Trabajar con reglas de retención

Para habilitar y utilizar la papelera de reciclaje, debe crear reglas de retención en las regiones de AWS en las que desea proteger los recursos. Las reglas de retención especifican los siguientes elementos:

Con la papelera de reciclaje, puede crear dos tipos de reglas de retención:

Después de crear una regla de retención, los recursos que coinciden con sus criterios se retienen de forma automática en la papelera de reciclaje durante el periodo de retención especificado luego de la eliminación.

Crear una regla de retención

Cuando cree una regla de retención, debe especificar los siguientes parámetros obligatorios:

También puede especificar los siguientes parámetros opcionales:

Si lo desea, también puede bloquear las reglas de retención en el momento de su creación. Si bloquea una regla de retención en la creación, también debe especificar el periodo de retraso en el desbloqueo, que puede ser de 7 a 30 días. Las reglas de retención permanecen desbloqueadas de forma predeterminada a menos que las bloquee explícitamente.

Las reglas de retención solo funcionan en las regiones en las que se han creado. Si tiene la intención de utilizar la papelera de reciclaje en otras regiones, debe crear reglas de retención adicionales en esas regiones.

Puede crear una regla de retención para la papelera de reciclaje mediante uno de los siguientes métodos.

Recycle Bin console

Para crear una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención) y, a continuación, Create retention rule (Crear regla de retención).

3. En la sección Rule details (Detalles de regla) haga lo siguiente:

   1. (Opcional) En Retention rule name (Nombre de la regla de retención), escriba un nombre descriptivo para la regla de retención.

   2. (Opcional) En Retention rule description (Descripción de la regla de retención), ingrese una breve descripción para la regla de retención.

4. En la sección Rule settings (Configuración de reglas), realice lo siguiente:

   1. En Resource type (Tipo de recurso), elija el tipo de recurso que desea que proteja la regla de retención. La regla de retención retendrá solo los recursos de este tipo en la papelera de reciclaje.

   2. Realice una de las siguientes acciones siguientes:

      • Para crear una regla de retención a nivel de región que coincida con todos los recursos del tipo especificado eliminados de la región, seleccione Apply to all resources (Aplicar a todos los recursos). La regla de retención retendrá todos los recursos del tipo especificado eliminados en la papelera de reciclaje al eliminarlos, incluso si los recursos no tienen etiquetas.

      • Para crear una regla de retención a nivel de etiqueta, en Resource tags to match (Etiquetas de recursos para coincidir), ingrese los pares de claves de etiqueta y valores que se utilizarán para identificar los recursos del tipo especificado que se van a retener en la papelera de reciclaje. La regla de retención solo retendrá los recursos del tipo especificado que tengan al menos uno de los pares de claves de etiqueta y valores especificados.

   3. En Retention period (Periodo de retención), ingrese la cantidad de días durante los que la regla de retención va a retener los recursos en la papelera de reciclaje.

5. (Opcional) Para bloquear la regla de retención, en Rule lock settings (Configuración de bloqueo de reglas), seleccione Lock (Bloquear) y, luego, en Unlock delay period (Periodo de retraso del desbloqueo), especifique el periodo de retraso de desbloqueo en días. No se puede modificar ni eliminar ninguna regla de retención bloqueada. Para modificar o eliminar la regla, primero debe desbloquearla y, luego, esperar a que venza el periodo de retraso de desbloqueo. Para obtener más información, consulte Bloquear reglas de retención

   Para dejar la regla de retención desbloqueada, en Rule lock settings (Configuración de bloqueo de reglas), mantenga seleccionada la opción Unlock (Desbloquear). Una regla de retención desbloqueada se puede modificar o eliminar en cualquier momento. Para obtener más información, consulte Desbloquear reglas de retención.

6. (Opcional) En la sección Tags (Etiquetas), haga lo siguiente:

   1. Para etiquetar la regla con etiquetas personalizadas, elija Add tag (Agregar etiqueta) y, a continuación, ingrese el par de clave de etiqueta y valor.

7. Elija Create retention rule (Crear regla de retención).

AWS CLI

Para crear una regla de retención

Utilice el comando create-rule de la AWS CLI. En --retention-period, especifique el número de días que deben retenerse las instantáneas eliminadas en la papelera de reciclaje. En --resource-type, especifique EBS_SNAPSHOT para las instantáneas o EC2_IMAGE para las AMI. Para crear una regla de retención a nivel de etiqueta, en --resource-tags, especifique las etiquetas que se utilizarán con el fin de identificar las instantáneas que se van a retener. Para crear una regla de retención a nivel de región, omita --resource-tags. Para bloquear una regla de retención, incluya --lock-configuration y especifique el periodo de retraso de desbloqueo en días.

aws rbin create-rule \
--retention-period RetentionPeriodValue=number_of_days,RetentionPeriodUnit=DAYS \
--resource-type EBS_SNAPSHOT|EC2_IMAGE \
--description "rule_description" \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=unlock_delay_in_days}' \
--resource-tags ResourceTagKey=tag_key,ResourceTagValue=tag_value

Ejemplo 1

El siguiente comando de ejemplo crea una regla de retención de región desbloqueada que retiene todas las instantáneas eliminadas durante un periodo de 7 días.

aws rbin create-rule \
--retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \
--resource-type EBS_SNAPSHOT \
--description "Match all snapshots"

Ejemplo 2

El siguiente comando de ejemplo crea una regla a nivel de etiqueta que retiene las instantáneas eliminadas que están etiquetadas con purpose=production durante un periodo de 7 días.

aws rbin create-rule \
--retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \
--resource-type EBS_SNAPSHOT \
--description "Match snapshots with a specific tag" \
--resource-tags ResourceTagKey=purpose,ResourceTagValue=production

Ejemplo 3

El siguiente comando de ejemplo crea una regla de retención de región bloqueada que retiene todas las instantáneas eliminadas durante un periodo de 7 días. La regla de retención está bloqueada con un periodo de retraso de desbloqueo de 7 días.

aws rbin create-rule \
--retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \
--resource-type EBS_SNAPSHOT \
--description "Match all snapshots" \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=7}'

Ver las reglas de retención de la papelera de reciclaje

Puede ver las reglas de retención de la papelera de reciclaje mediante uno de los siguientes métodos.

Recycle Bin console

Para ver las reglas de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. La cuadrícula enumera todas las reglas de retención de la región seleccionada. Para obtener más información acerca de una regla de retención específica, selecciónela en la cuadrícula.

AWS CLI

Para ver todas las reglas de retención

Utilice el comando de la AWS CLI list-rules, y en --resource-type, especifique EBS_SNAPSHOT para las instantáneas o EC2_IMAGE para las AMI.

aws rbin list-rules --resource-type EBS_SNAPSHOT|EC2_IMAGE

Ejemplo

El siguiente comando de ejemplo proporciona una lista de todas las reglas de retención que retienen las instantáneas.

aws rbin list-rules --resource-type EBS_SNAPSHOT

Para ver información de una regla de retención específica

Utilice el comando get-rule de la AWS CLI.

aws rbin get-rule --identifier rule_ID

Ejemplo

El siguiente comando de ejemplo proporciona información sobre la regla de retención pwxIkFcvge4.

aws rbin get-rule --identifier pwxIkFcvge4

Actualizar reglas de retención

Puede actualizar la descripción, las etiquetas de recursos y el periodo de retención de una regla de retención desbloqueada en cualquier momento después de su creación. No puede actualizar el tipo de recurso de una regla de retención ni el periodo de retraso de desbloqueo, incluso si la regla de retención está desbloqueada.

No puede actualizar una regla de retención bloqueada de ninguna manera. Si necesita modificar una regla de retención bloqueada, primero debe desbloquearla y esperar a que venza el periodo de retraso de desbloqueo.

Si necesita modificar el periodo de retraso de desbloqueo de una regla de retención bloqueada, debe desbloquear la regla de retención y esperar a que venza el periodo de retraso de desbloqueo actual. Cuando el periodo de retraso de desbloqueo haya vencido, debe volver a bloquear la regla de retención y especificar el nuevo periodo de retraso de desbloqueo.

Después de actualizar una regla de retención, los cambios solo se aplican a los recursos nuevos que retiene. Los cambios no afectan a los recursos enviados anteriormente a la papelera de reciclaje. Por ejemplo, si actualiza el periodo de retención de una regla de retención, durante el nuevo periodo de retención solo se retendrán las instantáneas que se eliminen después de la actualización. Las instantáneas que envió a la papelera de reciclaje antes de la actualización se retienen durante el periodo de retención anterior (antiguo).

Puede actualizar una regla de retención mediante uno de los siguientes métodos.

Recycle Bin console

Para actualizar una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. En la cuadrícula, seleccione la regla de retención que desea actualizar y elija Actions (Acciones), Edit retention rule (Editar regla de retención).

4. En la sección Rule details (Detalles de regla), actualice Retention rule name (Nombre de la regla de retención) y Retention rule description (Descripción de regla de retención) según sea necesario.

5. En la sección Rule settings (Configuración de reglas), actualice Resource type (Tipo de recurso), Resource tags to match (Etiquetas de recursos para coincidir) y Retention period (Periodo de retención) según sea necesario.

6. En la sección Tags (Etiquetas), agregue o elimine etiquetas de reglas de retención según sea necesario.

7. Elija Save retention rule (Guardar regla de retención).

AWS CLI

Para actualizar una regla de retención

Utilice el comando update-rule de la AWS CLI. En --identifier, especifique el ID de la regla de retención que desea actualizar. En --resource-types, especifique EBS_SNAPSHOT para las instantáneas o EC2_IMAGE para las AMI.

aws rbin update-rule \
--identifier rule_ID \
--retention-period RetentionPeriodValue=number_of_days,RetentionPeriodUnit=DAYS \
--resource-type EBS_SNAPSHOT|EC2_IMAGE \
--description "rule_description"

Ejemplo

El siguiente comando de ejemplo actualiza la regla de retención 6lsJ2Fa9nh9para retener todas las instantáneas durante 7 días y actualiza su descripción.

aws rbin update-rule \
--identifier 6lsJ2Fa9nh9 \
--retention-period RetentionPeriodValue=7,RetentionPeriodUnit=DAYS \
--resource-type EBS_SNAPSHOT \
--description "Retain for three weeks"

Bloquear reglas de retención

La papelera de reciclaje permite bloquear las reglas de retención regionales en cualquier momento.

Las reglas de retención bloqueadas no se pueden modificar ni eliminar, ni siquiera pueden hacerlo los usuarios que tengan los permisos de IAM necesarios. Bloquee las reglas de retención para ayudar a protegerlas contra modificaciones y eliminaciones accidentales o malintencionadas.

Cuando se bloquea una regla de retención, debe especificar un periodo de retraso de desbloqueo. Este es el periodo de tiempo que debe esperar después de desbloquear la regla de retención para poder modificarla o eliminarla. No puede modificar ni eliminar la regla de retención durante el periodo de retraso de desbloqueo. Puede modificar o eliminar la regla de retención solo después de que haya vencido el periodo de retraso de desbloqueo.

No puede cambiar el periodo de retraso de desbloqueo después de bloquear la regla de retención. Si los permisos de su cuenta se han visto comprometidos, el periodo de retraso de desbloqueo le da tiempo adicional para detectar a las amenazas de seguridad y responder a ellas. La duración de este periodo debe ser superior al tiempo que tarde en identificar las vulneraciones de seguridad y responder a ellas. Para establecer la duración correcta, puede revisar los incidentes de seguridad anteriores y el tiempo necesario para identificar y solucionar una vulneración de la cuenta.

Le recomendamos que utilice las reglas de Amazon EventBridge para notificarle los cambios en el estado de bloqueo de las reglas de retención. Para obtener más información, consulte Supervisar la papelera de reciclaje con Amazon EventBridge.

Consideraciones

Puede bloquear una regla de retención de región mediante uno de los métodos siguientes.

Recycle Bin console

Para bloquear una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. En la cuadrícula, seleccione la regla de retención desbloqueada que desea bloquear y elija Actions (Acciones), Edit retention rule lock (Editar bloqueo de regla de retención).

4. En la pantalla Edit retention rule lock (Editar bloqueo de regla de retención), seleccione Lock (Bloquear) y, a continuación, en Unlock delay period (Periodo de retraso del desbloqueo), especifique el periodo de retraso de desbloqueo en días.

5. Seleccione la casilla I acknowledge that locking the retention rule will prevent it from being modified or deleted (Reconozco que bloquear la regla de retención impedirá que se modifique o elimine) y, a continuación, elija Save (Guardar).

AWS CLI

Para bloquear una regla de retención desbloqueada

Utilice el comando lock-rule de la AWS CLI. En --identifier, especifique el ID de la regla de retención que desea bloquear. En --lock-configuration, especifique el periodo de retraso de desbloqueo en días.

aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'

Ejemplo

El comando de ejemplo siguiente bloquea la regla de retención 6lsJ2Fa9nh9 y establece el periodo de retraso de desbloqueo en 15 días.

aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'

Desbloquear reglas de retención

No puede modificar ni eliminar una regla de retención bloqueada. Si necesita modificar una regla de retención bloqueada, primero debe desbloquearla. Una vez que haya desbloqueado la regla de retención, debe esperar a que venza el periodo de retraso de desbloqueo antes de modificarla o eliminarla. No puede modificar ni eliminar una regla de retención durante el periodo de retraso de desbloqueo.

Un usuario que tenga los permisos de IAM necesarios puede modificar y eliminar una regla de retención desbloqueada en cualquier momento. Dejar las reglas de retención desbloqueadas podría exponerlas a modificaciones y eliminaciones accidentales o malintencionadas.

Consideraciones

Le recomendamos que utilice las reglas de Amazon EventBridge para notificarle los cambios en el estado de bloqueo de las reglas de retención. Para obtener más información, consulte Supervisar la papelera de reciclaje con Amazon EventBridge.

Puede desbloquear una regla de retención bloqueada por región mediante uno de los métodos siguientes.

Recycle Bin console

Para desbloquear una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. En la cuadrícula, seleccione la regla de retención bloqueada que desea desbloquear y elija Actions (Acciones), Edit retention rule lock (Editar bloqueo de regla de retención).

4. En la pantalla Edit retention rule lock (Editar bloqueo de regla de retención), elija Unlock (Desbloquear) y, a continuación, Save (Guardar).

AWS CLI

Para desbloquear una regla de retención bloqueada

Utilice el comando unlock-rule de la AWS CLI. En --identifier, especifique el ID de la regla de retención que desea desbloquear.

aws rbin unlock-rule \
--identifier rule_ID

Ejemplo

El comando de ejemplo siguiente desbloquea la regla de retención 6lsJ2Fa9nh9

aws rbin unlock-rule \
--identifier 6lsJ2Fa9nh9

Reglas de retención de etiquetas

Puede asignar etiquetas personalizadas a las reglas de retención para clasificarlas de diversas maneras; por ejemplo, por finalidad, propietario o entorno. Esto lo ayuda a encontrar de forma eficaz una regla de retención específica en función de las etiquetas personalizadas que haya asignado.

Puede asignar una etiqueta a una regla de retención mediante uno de los siguientes métodos.

Recycle Bin console

Para etiquetar una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. Seleccione la regla de retención que desea etiquetar, elija la pestaña Tags (Etiquetas) y, a continuación, elija Manage tags (Administrar etiquetas).

4. Seleccione Agregar etiqueta. En Key (Clave), ingrese la clave de etiqueta. En Value (Valor), ingrese el valor de la etiqueta.

5. Elija Save (Guardar).

AWS CLI

Para etiquetar una regla de retención

Utilice el comando tag-resource de la AWS CLI. En --resource-arn, especifique el nombre de recurso de Amazon (ARN) de la regla de retención que se va a etiquetar y, en --tags, especifique el par de clave de etiqueta y valor.

aws rbin tag-resource \
--resource-arn retention_rule_arn \
--tags key=tag_key,value=tag_value

Ejemplo

En el siguiente ejemplo, el comando etiqueta la regla de retención arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 con la etiqueta purpose=production.

aws rbin tag-resource \
--resource-arn arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 \
--tags key=purpose,value=production

Ver las etiquetas de una regla de retención

Puede ver las etiquetas asignadas a una regla de retención mediante uno de los siguientes métodos.

Recycle Bin console

Para ver las etiquetas de una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. Seleccione la regla de retención para la que desea ver las etiquetas y elija la pestaña Tags (Etiquetas).

AWS CLI

Para ver las etiquetas asignadas a una regla de retención

Utilice el comando list-tags-for-resource de la AWS CLI. En --resource-arn, especifique el ARN de la regla de retención.

aws rbin list-tags-for-resource \
--resource-arn retention_rule_arn

Ejemplo

El siguiente comando de ejemplo muestra las etiquetas de la regla de retención arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3.

aws rbin list-tags-for-resource \
--resource-arn arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3

Eliminar las etiquetas de las reglas de retención

Puede quitar las etiquetas de una regla de retención mediante uno de los siguientes métodos.

Recycle Bin console

Para eliminar una etiqueta de una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. Seleccione la regla de retención de la que desea eliminar la etiqueta y elija la pestaña Tags (Etiquetas) y, a continuación, elija Manage tags (Administrar etiquetas).

4. Elija Remove (Eliminar) junto a la etiqueta que desea eliminar.

5. Elija Save (Guardar).

AWS CLI

Para eliminar una etiqueta de una regla de retención

Utilice el comando untag-resource de la AWS CLI. En --resource-arn, especifique el ARN de la regla de retención. En --tagkeys, especifique las claves de etiqueta de las etiquetas que desea quitar.

aws rbin untag-resource \
--resource-arn retention_rule_arn \
--tagkeys tag_key

Ejemplo

El siguiente comando de ejemplo elimina las etiquetas que tienen una clave de etiqueta purpose de la regla de retención arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3.

aws rbin untag-resource \
--resource-arn arn:aws:rbin:us-east-1:123456789012:rule/nOoSBBtItF3 \
--tagkeys purpose

Eliminar reglas de retención de la papelera de reciclaje

Puede eliminar una regla de retención en cualquier momento. Cuando se elimina una regla de retención, ya no retiene recursos nuevos en la papelera de reciclaje después de eliminarlos. Los recursos que se hayan enviado a la papelera de reciclaje antes de que se eliminara la regla de retención seguirán reteniéndose en la papelera de reciclaje según el periodo de retención definido en dicha regla. Cuando se vence el periodo, el recurso se elimina de forma permanente de la papelera de reciclaje.

Puede eliminar una regla de retención mediante uno de los siguientes métodos.

Recycle Bin console

Para eliminar una regla de retención

1. Abra la consola de la papelera de reciclaje en https://console.aws.amazon.com/rbin/home/.

2. En el panel de navegación, elija Retention rules (Reglas de retención).

3. En la cuadrícula, seleccione la regla de retención que desea eliminar y elija Actions (Acciones), Delete retention rule (Eliminar regla de retención).

4. Cuando se le solicite, ingrese el mensaje de confirmación y elija Delete retention rule (Eliminar regla de retención).

AWS CLI

Para eliminar una regla de retención

Utilice el comando delete-rule de la AWS CLI. En --identifier, especifique el ID de la regla de retención que desea eliminar.

aws rbin delete-rule --identifier rule_ID

Ejemplo

El siguiente comando de ejemplo elimina la regla de retención 6lsJ2Fa9nh9.

aws rbin delete-rule --identifier 6lsJ2Fa9nh9