Bloquear uma regra de retenção da Lixeira para evitar que seja atualizada ou excluída - Amazon EBS

Bloquear uma regra de retenção da Lixeira para evitar que seja atualizada ou excluída

A Lixeira permite que você bloqueie as regras de retenção no nível regional a qualquer momento.

Uma regra de retenção bloqueada não pode ser modificada nem excluída, mesmo por usuários que tenham as permissões necessárias do IAM. Bloqueie as regras de retenção para ajudar a protegê-las contra modificações e exclusões acidentais ou maliciosas.

Quando você bloqueia uma regra de retenção, deve especificar um período de espera para o desbloqueio. Esse é o período de tempo que você deve esperar após desbloquear a regra de retenção para poder modificá-la ou excluí-la. Você não pode modificar nem excluir a regra de retenção durante o período de espera para o desbloqueio. Você só pode modificar ou excluir a regra de retenção após o período de espera para o desbloqueio.

Você não pode alterar o período de espera após o bloqueio da regra de retenção. Se as permissões da sua conta tiverem sido comprometidas, o período de espera para o desbloqueio dará a você mais tempo para detectar e responder às ameaças à segurança. A duração desse período deve ser maior do que o tempo necessário para identificar e responder às violações de segurança. Para definir a duração certa, você pode revisar os incidentes de segurança anteriores e o tempo necessário para identificar e solucionar uma violação de conta.

Recomendamos o uso das regras do Amazon EventBridge para notificar você sobre mudanças no estado de bloqueio da regra de retenção. Para obter mais informações, consulte Monitorar a Lixeira usando o Amazon EventBridge.

Considerações

  • Você não pode bloquear regras de retenção por etiquetas nem regras de retenção no nível da Região que possuam etiquetas de exclusão.

  • Você pode bloquear uma regra de retenção desbloqueada a qualquer momento.

  • O período de espera para o desbloqueio deve ser de 7 a 30 dias.

  • Você pode bloquear novamente uma regra de retenção durante o período de espera para o desbloqueio. Bloquear a regra de retenção novamente redefine o período de espera para o desbloqueio.

Você pode bloquear uma regra de retenção no nível regional usando um dos métodos a seguir.

Recycle Bin console
Para bloquear uma regra de retenção

  1. Abra o console da Lixeira em https://console.aws.amazon.com/rbin/home/

  2. No painel de navegação, selecione Retention rules (Regras de retenção).

  3. Na grade, selecione a regra de retenção desbloqueada a ser bloqueada e escolha Actions (Ações), Edit retention rule (Editar regra de retenção).

  4. Na tela Edit retention rule lock (Editar bloqueio da regra de retenção), escolha Lock (Bloquear) e, em Unlock delay period (Período de espera para o desbloqueio), especifique o período de espera para o desbloqueio em dias.

  5. Marque a caixa de seleção I acknowledge that locking the retention rule will prevent it from being modified or deleted (Eu reconheço que bloquear a regra de retenção impedirá que ela seja modificada ou excluída) e escolha Save (Salvar).

AWS CLI
Para bloquear uma regra de retenção desbloqueada

Use o comando da AWS CLI lock-rule. Em --identifier, especifique o ID da regra de retenção a ser bloqueada. Em --lock-configuration, especifique o período de espera para o desbloqueio em dias.

aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'
Exemplo

O exemplo de comando a seguir bloqueia a regra de retenção 6lsJ2Fa9nh9 e define o período de espera para o desbloqueio como 15 dias.

aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'