**此頁面僅適用於使用 Vaults 和 2012 年原始 REST API 的 Amazon Glacier 服務的現有客戶。**

如果您要尋找封存儲存解決方案，建議您在 Amazon Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive 中使用 Amazon Glacier 儲存類別。 Amazon S3 若要進一步了解這些儲存選項，請參閱 [Amazon Glacier 儲存類別](https://aws.amazon.com/s3/storage-classes/glacier/)。

Amazon Glacier （原始獨立保存庫型服務） 不再接受新客戶。Amazon Glacier 是一項獨立服務，具有自己的 APIs，可將資料存放在保存庫中，並與 Amazon S3 和 Amazon S3 Glacier 儲存類別不同。您現有的資料將在 Amazon Glacier 中無限期保持安全且可存取。不需要遷移。對於低成本、長期的封存儲存， AWS 建議使用 [Amazon S3 Glacier 儲存類別](https://aws.amazon.com/s3/storage-classes/glacier/)，透過 S3 儲存貯體型 APIs、完整 AWS 區域 可用性、降低成本 AWS 和服務整合，提供卓越的客戶體驗。如果您想要增強功能，請考慮使用我們的解決方案指南，將資料從 Amazon S3 Glacier 保存庫傳輸至 Amazon S3 Glacier 儲存類別，以遷移至 Amazon S3 Glacier 儲存類別。 [AWS Amazon Glacier Amazon S3 ](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Glacier 保存庫鎖定
<a name="vault-lock"></a>

下列主題說明如何在 Amazon Glacier 中鎖定保存庫，以及如何使用保存庫鎖定政策。

**Topics**
+ [文件庫鎖定概觀](#vault-lock-overview)
+ [使用 Amazon Glacier API 鎖定保存庫](vault-lock-how-to-api.md)
+ [使用 鎖定保存庫 AWS Command Line Interface](vault-lock-how-to-cli.md)
+ [使用 Amazon Glacier 主控台鎖定保存庫](vault-lock-walkthrough.md)

## 文件庫鎖定概觀
<a name="vault-lock-overview"></a>

Amazon Glacier Vault Lock 可協助您使用保存庫鎖定政策，輕鬆部署和強制執行個別 Amazon Glacier 保存庫的合規控制。您可以在保存庫鎖定政策中指定控制功能，例如「單寫多讀」(WORM)，並鎖定該政策以防未來進行編輯。

**重要**  
鎖定保存庫鎖定政策後，將無法再變更或刪除該政策。

Amazon Glacier 會強制執行保存庫鎖定政策中設定的控制項，以協助達成您的合規目標。例如，您可以使用保存庫鎖定政策強制執行資料保留。您可以使用 AWS Identity and Access Management (IAM) 政策語言，在保存庫鎖定政策中部署各種合規控制。如需保存庫鎖定政策的詳細資訊，請參閱[保存庫鎖定政策](vault-lock-policy.md)。

保存庫鎖定政策不同於保存庫存取政策。兩個政策都可管理文件庫的存取控制。不過，保存庫鎖定政策是可鎖定的，以防止未來進行變更，為合規控制提供強而有力的執行力。您可以使用保存庫鎖定政策定期部署法規和合規性控制，這通常需要對資料的存取進行緊密的控制。

**重要**  
我們建議您先建立保存庫、完成保存庫鎖定政策，然後將封存上傳至保存庫，以便將政策套用至其中。

相對的，您使用文件庫存取政策來對不是與何規性相關、暫時和需要頻繁修改，施行存取控制。您可以將保存庫鎖定和保存庫存取政策一起搭配使用。例如，您可以在保存庫鎖定政策 (拒絕刪除) 中實作以時間為基礎的資料保留規則，以及在保存庫存取政策中授予讀取權限給指定的第三方或您的業務合作夥伴 (允許讀取)。

鎖定文件庫需要採取兩個步驟：

1. 透過將保存庫鎖定政策連接至保存庫來啟動鎖定，這會將鎖定設定為進行中的狀態，並傳回鎖定 ID。政策處於進行中狀態時，您有 24 小時可在鎖定 ID 過期之前驗證保存庫鎖定政策。若要防止保存庫結束進行中狀態，您必須在這 24 小時內完成保存庫鎖定程序。否則，保存庫鎖定政策將遭到刪除。

1. 使用鎖定 ID 來完成鎖定程序。如果保存庫鎖定政策運作未如預期，您可以停止鎖定程序並從頭重新開始。如需如何使用 Amazon Glacier API 鎖定保存庫的詳細資訊，請參閱 [使用 Amazon Glacier API 鎖定保存庫](vault-lock-how-to-api.md)。

# 使用 Amazon Glacier API 鎖定保存庫
<a name="vault-lock-how-to-api"></a>

若要使用 Amazon Glacier API 鎖定保存庫，您必須先[啟動保存庫鎖定 (POST 鎖定政策)](api-InitiateVaultLock.md)使用指定要部署之控制項的保存庫鎖定政策來呼叫 。`Initiate Vault Lock` 作業會將政策連接至保存庫，將保存庫鎖定轉為進行中狀態，並傳回唯一的鎖定 ID。保存庫鎖定進入進行中狀態後，您有 24 小時可透過使用 [完成保存庫鎖定 (POST lockId)](api-CompleteVaultLock.md) 呼叫傳回的鎖定 ID 呼叫 `Initiate Vault Lock` 來完成鎖定。

**重要**  
我們建議您先建立保存庫、完成保存庫鎖定政策，然後將封存上傳至保存庫，以便將政策套用至其中。
在保存庫鎖定政策遭鎖定之後，再也無法變更或刪除該政策。

如果您未在進入進行中狀態後的 24 小時內完成保存庫鎖定程序，保存庫會自動結束進行中狀態，並且保存庫鎖定政策會遭到移除。您可以再次呼叫 `Initiate Vault Lock` 安裝新的保存庫鎖定政策，並轉換到進行中狀態。

進行中狀態提供機會讓您在鎖定前測試保存庫鎖定政策。保存庫鎖定政策在進行中狀態會充分發揮作用，宛如保存庫已經鎖定，不過您也可以透過呼叫 [「中止保存庫鎖定」(DELETE 鎖定政策)](api-AbortVaultLock.md) 來移除政策。若要調整政策，您可以依需要多次重複 `Abort Vault Lock`/`Initiate Vault Lock` 組合，來驗證保存庫鎖定政策變更。

在您驗證保存庫鎖定政策後，您可以使用最近的鎖定 ID 呼叫 [完成保存庫鎖定 (POST lockId)](api-CompleteVaultLock.md)，來完成保存庫鎖定程序。保存庫會轉換到鎖定狀態，其中保存庫鎖定政策將不可變更，並且無法再透過呼叫 `Abort Vault Lock` 移除。

## 相關章節
<a name="related-sections-vault-lock-how-to-api"></a>

 
+ [保存庫鎖定政策](vault-lock-policy.md)
+ [「中止保存庫鎖定」(DELETE 鎖定政策)](api-AbortVaultLock.md)
+ [完成保存庫鎖定 (POST lockId)](api-CompleteVaultLock.md)
+ [取得保存庫鎖定 (GET 鎖定政策)](api-GetVaultLock.md)
+ [啟動保存庫鎖定 (POST 鎖定政策)](api-InitiateVaultLock.md)

# 使用 鎖定保存庫 AWS Command Line Interface
<a name="vault-lock-how-to-cli"></a>

您可以使用 鎖定保存庫 AWS Command Line Interface。這會在指定的保存庫上安裝保存庫鎖定政策，並傳回鎖定 ID。您必須在 24 小時內完成保存庫鎖定程序，否則會將保存庫鎖定政策從保存庫中移除。

## （先決條件） 設定 AWS CLI
<a name="Creating-Vaults-CLI-Setup"></a>

1. 下載和設定 AWS CLI。如需相關指示，請參閱《AWS Command Line Interface 使用者指南》**中的下列主題：

    [安裝 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 

   [設定 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)

1. 在命令提示中輸入下列命令來驗證您的 AWS CLI 設定。這些命令不會明確提供登入資料，因此會使用預設描述檔的登入資料。
   + 嘗試使用幫助命令。

     ```
     aws help
     ```
   + 若要取得已設定帳戶上的 Amazon Glacier 保存庫清單，請使用 `list-vaults`命令。將 *123456789012* 取代為您的 AWS 帳戶 ID。

     ```
     aws glacier list-vaults --account-id 123456789012
     ```
   + 若要查看 目前的組態資料 AWS CLI，請使用 `aws configure list`命令。

     ```
     aws configure list
     ```

1. 使用 `initiate-vault-lock` 安裝保存庫鎖定政策，並將保存庫鎖定的鎖定狀態設為 `InProgress`。

   ```
   aws glacier initiate-vault-lock --vault-name examplevault --account-id 111122223333 --policy file://lockconfig.json
   ```

1. 通知設定是 JSON 文件，如以下範例所示。在使用此命令之前，請將 *VAULT\$1ARN* 和 *Principal* 替換為適合您使用案例的值。

   若要尋找要鎖定的保存庫 ARN，您可以使用 `list-vaults` 命令。

   ```
   {"Policy":"{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"Define-vault-lock\",\"Effect\":\"Deny\",\"Principal\":{\"AWS\":\"arn:aws:iam::111122223333:root\"},\"Action\":\"glacier:DeleteArchive\",\"Resource\":\"VAULT_ARN\",\"Condition\":{\"NumericLessThanEquals\":{\"glacier:ArchiveAgeinDays\":\"365\"}}}]}"}
   ```

1. 啟動保存庫鎖定之後，您應該會看到傳回的 `lockId`。

   ```
   {
       "lockId": "LOCK_ID"
   }
   ```

若要完成保存庫鎖定，您必須在 24 小時內執行 `complete-vault-lock`，否則會將保存庫鎖定政策從保存庫中移除。

```
aws glacier complete-vault-lock --vault-name examplevault --account-id 111122223333 --lock-id LOCK_ID
```

## 相關章節
<a name="related-sections-vault-lock-how-to-cli"></a>
+ 在AWS CLI 命令參考**中的 [initiate-vault-lock](https://docs.aws.amazon.com/cli/latest/reference/glacier/initiate-vault-lock.html)
+ 在AWS CLI 命令參考**中的 [list-vaults](https://docs.aws.amazon.com/cli/latest/reference/glacier/list-vaults.html)
+ 在AWS CLI 命令參考**中的 [complete-vault-lock](https://docs.aws.amazon.com/cli/latest/reference/glacier/complete-vault-lock.html)
+ [保存庫鎖定政策](vault-lock-policy.md)
+ [「中止保存庫鎖定」(DELETE 鎖定政策)](api-AbortVaultLock.md)
+ [完成保存庫鎖定 (POST lockId)](api-CompleteVaultLock.md)
+ [取得保存庫鎖定 (GET 鎖定政策)](api-GetVaultLock.md)
+ [啟動保存庫鎖定 (POST 鎖定政策)](api-InitiateVaultLock.md)

# 使用 Amazon Glacier 主控台鎖定保存庫
<a name="vault-lock-walkthrough"></a>

Amazon Glacier Vault Lock 可協助您使用保存庫鎖定政策，輕鬆部署和強制執行個別 Amazon Glacier 保存庫的合規控制。如需 Amazon Glacier 保存庫鎖定的詳細資訊，請參閱 [Amazon Glacier 存取控制與保存庫鎖定政策](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock-policy.html)。

**重要**  
我們建議您先建立保存庫、完成保存庫鎖定政策，然後將封存上傳至保存庫，以便將政策套用至其中。
在保存庫鎖定政策遭鎖定之後，再也無法變更或刪除該政策。

**使用 Amazon Glacier 主控台啟動保存庫上的保存庫鎖定政策**

您透過將保存庫鎖定政策連接至保存庫來啟動鎖定，這會將鎖定設為進行中的狀態，並傳回鎖定 ID。政策處於進行中狀態時，您有 24 小時可在鎖定 ID 過期之前驗證保存庫鎖定政策。

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/glacier/home](https://console.aws.amazon.com/glacier/home)：// 開啟 Amazon Glacier 主控台。

1. 在**選取區域**下， AWS 區域 從區域選取器中選取 。

1. 在左側導覽窗格中，選擇**保存庫**。

1. 在**保存庫**頁面上，選擇**建立保存庫**。

1. 建立新的保存庫。
**重要**  
我們建議您先建立保存庫、完成保存庫鎖定政策，然後將封存上傳至保存庫，以便將政策套用至其中。

1.  從**保存庫**清單中選擇新的保存庫。

1.  選擇**保存庫政策**索引標籤。

1. 在**保存庫鎖定政策**區段中，選擇**啟動保存庫鎖定政策**。

1. 在**啟動保存庫鎖定政策**頁面上，在標準文字方塊中，以文字格式指定保存庫鎖定政策中的記錄保留控制項。
**注意**  
您可以在保存庫鎖定政策中以文字格式指定記錄保留控制，並透過呼叫 `Initiate Vault Lock` API 操作或透過 Amazon Glacier 主控台中的互動式 UI 啟動保存庫鎖定。如需有關格式化保存庫鎖定政策的資訊，請參閱 [Amazon Glacier 保存庫鎖定政策範例](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock-policy.html#vault-lock-policy-example-deny-delete-archive-age)。

1. 選擇**儲存變更**。

1. 在**記錄保存庫鎖定 ID** 對話方塊中，複製**鎖定 ID** 並將其儲存在安全的位置。
**重要**  
啟動保存庫鎖定政策後，您有 24 小時的時間驗證政策並完成鎖定程序。若要完成鎖定程序，您必須提供鎖定 ID。如果未在 24 小時內提供，鎖定 ID 就會過期，而且進行中的政策也會遭到刪除。

1. 將鎖定 ID 儲存在安全的地方後，選擇**關閉**。

1. 在接下來的 24 小時內測試保存庫鎖定政策。如果政策如預期運作，請選擇**完成保存庫鎖定政策**。

1. 在**完成保存庫鎖定**對話方塊中，選取該核取方塊以確認保存庫鎖定政策程序的完成是不可還原的。

1. 在文字方塊中輸入您提供的**鎖定 ID**。

1. 選擇**完成保存庫鎖定**。