Beispiel 1: Berechtigungen zum Löschen von Archiven, die weniger als 365 Tage alt sind, verweigern Beispiel 2: Berechtigungen zum Löschen basierend auf einem Tag verweigern

Diese Seite richtet sich nur an Bestandskunden des S3 Glacier-Dienstes, die Vaults und das Original REST API von 2012 verwenden.

Wenn Sie nach Archivspeicherlösungen suchen, empfehlen wir die Verwendung der S3 Glacier-Speicherklassen in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive. Weitere Informationen zu diesen Speicheroptionen finden Sie unter S3 Glacier-Speicherklassen und Langfristige Datenspeicherung mit S3 Glacier-Speicherklassen im Amazon S3 S3-Benutzerhandbuch. Diese Speicherklassen verwenden Amazon S3API, sind in allen Regionen verfügbar und können in der Amazon S3 S3-Konsole verwaltet werden. Sie bieten Funktionen wie Speicherkostenanalyse, Storage Lens, erweiterte optionale Verschlüsselungsfunktionen und mehr.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tresorverriegelungs-Richtlinien

Einem Amazon S3 Glacier (S3 Glacier)-Tresor können eine ressourcenbasierte Tresorzugriffsrichtlinie und eine Tresorverriegelungsrichtlinie angefügt werden. Eine Tresorverriegelungs-Richtlinie ist eine Tresorzugriffsrichtlinie, die Sie sperren können. Die Verwendung einer Tresorverriegelungsrichtlinie kann Ihnen dabei helfen, Anforderungen für gesetzliche Vorschriften und Compliance durchzusetzen. Amazon S3 Glacier bietet eine Reihe von API Vorgängen, mit denen Sie die Vault Lock-Richtlinien verwalten können, sieheVerriegeln eines Tresors mithilfe der S3-Glacier-API.

Nehmen wir als ein Beispiel für eine Tresorverriegelungs-Richtlinie an, dass Sie verpflichtet sind, Archive für ein Jahr aufzubewahren, bevor Sie sie löschen dürfen. Um diese Anforderung zu implementieren, können Sie eine Tresorverriegelungs-Richtlinie erstellen, die Benutzern die Berechtigung verweigert, ein Archiv zu löschen, wenn dieses Archiv noch nicht ein Jahr lang existiert. Sie können diese Richtlinie testen, bevor Sie sie sperren. Nachdem Sie die Richtlinie gesperrt haben, kann sie nicht mehr geändert werden. Weitere Informationen über den Verriegelungsprozess finden Sie unter Tresorverriegelungs-Richtlinien. Wenn Sie andere Benutzerberechtigungen verwalten möchten, die geändert werden können, können Sie die Tresorzugriffsrichtlinie verwenden (siehe Richtlinien für den Tresorzugriff).

Sie können die S3 Glacier- API SDKs AWS CLI, Amazon- oder S3 Glacier-Konsole verwenden, um Vault Lock-Richtlinien zu erstellen und zu verwalten. Eine Liste von zulässigen S3-Glacier-Aktionen für ressourcenbasierte Tresorrichtlinien finden Sie unter Referenz zu API-Berechtigungen.

Beispiele

Beispiel 1: Berechtigungen zum Löschen von Archiven, die weniger als 365 Tage alt sind, verweigern
Beispiel 2: Berechtigungen zum Löschen basierend auf einem Tag verweigern

Beispiel 1: Berechtigungen zum Löschen von Archiven, die weniger als 365 Tage alt sind, verweigern

Angenommen, Sie haben eine gesetzliche Verpflichtung, Archive bis zu einem Jahr aufzubewahren, bevor Sie sie löschen können. Sie können diese Anforderung durchsetzen, indem Sie die folgende Tresorverriegelungs-Richtlinie implementieren. Die Richtlinie verweigert die Aktion glacier:DeleteArchive auf dem Tresor „examplevault“, wenn das zu löschende Archiv weniger als ein Jahr alt ist. Die Richtlinie verwendet den S3-Glacier-spezifischen Bedingungsschlüssel ArchiveAgeInDays, um die Pflicht zur einjährigen Aufbewahrung durchzusetzen.


{
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "deny-based-on-archive-age",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": "glacier:DeleteArchive",
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan" : {
                              "glacier:ArchiveAgeInDays" : "365"
                              }
                           }
                        }
                     ]
                  }

Beispiel 2: Berechtigungen zum Löschen basierend auf einem Tag verweigern

Angenommen, Sie haben eine zeitabhängige Aufbewahrungsregel, nach der ein Archiv gelöscht werden kann, wenn es weniger als ein Jahr alt ist. Nehmen Sie gleichzeitig an, dass Sie Ihre Archive rechtssicher aufbewahren müssen, um auf unbestimmte Zeit eine Löschung oder Änderung während einer gerichtlichen Untersuchung zu verhindern. In diesem Fall hat die Pflicht zur rechtssicheren Aufbewahrung Vorrang vor der zeitabhängigen Aufbewahrungsregel, die in der Tresorverriegelungs-Richtlinie spezifiziert wurde.

Um diese beiden Regeln in Kraft zu setzen, enthält die folgende Beispielrichtlinie zwei Anweisungen:

Die erste Anweisung verweigert allen Benutzern die Berechtigung zum Löschen und verriegelt den Tresor. Diese Verriegelung erfolgt mithilfe des Tags LegalHold.
Die zweite Anweisung gewährt Berechtigungen zum Löschen, wenn das Archiv weniger als 365 Tage alt ist. Aber selbst wenn Archive weniger als 365 Tage alt sind, kann niemand sie löschen, wenn die Bedingung in der ersten Anweisung erfüllt ist.



               {
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "lock-vault",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "StringLike": {
                           "glacier:ResourceTag/LegalHold": [
                           "true",
                           ""
                           ]
                        }
                     }
                     },
                     {
                     "Sid": "you-can-delete-archive-less-than-1-year-old",
                     "Principal": {
                           "AWS": "arn:aws:iam::123456789012:root"
                        },
                     "Effect": "Allow",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan": {
                           "glacier:ArchiveAgeInDays": "365"
                        }
                     }
                     }
                  ]
               }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Richtlinien für den Tresorzugriff

Fehlerbehebung