Policy di Vault Lock - Amazon Glacier
Esempio 1: negare autorizzazioni di eliminazione per archivi di meno di 365 giorniEsempio 2: negare autorizzazioni di eliminazione in base a un tag

Questa pagina è riservata ai clienti esistenti del servizio Amazon Glacier che utilizzano Vaults e l'API REST originale del 2012.

Se stai cercando soluzioni di archiviazione, ti consigliamo di utilizzare le classi di storage Amazon Glacier in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Per ulteriori informazioni su queste opzioni di storage, consulta le classi di storage di Amazon Glacier.

Amazon Glacier (servizio autonomo originale basato su vault) non accetterà più nuovi clienti a partire dal 15 dicembre 2025, senza alcun impatto sui clienti esistenti. Amazon Glacier è un servizio APIs autonomo che archivia i dati in vault ed è distinto dalle classi di storage Amazon S3 e Amazon S3 Glacier. I dati esistenti rimarranno sicuri e accessibili in Amazon Glacier a tempo indeterminato. Non è richiesta alcuna migrazione. Per uno storage di archiviazione a lungo termine a basso costo, AWS consiglia le classi di storage Amazon S3 Glacier, che offrono un'esperienza cliente superiore con disponibilità Regione AWS completa, costi inferiori e integrazione dei servizi APIs basata su bucket S3. AWS Se desideri funzionalità avanzate, prendi in considerazione la migrazione alle classi di storage Amazon S3 Glacier utilizzando la AWS nostra Solutions Guidance per il trasferimento di dati dai vault Amazon Glacier alle classi di storage Amazon S3 Glacier.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di Vault Lock

Un vault Amazon Glacier (Amazon Glacier) può avere una policy di accesso al vault basata sulle risorse e una policy Vault Lock associata. Una policy di Vault Lock è una policy di accesso a vault che può essere bloccata. L'utilizzo di una policy di blocco della vault può facilitare l'implementazione di requisiti normativi e di conformità. Amazon Glacier fornisce una serie di operazioni API per gestire le policy di Vault Lock, vedi. Bloccare un vault utilizzando l'API Amazon Glacier

Per illustrare la funzione delle policy di blocco della vault, supponiamo che gli archivi vengano conservati per un anno prima di poterli eliminare. Per implementare questo requisito, puoi creare una policy di Vault Lock che nega agli utenti l'autorizzazione di eliminare un archivio prima di un anno. Puoi testare questa policy prima di bloccarla, in quanto, una volta bloccata, non può essere modificata. Per ulteriori informazioni sul processo di blocco, consulta Policy di Vault Lock. Se desideri gestire altre autorizzazioni utente che possono essere modificate, puoi utilizzare la policy di accesso a vault (vedi Policy di accesso delle vault).

Puoi utilizzare l'API Amazon Glacier, Amazon o la console SDKs Amazon AWS CLI Glacier per creare e gestire le policy Vault Lock. Per un elenco delle azioni di Amazon Glacier consentite per le policy basate sulle risorse del vault, consulta. Riferimento alle autorizzazioni API

Esempio 1: negare autorizzazioni di eliminazione per archivi di meno di 365 giorni

Supponi che un requisito normativo ti obblighi a conservare archivi per un anno prima di poterli eliminare. Puoi soddisfare tale requisito implementando la policy di Vault Lock illustrata di seguito. La policy nega l'operazione glacier:DeleteArchive sul vault examplevault se l'archivio che si tenta di eliminare ha meno di un anno. La policy utilizza la chiave di condizione specifica di Amazon Glacier ArchiveAgeInDays per applicare il requisito di conservazione di un anno.

Supponi che sia implementata una regola di conservazione basata sul tempo secondo la quale un archivio può essere eliminato se ha meno di un anno. Allo stesso tempo, supponi di dover applicare un blocco a fini giudiziari agli archivi per evitarne l'eliminazione o la modifica per una durata indeterminata durante un'accertamento legale. In tal caso, il blocco a fini giudiziari prevale sulla regola di conservazione basata sul tempo specificata nella policy di Vault Lock.

Per implementare queste due regole, il seguente esempio di policy comporta due istruzioni:

  • La prima istruzione nega le autorizzazioni di eliminazione a tutti gli utenti, bloccando il vault. Questo blocco viene eseguito utilizzando il tag LegalHold.

  • La seconda istruzione concede le autorizzazioni di eliminazione quando l'archivio ha meno di 365 giorni. Tuttavia, anche quando gli archivi hanno meno di 365 giorni, non possono essere eliminati se la condizione della prima istruzione viene soddisfatta.