鎖定資源回收筒保留規則，避免其遭到更新或刪除

資源回收筒可讓您隨時鎖定區域層級的保留規則。

注意

您無法鎖定標籤層級的保留規則。

鎖定的保留規則無法修改或刪除，即使是擁有必要IAM權限的使用者也無法修改或刪除。鎖定保留規則，以協助保護規則免受意外或惡意的修改和刪除。

鎖定保留規則時，您必須指定解除鎖定延遲期間。這是解除鎖定保留規則後必須等待的時間，這樣您才能進行修改或刪除。您無法在解除鎖定延遲期間修改或刪除保留規則。您僅可在解除鎖定延遲期間到期後才能修改或刪除保留規則。

鎖定保留規則之後，您就無法變更解除鎖定延遲期間。如果您的帳戶許可遭受入侵，解除鎖定延遲期間可讓您有更多時間偵測及回應安全威脅。此期間的長度應該比識別和回應安全漏洞所需的時間更長。若要設定正確的持續時間，您可以檢視先前的安全事件，以及識別和修復帳戶漏洞所需的時間。

建議您使用 Amazon EventBridge 規則通知您保留規則鎖定狀態變更。如需詳細資訊，請參閱使用 Amazon 監控回收站 EventBridge。

考量

• 您只能鎖定區域層級的保留規則。

• 您可隨時鎖定解除鎖定的保留規則。

• 解除鎖定延遲期間必須為 7 到 30 天。

• 您可以在解除鎖定延遲期間重新鎖定保留規則。重新鎖定保留規則會重設解除鎖定延遲期間。

您可以使用下列其中一種方法來鎖定區域層級保留規則。

Recycle Bin console

若要鎖定保留規則

1. 在https://console.aws.amazon.com/rbin/家中打開回收站控制台/

2. 在導覽面板中，選擇 Retention rules (保留規則)。

3. 在網格中，選取要鎖定的解除鎖定的保留規則，然後選取 Actions (動作)、Edit retention rule lock (編輯保留規則鎖定)。

4. 在 Edit retention rule lock (編輯保留規則鎖定) 畫面中，選擇 Lock (鎖定)，然後針對 Unlock delay period (解除鎖定延遲期間)，指定解除鎖定延遲期間 (以天為單位)。

5. 選取 I acknowledge that locking the retention rule will prevent it from being modified or deleted (我確認鎖定保留規則將防止其遭受修改或刪除) 核取方塊，然後選擇 Save (儲存)。

AWS CLI

若要鎖定解除鎖定的保留規則

使用 lock-rule AWS CLI 命令。對於 --identifier，指定要鎖定的保留規則 ID。對於 --lock-configuration，指定解除鎖定延遲期間 (以天為單位)。

aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'

範例

下列範例命令會鎖定保留規則 6lsJ2Fa9nh9，並將解除鎖定延遲期間設定為 15 天。

aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'