Ejemplo 1: Denegar permisos de eliminación para archivos con una antigüedad inferior a 365 días Ejemplo 2: Denegar permisos de eliminación en función de una etiqueta

Esta página es solo para los clientes actuales del servicio S3 Glacier que utilizan Vaults y el original de 2012. REST API

Si busca soluciones de almacenamiento de archivos, le sugerimos que utilice las clases de almacenamiento S3 Glacier en Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval y S3 Glacier Deep Archive. Para obtener más información sobre estas opciones de almacenamiento, consulte Clases de almacenamiento de S3 Glacier y Almacenamiento de datos a largo plazo con clases de almacenamiento de S3 Glacier en la Guía del usuario de Amazon S3. Estas clases de almacenamiento utilizan Amazon S3API, están disponibles en todas las regiones y se pueden gestionar en la consola de Amazon S3. Ofrecen funciones como el análisis de costos de almacenamiento, Storage Lens, funciones avanzadas de cifrado opcionales y más.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de bloqueo de almacenes

Un almacén de Amazon S3 Glacier (S3 Glacier) puede tener asociada una política de acceso a almacenes basada en recursos y una política de bloqueo de almacenes. La política de bloqueo de almacenes es una política de acceso a almacenes que se puede bloquear. La política de bloqueo de almacenes puede ayudarle a aplicar requisitos normativos y de conformidad. Amazon S3 Glacier proporciona un conjunto de API operaciones para administrar las políticas de Vault Lock; consulteBloqueo de un almacén con la API de S3 Glacier.

Para ver un ejemplo una política de bloqueo de almacenes, supongamos que le obligan a conservar los archivos durante un año antes de poder eliminarlos. Si desea implementar este requisito, puede crear una política de bloqueo de almacenes que deniegue permisos a los usuarios para eliminar un archivo hasta que tenga un año de antigüedad. Puede probar esta política antes de bloquearla. Una vez bloqueada, la política se vuelve inmutable. Para obtener más información acerca del proceso de bloqueo, consulte Políticas de bloqueo de almacenes. Si desea administrar otros permisos de usuario que puedan modificarse, puede utilizar la política de acceso a almacenes (consulte Políticas de acceso a almacenes).

Puede usar la consola S3 Glacier API SDKs AWS CLI, Amazon o S3 Glacier para crear y administrar políticas de Vault Lock. Para ver una lista de las acciones de S3 Glacier permitidas en las políticas basadas en recursos, consulte Referencia de permisos de API.

Ejemplos

Ejemplo 1: Denegar permisos de eliminación para archivos con una antigüedad inferior a 365 días
Ejemplo 2: Denegar permisos de eliminación en función de una etiqueta

Ejemplo 1: Denegar permisos de eliminación para archivos con una antigüedad inferior a 365 días

Supongamos que una normativa le obliga a conservar los archivos un periodo mínimo de un año antes de poder eliminarlos. Puede aplicar este requisito implementando la siguiente política de bloqueo de almacenes. La política deniega la acción glacier:DeleteArchive en el almacén examplevault si el archivo que se está eliminando tiene una antigüedad inferior a un año. La política utiliza la clave de condición ArchiveAgeInDays específica de S3 Glacier para aplicar el requisito de retención de un año.


{
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "deny-based-on-archive-age",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": "glacier:DeleteArchive",
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan" : {
                              "glacier:ArchiveAgeInDays" : "365"
                              }
                           }
                        }
                     ]
                  }

Ejemplo 2: Denegar permisos de eliminación en función de una etiqueta

Supongamos que tiene una regla de conservación basada en un período de tiempo que establece que los archivos se pueden eliminar si tienen menos de un año de antigüedad. Al mismo tiempo, supongamos que tiene que aplicar una disposición legal para retener los archivos e impedir que se eliminen o modifiquen por tiempo indefinido durante una investigación legal. En este caso, la disposición legal de retención tiene prioridad frente a la regla de conservación basada en un período de tiempo que se especificó en la política de bloqueo de almacenes.

Para poder aplicar estas dos reglas, la siguiente política de ejemplo consta de dos instrucciones:

La primera instrucción deniega los permisos de eliminación a todo el mundo, lo que bloquea el almacén. Este bloqueo se realiza a través de la etiqueta LegalHold.
La segunda instrucción concede permisos de eliminación cuando el archivo tiene menos de 365 días de antigüedad. Sin embargo, aunque los archivos tengan menos de 365 días, nadie podrá eliminarlos cuando se cumpla la condición de la primera instrucción.



               {
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "lock-vault",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "StringLike": {
                           "glacier:ResourceTag/LegalHold": [
                           "true",
                           ""
                           ]
                        }
                     }
                     },
                     {
                     "Sid": "you-can-delete-archive-less-than-1-year-old",
                     "Principal": {
                           "AWS": "arn:aws:iam::123456789012:root"
                        },
                     "Effect": "Allow",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan": {
                           "glacier:ArchiveAgeInDays": "365"
                        }
                     }
                     }
                  ]
               }

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas de acceso a almacenes

Resolución de problemas