**此页面仅适用于使用文件库和 2012 年原始 REST API 的 Amazon Glacier 服务的现有客户。**

如果您正在寻找归档存储解决方案，建议使用 Amazon S3 中的 Amazon Glacier 存储类别 S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive。要了解有关这些存储选项的更多信息，请参阅 [Amazon Glacier 存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)。

Amazon Glacier（最初基于保管库的独立服务）不再接受新客户。Amazon Glacier 是一项独立的服务 APIs ，拥有自己的服务，可将数据存储在文件库中，不同于亚马逊 S3 和 Amazon S3 Glacier 存储类别。在 Amazon Glacier 中，您现有的数据将确保安全，并且可以无限期地访问。无需进行迁移。对于低成本、长期的存档存储， AWS 建议[使用 Amazon S3 Glacier 存储类别，这些存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)基于S3存储桶 APIs、完全 AWS 区域 可用性、更低的成本和 AWS 服务集成，可提供卓越的客户体验。如果您希望加强功能，可以考虑使用我们的 [AWS 将数据从 Amazon Glacier 文件库传输到 Amazon S3 Glacier 存储类别的解决方案指南](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)，迁移到 Amazon S3 Glacier 存储类别。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Glacier 文件库锁定
<a name="vault-lock"></a>

以下主题介绍了如何在 Amazon Glacier 中锁定文件库以及如何使用文件库锁定策略。

**Topics**
+ [

## 文件库锁定概述
](#vault-lock-overview)
+ [

# 使用 Amazon Glacier API 锁定文件库
](vault-lock-how-to-api.md)
+ [

# 使用锁定文件库 AWS Command Line Interface
](vault-lock-how-to-cli.md)
+ [

# 使用 Amazon Glacier 控制台锁定文件库
](vault-lock-walkthrough.md)

## 文件库锁定概述
<a name="vault-lock-overview"></a>

通过 Amazon Glacier 文件库锁定，您可以轻松利用文件库锁定策略对单独的 Amazon Glacier 文件库进行部署并实施合规性控制。您可以在一个文件库锁定策略中指定类似“一次写入，多次读取”（WORM）这样的控制措施，并且可以锁定该策略以防止将来进行编辑。

**重要**  
文件库锁定策略被锁定后，将无法再更改或删除该策略。

Amazon Glacier 实施文件库锁定策略中的控制集，以帮助实现合规性目标。例如，您可以使用文件库锁定策略来强制实施数据留存。您可以使用 AWS Identity and Access Management (IAM) 策略语言在文件库锁定策略中部署各种合规性控制。有关文件库锁定策略的更多信息，请参阅[文件库锁定策略](vault-lock-policy.md)。

文件库锁定策略与文件库访问策略不同。但两者都管理对文件库的访问控制权。但是，文件库锁定策略可进行锁定以防止将来更改，从而强有力地实施您的合规性控制措施。您可以使用文件库锁定策略来部署法规和合规性控制措施，这通常需要对数据访问进行严密控制。

**重要**  
建议您先创建文件库，完成文件库锁定策略，然后将您的档案上传到文件库，以便将该策略应用于它们。

相反，您可使用文件库访问策略来实施与合规性无关、临时以及需要经常修改的访问控制。文件库锁定策略和文件库访问策略可一起使用。例如，您可在文件库锁定策略中实施基于时间的数据保留规则（拒绝删除），并且在文件库访问策略中为指定的第三方或您的业务合作伙伴授予读取访问权限（允许读取）。

锁定文件库需要执行两个步骤：

1. 通过将文件库锁定策略附加到您的文件库来启动锁定，这会将锁定设置为正在进行状态并返回一个锁定 ID。当策略处于正在进行状态时，在锁定 ID 到期前，您有 24 个小时来验证文件库锁定策略。为防止您的文件库退出正在进行状态，必须在 24 小时内完成文件库锁定流程。否则，您的文件库锁定策略将被删除。

1. 使用锁定 ID 完成锁定过程。如果文件库锁定策略未按预期工作，可停止文件库锁定并从头开始重新启动。有关如何使用 Amazon Glacier API 来锁定文件库的信息，请参阅[使用 Amazon Glacier API 锁定文件库](vault-lock-how-to-api.md)。

# 使用 Amazon Glacier API 锁定文件库
<a name="vault-lock-how-to-api"></a>

要使用 Amazon Glacier API 锁定文件库，请先使用指定了待部署控件的文件库锁定策略调用[启动文件库锁定（POST lock-policy）](api-InitiateVaultLock.md)。`Initiate Vault Lock` 操作会将策略附加到您的文件库，将文件库锁定转换为进行中状态，并返回一个唯一的锁定 ID。在文件库锁定进入进行中状态后，您有 24 小时的时间来利用从 `Initiate Vault Lock` 调用返回的锁定 ID 调用 [完成文件库锁定（POST lockId）](api-CompleteVaultLock.md)，以便完成锁定。

**重要**  
建议您先创建文件库，完成文件库锁定策略，然后将您的档案上传到文件库，以便将该策略应用于它们。
文件库锁定策略在被锁定后即不能更改或删除。

如果您在进入正在进行状态后的 24 个小时内未完成文件库锁定过程，则您的文件库会自动退出正在进行状态，并删除文件库锁定策略。您可以再次调用 `Initiate Vault Lock` 来安装新的文件库锁定策略并转换到正在进行状态。

利用正在进行状态，您有机会在锁定您的文件库锁定策略之前对其进行测试。您的文件库锁定策略在正在进行状态期间将会完全生效，就如同文件库已锁定一样，只不过您可以通过调用 [中止文件库锁定（DELETE lock-policy）](api-AbortVaultLock.md) 来删除该策略。要优化您的策略，可根据需要多次重复 `Abort Vault Lock`/`Initiate Vault Lock` 组合，验证您的文件库锁定策略更改。

在验证文件库锁定策略之后，您可使用最新的锁定 ID 调用 [完成文件库锁定（POST lockId）](api-CompleteVaultLock.md)，以便完成文件库锁定过程。您的文件库会转换为锁定状态（此时，文件库锁定策略不可更改），而且无法再通过调用 `Abort Vault Lock` 进行删除。

## 相关部分
<a name="related-sections-vault-lock-how-to-api"></a>

 
+ [文件库锁定策略](vault-lock-policy.md)
+ [中止文件库锁定（DELETE lock-policy）](api-AbortVaultLock.md)
+ [完成文件库锁定（POST lockId）](api-CompleteVaultLock.md)
+ [获取文件库锁定（GET lock-policy）](api-GetVaultLock.md)
+ [启动文件库锁定（POST lock-policy）](api-InitiateVaultLock.md)

# 使用锁定文件库 AWS Command Line Interface
<a name="vault-lock-how-to-cli"></a>

您可以使用锁定您的保管库 AWS Command Line Interface。这将对指定的文件库实施文件库锁定策略并返回锁定 ID。您必须在 24 小时内完成文件库锁定过程，否则该文件库锁定策略将从文件库中删除。

## （先决条件）设置 AWS CLI
<a name="Creating-Vaults-CLI-Setup"></a>

1. 下载并配置 AWS CLI。有关说明，请参阅《AWS Command Line Interface 用户指南》**中的以下主题：

    [正在安装 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 

   [正在配置 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)

1. 在命令提示符下输入以下命令来验证您的 AWS CLI 设置。这些命令没有显式提供凭证，因此将使用默认配置文件的凭证。
   + 尝试使用 help 命令。

     ```
     aws help
     ```
   + 要获取已配置账户上 Amazon Glacier 文件库的列表，请使用 `list-vaults` 命令。*123456789012*用您的 AWS 账户 身份证替换。

     ```
     aws glacier list-vaults --account-id 123456789012
     ```
   + 要查看的当前配置数据 AWS CLI，请使用`aws configure list`命令。

     ```
     aws configure list
     ```

1. 使用 `initiate-vault-lock` 实施文件库锁定策略，并将文件库锁定的锁定状态设置为 `InProgress`。

   ```
   aws glacier initiate-vault-lock --vault-name examplevault --account-id 111122223333 --policy file://lockconfig.json
   ```

1. 锁定配置是 JSON 文档，如以下示例所示。在使用此命令之前，请将*VAULT\$1ARN*和*Principal*替换为适合您的用例的值。

   要查找要锁定的文件库的 ARN，可以使用 `list-vaults` 命令。

   ```
   {"Policy":"{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"Define-vault-lock\",\"Effect\":\"Deny\",\"Principal\":{\"AWS\":\"arn:aws:iam::111122223333:root\"},\"Action\":\"glacier:DeleteArchive\",\"Resource\":\"VAULT_ARN\",\"Condition\":{\"NumericLessThanEquals\":{\"glacier:ArchiveAgeinDays\":\"365\"}}}]}"}
   ```

1. 启动文件库锁定后，您应该会看到 `lockId` 返回的内容。

   ```
   {
       "lockId": "LOCK_ID"
   }
   ```

要完成文件库锁定，您必须在 24 小时内运行 `complete-vault-lock`，否则该文件库锁定策略将从文件库中删除。

```
aws glacier complete-vault-lock --vault-name examplevault --account-id 111122223333 --lock-id LOCK_ID
```

## 相关部分
<a name="related-sections-vault-lock-how-to-cli"></a>
+ 《AWS CLI Command Reference》**中的 [initiate-vault-lock](https://docs.aws.amazon.com/cli/latest/reference/glacier/initiate-vault-lock.html)。
+ 《AWS CLI 命令参考》中的 [list-vaults](https://docs.aws.amazon.com/cli/latest/reference/glacier/list-vaults.html)**
+ 《AWS CLI Command Reference》**中的 [complete-vault-lock](https://docs.aws.amazon.com/cli/latest/reference/glacier/complete-vault-lock.html)。
+ [文件库锁定策略](vault-lock-policy.md)
+ [中止文件库锁定（DELETE lock-policy）](api-AbortVaultLock.md)
+ [完成文件库锁定（POST lockId）](api-CompleteVaultLock.md)
+ [获取文件库锁定（GET lock-policy）](api-GetVaultLock.md)
+ [启动文件库锁定（POST lock-policy）](api-InitiateVaultLock.md)

# 使用 Amazon Glacier 控制台锁定文件库
<a name="vault-lock-walkthrough"></a>

通过 Amazon Glacier 文件库锁定，您可以轻松利用文件库锁定策略对单独的 Amazon Glacier 文件库进行部署并实施合规性控制。有关 Amazon Glacier 文件库锁定的更多信息，请参阅[使用文件库锁定策略进行 Amazon Glacier 访问控制](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock-policy.html)。

**重要**  
建议您先创建文件库，完成文件库锁定策略，然后将您的档案上传到文件库，以便将该策略应用于它们。
文件库锁定策略在被锁定后即不能更改或删除。

**使用 Amazon Glacier 控制台对您的文件库启动文件库锁定策略**

通过将文件库锁定策略附加到您的文件库来启动锁定，这会将锁定设置为正在进行状态并返回一个锁定 ID。当策略处于正在进行状态时，在锁定 ID 到期前，您有 24 个小时来验证文件库锁定策略。

1. 登录 AWS 管理控制台 并在家中打开 Amazon Glacier [https://console.aws.amazon.com/glacier/主](https://console.aws.amazon.com/glacier/home)机。

1. 在 **“选择区域”** 下， AWS 区域 从 “区域” 选择器中选择。

1. 在左侧导航窗格中，选择**文件库**。

1. 在**文件库**页面上，选择**创建文件库**。

1. 创建新的文件库。
**重要**  
建议您先创建文件库，完成文件库锁定策略，然后将您的档案上传到文件库，以便将该策略应用于它们。

1.  从**文件库**列表中选择您的新文件库。

1.  选择**文件库策略**选项卡。

1. 在**文件库锁定策略**部分，选择**启动文件库锁定策略**。

1. 在**启动文件库锁定策略**页面上，可以使用标准文本框在文本格式的文件库锁定策略中指定记录保留控制措施。
**注意**  
您可以在文本格式的文件库锁定策略中指定记录保留控制措施，并通过调用 `Initiate Vault Lock` API 操作或通过 Amazon Glacier 控制台中的交互式用户界面来启动文件库锁定。有关设置文件库锁定策略的格式的信息，请参阅 [Amazon Glacier 文件库锁定策略示例](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock-policy.html#vault-lock-policy-example-deny-delete-archive-age)。

1. 选择**保存更改**。

1. 在**记录文件库锁定 ID** 对话框中，复制您的**锁定 ID** 并将其保存在安全的地方。
**重要**  
文件库锁定策略启动后，您有 24 小时的时间来验证该策略并完成锁定过程。要完成锁定过程，必须提供锁定 ID。如果未在 24 小时内提供锁定 ID，则锁定 ID 将过期，并且处于正在进行状态的策略将被删除。

1. 将您的锁定 ID 保存在安全的地方后，选择**关闭**。

1. 在接下来的 24 小时内测试您的文件库锁定策略。如果策略按预期运行，请选择**完成文件库锁定策略**。

1. 在**完成文件库锁定**对话框中，选中该复选框，以确认完成文件库锁定策略过程是不可逆的。

1. 在文本框中输入提供的**锁定 ID**。

1. 选择**完成文件库锁定**。