本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 鎖定資源回收筒保留規則,以防止更新或刪除 資源回收筒可讓您隨時鎖定區域層級的保留規則。 無法修改或刪除鎖定的保留規則,即使是擁有必要 IAM 許可的使用者也無法修改或刪除。鎖定保留規則,以協助保護規則免受意外或惡意的修改和刪除。 鎖定保留規則時,您必須指定解除鎖定延遲期間。這是解除鎖定保留規則後必須等待的時間,這樣您才能進行修改或刪除。您無法在解除鎖定延遲期間修改或刪除保留規則。您僅可在解除鎖定延遲期間到期後才能修改或刪除保留規則。 鎖定保留規則之後,您就無法變更解除鎖定延遲期間。如果您的帳戶許可遭受入侵,解除鎖定延遲期間可讓您有更多時間偵測及回應安全威脅。此期間的長度應該比識別和回應安全漏洞所需的時間更長。若要設定正確的持續時間,您可以檢視先前的安全事件,以及識別和修復帳戶漏洞所需的時間。 我們建議您使用 Amazon EventBridge 規則來通知您保留規則鎖定狀態變更。如需詳細資訊,請參閱[使用 Amazon EventBridge 監控資源回收筒](rbin-eventbridge.md)。 **考量** + 您無法鎖定具有排除標籤的標籤層級保留規則或區域層級保留規則。 + 您可隨時鎖定解除鎖定的保留規則。 + 解除鎖定延遲期間必須為 7 到 30 天。 + 您可以在解除鎖定延遲期間重新鎖定保留規則。重新鎖定保留規則會重設解除鎖定延遲期間。 您可以使用下列其中一種方法來鎖定區域層級保留規則。 ------ #### [ Recycle Bin console ] **若要鎖定保留規則** 1. 開啟資源回收筒主控台,網址為 [ https://console.aws.amazon.com/rbin/home/](https://console.aws.amazon.com/rbin/home/) 1. 在導覽面板中,選擇 **Retention rules** (保留規則)。 1. 在網格中,選取要鎖定的解除鎖定的保留規則,然後選取 **Actions** (動作)、**Edit retention rule lock** (編輯保留規則鎖定)。 1. 在 Edit retention rule lock (編輯保留規則鎖定) 畫面中,選擇 **Lock** (鎖定),然後針對 **Unlock delay period** (解除鎖定延遲期間),指定解除鎖定延遲期間 (以天為單位)。 1. 選取 **I acknowledge that locking the retention rule will prevent it from being modified or deleted** (我確認鎖定保留規則將防止其遭受修改或刪除) 核取方塊,然後選擇 **Save** (儲存)。 ------ #### [ AWS CLI ] **若要鎖定解除鎖定的保留規則** 使用 [lock-rule](https://docs.aws.amazon.com/cli/latest/reference/rbin/lock-rule.html) AWS CLI 命令。對於 `--identifier`,指定要鎖定的保留規則 ID。對於 `--lock-configuration`,指定解除鎖定延遲期間 (以天為單位)。 ``` aws rbin lock-rule \ --identifier rule_ID \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}' ``` **範例** 下列範例命令會鎖定保留規則 `6lsJ2Fa9nh9`,並將解除鎖定延遲期間設定為 15 天。 ``` aws rbin lock-rule \ --identifier 6lsJ2Fa9nh9 \ --lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}' ``` ------