本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
鎖定資源回收筒保留規則,以防止更新或刪除
資源回收筒可讓您隨時鎖定區域層級的保留規則。
無法修改或刪除鎖定的保留規則,即使是擁有必要 IAM 許可的使用者也無法修改或刪除。鎖定保留規則,以協助保護規則免受意外或惡意的修改和刪除。
鎖定保留規則時,您必須指定解除鎖定延遲期間。這是解除鎖定保留規則後必須等待的時間,這樣您才能進行修改或刪除。您無法在解除鎖定延遲期間修改或刪除保留規則。您僅可在解除鎖定延遲期間到期後才能修改或刪除保留規則。
鎖定保留規則之後,您就無法變更解除鎖定延遲期間。如果您的帳戶許可遭受入侵,解除鎖定延遲期間可讓您有更多時間偵測及回應安全威脅。此期間的長度應該比識別和回應安全漏洞所需的時間更長。若要設定正確的持續時間,您可以檢視先前的安全事件,以及識別和修復帳戶漏洞所需的時間。
我們建議您使用 Amazon EventBridge 規則來通知您保留規則鎖定狀態變更。如需詳細資訊,請參閱使用 Amazon EventBridge 監控資源回收筒。
考量
您可以使用下列其中一種方法來鎖定區域層級保留規則。
- Recycle Bin console
-
若要鎖定保留規則
-
開啟資源回收筒主控台,網址為 https://console.aws.amazon.com/rbin/home/
-
在導覽面板中,選擇 Retention rules (保留規則)。
-
在網格中,選取要鎖定的解除鎖定的保留規則,然後選取 Actions (動作)、Edit retention rule lock (編輯保留規則鎖定)。
-
在 Edit retention rule lock (編輯保留規則鎖定) 畫面中,選擇 Lock (鎖定),然後針對 Unlock delay period (解除鎖定延遲期間),指定解除鎖定延遲期間 (以天為單位)。
-
選取 I acknowledge that locking the retention rule will prevent it from being modified or deleted (我確認鎖定保留規則將防止其遭受修改或刪除) 核取方塊,然後選擇 Save (儲存)。
- AWS CLI
-
若要鎖定解除鎖定的保留規則
使用 lock-rule AWS CLI 命令。對於 --identifier,指定要鎖定的保留規則 ID。對於 --lock-configuration,指定解除鎖定延遲期間 (以天為單位)。
aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'
範例
下列範例命令會鎖定保留規則 6lsJ2Fa9nh9,並將解除鎖定延遲期間設定為 15 天。
aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'
