定延遲期間),指定解除鎖定延遲期間 (以天為單位)。無法修改或刪除鎖定的保留規則。若要修改或刪除規則,您必須先將其解除鎖定,然後等待解除鎖定延遲期間到期。如需更多資訊,請參閱 鎖定保留規則

    若要讓保留規則保持解除鎖定狀態,則針對 Rule lock settings (規則鎖定設定),請選取 Unlock (解除鎖定)。您可以隨時修改或刪除解除鎖定的保留規則。如需詳細資訊,請參閱 解除鎖定保留規則

  6. (選用) 在 Tags (標籤) 區段中,執行下列動作:

    1. 若要使用自訂標籤來標記規則,請選擇 Add tag (新增標籤),然後輸入標籤鍵值組。

  7. 選擇 Create retention rule (建立保留規則)。

AWS CLI
建立保留規則

使用 create-rule AWS CLI 命令。對於 --retention-period,指定要在資源回收筒中保留已刪除快照的天數。若為 --resource-type,請為快照指定 EBS_SNAPSHOT,或為 AMI 指定 EC2_IMAGE。若要建立標籤層級保留規則,請針對 --resource-tags,指定要用來識別要保留之快照的標籤。若要建立區域層級保留規則,請省略 --resource-tags若要鎖定保留規則,請包含 --lock-configuration,並指定解除鎖定延遲期間 (以天為單位)。

C:\> aws rbin create-rule \ --retention-period RetentionPeriodValue=number_of_days,RetentionPeriodUnit=DAYS \ --resource-type EBS_SNAPSHOT|EC2_IMAGE \ --description "rule_description" \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=unlock_delay_in_days}' \ --resource-tags ResourceTagKey=tag_key,ResourceTagValue=tag_value
範例 1

下列範例命令會建立解除鎖定的區域層級保留規則,其會將所有已刪除的快照保留 7 天。

C:\> aws rbin create-rule \ --retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \ --resource-type EBS_SNAPSHOT \ --description "Match all snapshots"
範例 2

下列範例命令會建立標籤層級保留規則,其會將以 purpose=production 標記的已刪除快照保留 7 天。

C:\> aws rbin create-rule \ --retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \ --resource-type EBS_SNAPSHOT \ --description "Match snapshots with a specific tag" \ --resource-tags ResourceTagKey=purpose,ResourceTagValue=production
範例 3

下列範例命令會建立鎖定的區域層級保留規則,其會將所有已刪除的快照保留 7 天。保留規則會鎖定,解除鎖定延遲期間為 7 天。

C:\> aws rbin create-rule \ --retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \ --resource-type EBS_SNAPSHOT \ --description "Match all snapshots" \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=7}'

檢視資源回收筒保留規則

您可以使用下列其中一種方法來檢視資源回收筒保留規則。

Recycle Bin console
檢視保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention rules (保留規則)。

  3. 網格會列出所選區域的所有保留規則。若要檢視特定保留規則的詳細資訊,請在網格中選取該規則。

AWS CLI
檢視所有保留規則

使用清單規則 AWS CLI 命令,若為 --resource-type,請為快照指定 EBS_SNAPSHOT,或為 AMI 指定 EC2_IMAGE

C:\> aws rbin list-rules --resource-type EBS_SNAPSHOT|EC2_IMAGE
範例

下列範例命令提供了保留快照的所有保留規則清單。

C:\> aws rbin list-rules --resource-type EBS_SNAPSHOT
檢視特定保留規則的資訊

使用取得規則 AWS CLI 指令。

C:\> aws rbin get-rule --identifier rule_ID
範例

下列範例命令提供保留規則 pwxIkFcvge4 的相關資訊。

C:\> aws rbin get-rule --identifier pwxIkFcvge4

更新保留規則

建立後,您可隨時更新解除鎖定的保留規則的描述、資源標籤,以及保留期間。即使保留規則已解除鎖定,您也無法更新保留規則的資源類型或解除鎖定延遲期間

您無法以任何方式更新鎖定的保留規則。如果您需要修改鎖定的保留規則,則必須先將其解除鎖定,然後等待解除鎖定延遲期間到期。

如果您需要修改鎖定的保留規則的解除鎖定延遲期間,則必須解除鎖定保留規則,並等待目前的解除鎖定延遲期間到期。解除鎖定延遲期間到期後,您必須重新鎖定保留規則,並指定新的解除鎖定延遲期間。

注意

建議您不要在保留規則說明中加入個人識別資訊、機密或敏感資訊。

在您更新保留規則之後,變更僅會套用至其保留的新資源。這些變更不會影響先前傳送至資源回收筒的資源。例如,若更新保留規則的保留期間,則只有更新後刪除的快照才會保留於新的保留期間內。在更新之前傳送至資源回收筒的快照仍會保留先前 (舊) 的保留期間。

您可以使用下列其中一種方法來更新保留規則。

Recycle Bin console
更新保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention rules (保留規則)。

  3. 在網格中,選取要更新的保留規則,然後選取 Actions (動作)、Edit retention rule (編輯保留規則)。

  4. Rule details (規則詳細資訊) 區段中, 視需要更新 Retention rule name (保留規則名稱) 和 Retention rule description (保留規則描述)。

  5. Rule settings (規則設定) 區段中,視需要更新 Resource type (資源類型)、Resource tags to match (要符合的資源標籤),和 Retention period (保留期間)。

  6. Tags (標籤) 區段中,視需要新增或移除保留規則標籤。

  7. 選擇 Save retention rule (儲存保留規則)。

AWS CLI
更新保留規則

使用 update-rule AWS CLI 命令。對於 --identifier,指定要更新的保留規則 ID。對於 --resource-types,為快照指定 EBS_SNAPSHOT,或為 AMI 指定 EC2_IMAGE

C:\> aws rbin update-rule \ --identifier rule_ID \ --retention-period RetentionPeriodValue=number_of_days,RetentionPeriodUnit=DAYS \ --resource-type EBS_SNAPSHOT|EC2_IMAGE \ --description "rule_description"
範例

下列範例命令會更新保留規則 6lsJ2Fa9nh9,以將所有快照保留 7 天並更新其描述。

C:\> aws rbin update-rule \ --identifier 6lsJ2Fa9nh9 \ --retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \ --resource-type EBS_SNAPSHOT \ --description "Retain for three weeks"

鎖定保留規則

資源回收筒可讓您隨時鎖定區域層級的保留規則。

注意

您無法鎖定標籤層級的保留規則。

無法修改或刪除鎖定的保留規則,即使是擁有必要 IAM 許可的使用者也無法修改或刪除。鎖定保留規則,以協助保護規則免受意外或惡意的修改和刪除。

鎖定保留規則時,您必須指定解除鎖定延遲期間。這是解除鎖定保留規則後必須等待的時間,這樣您才能進行修改或刪除。您無法在解除鎖定延遲期間修改或刪除保留規則。您僅可在解除鎖定延遲期間到期後才能修改或刪除保留規則。

鎖定保留規則之後,您就無法變更解除鎖定延遲期間。如果您的帳戶許可遭受入侵,解除鎖定延遲期間可讓您有更多時間偵測及回應安全威脅。此期間的長度應該比識別和回應安全漏洞所需的時間更長。若要設定正確的持續時間,您可以檢視先前的安全事件,以及識別和修復帳戶漏洞所需的時間。

建議您使用 Amazon EventBridge 規則通知您保留規則鎖定狀態變更。如需詳細資訊,請參閱 使用 Amazon 監控回收站 EventBridge

考量

  • 您只能鎖定區域層級的保留規則。

  • 您可隨時鎖定解除鎖定的保留規則。

  • 解除鎖定延遲期間必須為 7 到 30 天。

  • 您可以在解除鎖定延遲期間重新鎖定保留規則。重新鎖定保留規則會重設解除鎖定延遲期間。

您可以使用下列其中一種方法來鎖定區域層級保留規則。

Recycle Bin console
若要鎖定保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽面板中,選擇 Retention rules (保留規則)。

  3. 在網格中,選取要鎖定的解除鎖定的保留規則,然後選取 Actions (動作)、Edit retention rule lock (編輯保留規則鎖定)。

  4. 在 Edit retention rule lock (編輯保留規則鎖定) 畫面中,選擇 Lock (鎖定),然後針對 Unlock delay period (解除鎖定延遲期間),指定解除鎖定延遲期間 (以天為單位)。

  5. 選取 I acknowledge that locking the retention rule will prevent it from being modified or deleted (我確認鎖定保留規則將防止其遭受修改或刪除) 核取方塊,然後選擇 Save (儲存)。

AWS CLI
若要鎖定解除鎖定的保留規則

使用 lock-rule AWS CLI 命令。對於 --identifier,指定要鎖定的保留規則 ID。對於 --lock-configuration,指定解除鎖定延遲期間 (以天為單位)。

C:\> aws rbin lock-rule \ --identifier rule_ID \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'
範例

下列範例命令會鎖定保留規則 6lsJ2Fa9nh9,並將解除鎖定延遲期間設定為 15 天。

C:\> aws rbin lock-rule \ --identifier 6lsJ2Fa9nh9 \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'

解除鎖定保留規則

您無法修改或刪除鎖定的保留規則。如果您需要修改鎖定的保留規則,必須先將其解除鎖定。解除鎖定保留規則之後,您必須等待解除鎖定延遲期間到期,才能對其進行修改或刪除。您無法在解除鎖定延遲期間修改或刪除保留規則。

擁有必要 IAM 許可的使用者可以隨時修改和刪除解除鎖定的保留規則。解除鎖定保留規則,可能會導致其遭受意外或惡意的修改和刪除。

考量

  • 您可以在解除鎖定延遲期間重新鎖定保留規則。

  • 您可以在解除鎖定延遲期間到期後重新鎖定保留規則。

  • 您無法繞過解除鎖定延遲時間。

  • 初始鎖定後,您就無法變更解除鎖定延遲時間。

建議您使用 Amazon EventBridge 規則通知您保留規則鎖定狀態變更。如需詳細資訊,請參閱 使用 Amazon 監控回收站 EventBridge

您可以使用下列其中一種方法來解除鎖定鎖定的區域層級保留規則。

Recycle Bin console
若要解除鎖定保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽面板中,選擇 Retention rules (保留規則)。

  3. 在網格中,選取要解除鎖定的鎖定保留規則,然後選取 Actions (動作)、Edit retention rule lock (編輯保留規則鎖定)。

  4. 在 Edit retention rule lock (編輯保留規則鎖定) 畫面上,選擇 Unlock (解除鎖定),然後選擇 Save (儲存)。

AWS CLI
若要解除鎖定鎖定的保留規則

使用 unlock-rule AWS CLI 命令。對於 --identifier,指定要解除鎖定的保留規則 ID。

C:\> aws rbin unlock-rule \ --identifier rule_ID
範例

下列範例命令會解除鎖定保留規則 6lsJ2Fa9nh9

C:\> aws rbin unlock-rule \ --identifier 6lsJ2Fa9nh9

標記保留規則

您可以將自訂標籤指派給保留規則,以不同的方式將其分類,例如:依用途、擁有者或環境。這可協助您根據所指派的自訂標籤,有效地找到特定的保留規則。

您可以使用下列其中一種方法,將標籤指派給保留規則。

Recycle Bin console
標記保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention rules (保留規則)。

  3. 選取要標記的保留規則、選取 Tags (標籤) 索引標籤,然後選取 Manage tags (管理標籤)。

  4. 選擇 Add tag (新增標籤)。對於 Key (鍵),輸入標籤鍵名稱。對於 Value (值),輸入標籤值。

  5. 選擇 Save (儲存)。

AWS CLI
標記保留規則

使用標籤資源命令 AWS CLI 。對於 --resource-arn,指定要標記之保留規則的 Amazon Resource Name (ARN),並針對 --tags,指定標籤鍵值組。

C:\> aws rbin tag-resource \ --resource-arn retention_rule_arn \ --tags key=tag_key,value=tag_value
範例

下列範例命令會以標籤 arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 標記保留規則 purpose=production

C:\> aws rbin tag-resource \ --resource-arn arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 \ --tags key=purpose,value=production

檢視保留規則標籤

您可以使用下列其中一種方法,檢視已指派給保留規則的標籤。

Recycle Bin console
檢視保留規則的標籤
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention rules (保留規則)。

  3. 選取要檢視其標籤的保留規則,並選取 Tags (標籤) 索引標籤。

AWS CLI
檢視已指派給保留規則的標籤

使用 list-tags-for-resource 命令。 AWS CLI 對於 --resource-arn,指定保留規則的 ARN。

C:\> aws rbin list-tags-for-resource \ --resource-arn retention_rule_arn
範例

下列範例命令會列出保留規則 arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 的標籤。

C:\> aws rbin list-tags-for-resource \ --resource-arn arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3

從保留規則移除標籤

您可以使用下列其中一種方法,從保留規則移除標籤。

Recycle Bin console
從保留規則移除標籤
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention rules (保留規則)。

  3. 選取要從中移除標籤的保留規則、選取 Tags (標籤) 索引標籤,然後選取 Manage tags (管理標籤)。

  4. 選擇要移除之標籤旁邊的 Remove (移除)。

  5. 選擇 Save (儲存)。

AWS CLI
從保留規則移除標籤

使用 untag-resource AWS CLI 命令:對於 --resource-arn,指定保留規則的 ARN。對於 --tagkeys,指定要移除之標籤的標籤鍵。

C:\> aws rbin untag-resource \ --resource-arn retention_rule_arn \ --tagkeys tag_key
範例

下列範例命令會從保留規則 purpose 中移除標籤鍵為 arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 的標籤。

C:\> aws rbin untag-resource \ --resource-arn arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 \ --tagkeys purpose

刪除資源回收筒保留規則

您可隨時刪除保留規則。當您刪除保留規則時,在刪除資源回收筒中新的資源之後,該規則不再保留它們。在刪除保留規則之前傳送至資源回收筒的資源會根據保留規則中定義的保留期間,繼續保留在資源回收筒中。當此期間到期時,資源會從資源回收筒中永久刪除。

您可以使用下列其中一種方法來刪除保留規則。

Recycle Bin console
刪除保留規則
  1. 開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/

  2. 在導覽窗格中,選擇 Retention rules (保留規則)。

  3. 在網格中,選取要刪除的保留規則,然後選取 Actions (動作)、Delete retention rule (刪除保留規則)。

  4. 當出現提示時,輸入確認訊息,然後選擇 Delete retention rule (刪除保留規則)。

AWS CLI
刪除保留規則

使用 delete-rule AWS CLI 命令。對於 --identifier,指定要刪除的保留規則 ID。

C:\> aws rbin delete-rule --identifier rule_ID
範例

下列範例命令會刪除保留規則 6lsJ2Fa9nh9

C:\> aws rbin delete-rule --identifier 6lsJ2Fa9nh9