ボールトロックポリシー - Amazon Glacier
例 1: 365 日経過していないアーカイブの削除権限を拒否する例 2: タグに基づいて削除の権限を拒否します。

このページは、ボールトと 2012 年リリース当時の REST API を使用する、Amazon Glacier サービスの既存のお客様のみを対象としています。

アーカイブストレージソリューションをお探しの場合は、Amazon S3 の Amazon Glacier ストレージクラス (S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive) を使用することをお勧めします。これらのストレージオプションの詳細については、「Amazon Glacier ストレージクラス」を参照してください。

Amazon Glacier (元のスタンドアロンボールトベースのサービス) は、新規顧客を受け入れなくなりました。Amazon Glacier は、ボールトにデータを保存する独自の API を備えたスタンドアロンサービスであり、Amazon S3 および Amazon S3 Glacier ストレージクラスとは異なります。既存のデータは Amazon Glacier で無期限に安全性が確保され、引き続きアクセス可能です。移行は必要ありません。低コストの長期アーカイブストレージの場合、 は Amazon S3 Glacier ストレージクラス AWS を推奨します。これにより、S3 バケットベースの APIs、低コスト、 AWS サービス統合で優れたカスタマーエクスペリエンスを実現できます。 AWS リージョン 拡張機能が必要な場合は、Amazon Glacier ボールトから Amazon S3 Glacier ストレージクラスにデータを転送するためのAWS ソリューションガイダンスを使用して、Amazon S3 Glacier ストレージクラスへの移行を検討してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボールトロックポリシー

Amazon Glacier (Amazon Glacier) ボールトでは、リソースベースのボールトアクセスポリシーを 1 つ持つことが可能で、それに 1 つのボールトロックポリシーを割り当てることができます。ボールトロックポリシーは、ユーザーがロック可能なボールトアクセスポリシーです。ボールトロックを使用すると、規制要件およびコンプライアンス要件を適用するのに役立てることができます。Amazon Glacier には、ボールトロックポリシーの管理に使用する一連の API オペレーションが用意されています。「Amazon Glacier API を使用してボールトをロックする」。

ボールトロックポリシーの例として、ポリシーを削除する前に 1 年間そのアーカイブを保持するように指定されていると仮定します。この条件を導入するには、アーカイブが 1 年経過するまで、ユーザーにそのアーカイブを削除する権限を拒否するス許可を拒否するボールトロックポリシーを作成します。ポリシーをロックする前に、このポリシーをテストできます。ポリシーをロックすると、ポリシーは変更不可能になります。ボールトロック処理の詳細については、「ボールトロックポリシー」を参照してください。変更可能な他のユーザー権限を管理する場合は、ボールトアクセスポリシーを使用できます (「ボールトアクセスポリシー」を参照)。

Amazon Glacier API、Amazon SDKs AWS CLI、または Amazon Glacier コンソールを使用して、ボールトロックポリシーを作成および管理できます。ボールトリソースベースのポリシーに対して許可される Amazon Glacier アクションのリストについては、「API の権限リファレンス」を参照してください。

例 1: 365 日経過していないアーカイブの削除権限を拒否する

アーカイブが削除可能になる前に 1 年間保持しなければならない規制要件があるとします。次のボールトロックのポリシーを導入すると、その要件を適用できます。削除しようとしているアーカイブが 1 年経過していない場合は、ポリシーによって glacier:DeleteArchive アクションが拒否されます。ポリシーは、Amazon Glacier-specific 固有の条件 キー ArchiveAgeInDays を使用して、1年間の保持要件を適用します。

1 年未満のアーカイブを削除可能にする時間ベースの保持ルールがあるとします。同時に、法的な調査が行われている間は、削除や変更を防ぐため、アーカイブを無期限にリーガルホールドの対象としなければならない場合があるとします。この場合、リーガルホールドはボールトロックポリシーで指定されている時間ベースの保持ルールよりも優先されます。

これら 2 つのルールを配置するために、次のポリシーの例では 2 つのステートメントが含まれています。

  • 最初のステートメントは、全員の削除権限を拒否し、ボールトをロックします。このロックは LegalHold タグを使用して行われます。

  • 2 番目のステートメントは、アーカイブが 365 日経過していない場合に削除の権限を付与します。ただし、アーカイブが 365 日経過していない場合でも、最初のステートメントの条件が満たされていれば、誰もアーカイブを削除することはできません。