本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 锁定回收站保留规则以防止其被更新或删除 回收站允许您随时锁定区域级别的保留规则。 即使拥有所需 IAM 权限的用户,也无法修改或删除锁定的保留规则。锁定保留规则以保护其免遭意外或恶意修改和删除。 锁定保留规则时,必须指定解锁延迟期。这是解锁保留规则后必须等待的时间,然后才能修改或删除该规则。在解锁延迟期内,您无法修改或删除保留规则。只有在解锁延迟期到期后,您才可修改或删除保留规则。 保留规则锁定后,您无法更改解锁延迟期。如果您的账户权限已外泄,则解锁延迟期会让您有更多时间检测和应对安全威胁。此期限的长度应长于您识别和应对安全漏洞所花费的时间。若要设置正确的持续时间,您可以查看以前的安全事件以及识别和修复账户漏洞所需的时间。 我们建议您使用 Amazon EventBridge 规则来通知您保留规则锁定状态的变化。有关更多信息,请参阅 [使用 Amazon 监控回收站 EventBridge](rbin-eventbridge.md)。 **注意事项** + 您无法锁定标签级保留规则,也无法锁定具有排除标签的区域级保留规则。 + 您可以随时锁定已解锁的保留规则。 + 解锁延迟期必须为 7 到 30 天。 + 您可以在解锁延迟期内重新锁定保留规则。重新锁定保留规则会重置解锁延迟期。 您可以使用以下方法之一锁定区域级别的保留规则。 ------ #### [ Recycle Bin console ] **锁定保留规则** 1. 在家中打开回收站控制台 [https://console.aws.amazon.com/rbin//](https://console.aws.amazon.com/rbin/home/) 1. 在导航面板中,选择 **Retention rules**(保留规则)。 1. 在网格中,选择要锁定的已解锁保留规则,然后选择 **Actions**(操作)、**Edit retention rule lock**(编辑保留规则锁定)。 1. 在编辑保留规则锁定屏幕上,选择 **Lock**(锁定),然后对于 **Unlock delay period**(解锁延迟期),指定解锁延迟期(以天为单位)。 1. 选择 **I acknowledge that locking the retention rule will prevent it from being modified or deleted**(我确认锁定保留规则将阻止其被修改或删除)复选框,然后选择 **Save**(保存)。 ------ #### [ AWS CLI ] **锁定已解锁的保留规则** 使用 [lock-rule](https://docs.aws.amazon.com/cli/latest/reference/rbin/lock-rule.html) AWS CLI 命令。对于 `--identifier`,指定要锁定的保留规则 ID。对于 `--lock-configuration`,以天为单位指定解锁延迟期。 ``` aws rbin lock-rule \ --identifier rule_ID \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}' ``` **示例** 以下示例命令锁定保留规则 `6lsJ2Fa9nh9` 并将解锁延迟期设置为 15 天。 ``` aws rbin lock-rule \ --identifier 6lsJ2Fa9nh9 \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}' ``` ------