Políticas do Vault Lock - Amazon Glacier
Exemplo 1: negar permissões de exclusão para arquivos com menos de 365 diasExemplo 2: negar permissões de exclusão com base em uma tag

Esta página é somente para clientes atuais do serviço Amazon Glacier que usam Vaults e a API REST original de 2012.

Se você estiver procurando por soluções de armazenamento de arquivos, recomendamos usar as classes de armazenamento Amazon Glacier no Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Para saber mais sobre essas opções de armazenamento, consulte as classes de armazenamento do Amazon Glacier.

O Amazon Glacier (serviço autônomo original baseado em cofre) não aceitará mais novos clientes a partir de 15 de dezembro de 2025, sem impacto para os clientes existentes. O Amazon Glacier é um serviço independente APIs que armazena dados em cofres e é diferente das classes de armazenamento Amazon S3 e Amazon S3 Glacier. Seus dados existentes permanecerão seguros e acessíveis no Amazon Glacier indefinidamente. Nenhuma migração é necessária. Para armazenamento de arquivamento de baixo custo e longo prazo, AWS recomenda as classes de armazenamento Amazon S3 Glacier, que oferecem uma experiência superior ao cliente com APIs base em buckets S3, disponibilidade Região da AWS total, custos mais baixos e integração de serviços. AWS Se você quiser recursos aprimorados, considere migrar para as classes de armazenamento do Amazon S3 Glacier usando AWS nossa orientação de soluções para transferir dados dos cofres do Amazon Glacier para as classes de armazenamento do Amazon S3 Glacier.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do Vault Lock

Um cofre Amazon Glacier (Amazon Glacier) pode ter uma política de acesso ao cofre baseada em recursos e uma política de Vault Lock anexada a ele. Uma política do Vault Lock é uma política de acesso ao cofre que você pode bloquear. Usar uma política do Vault Lock pode ajudar você a impor requisitos regulatórios e de conformidade. O Amazon Glacier fornece um conjunto de operações de API para você gerenciar as políticas do Vault Lock, consulte. Bloqueando um cofre usando a API do Amazon Glacier

Como exemplo de uma política do Vault Lock, suponhamos que você precise manter arquivos por um ano antes de excluí-los. Para implementar esse requisito, você pode criar uma política do Vault Lock que negue a usuários permissões para excluir um arquivo até que o arquivo exista por um ano. Você pode testar essa política antes de bloqueá-la. Depois de bloquear a política, ela se tornará imutável. Para obter mais informações sobre o processo de bloqueio, consulte Políticas do Vault Lock. Se quiser gerenciar outras permissões de usuário que possam ser alteradas, você poderá usar a política de acesso ao cofre (consulte Políticas de acesso ao cofre).

Você pode usar a API do Amazon Glacier SDKs AWS CLI, a Amazon ou o console do Amazon Glacier para criar e gerenciar políticas do Vault Lock. Para obter uma lista das ações do Amazon Glacier permitidas para políticas baseadas em recursos do Vault, consulte. Referência de permissões da API

Exemplo 1: negar permissões de exclusão para arquivos com menos de 365 dias

Suponhamos que você tenha um requisito regulatório para reter arquivos por até um ano antes de excluí-los. Você pode impor esse requisito implementando a política do Vault Lock a seguir. A política negará a ação glacier:DeleteArchive no cofre examplevault se o arquivo que estiver sendo excluído tiver menos de um ano. A política usa a chave de condição específica do Amazon Glacier para impor ArchiveAgeInDays a exigência de retenção de um ano.

Suponhamos que você tenha uma regra de retenção baseada em tempo de que um arquivo possa ser excluído caso tenha menos de um ano. Ao mesmo tempo, suponhamos que você precise impor uma retenção legal sobre os arquivos a fim de evitar a exclusão ou a modificação por uma duração indefinida durante uma investigação legal. Nesse caso, a retenção legal tem precedência sobre a regra de retenção baseada em tempo especificada na política do Vault Lock.

Para impor essas duas regras, a seguinte política de exemplo tem duas instruções:

  • A primeira instrução nega permissões de exclusão a todos, bloqueando o cofre. Esse bloqueio é realizado usando a tag LegalHold.

  • A segunda instrução concede permissões de exclusão quando o arquivo tem menos de 365 dias. Mas, mesmo quando arquivos tiverem menos de 365 dias, ninguém poderá excluí-los quando a condição da primeira instrução for atendida.