Stratégies de verrouillage de coffre - Amazon S3 Glacier

Cette page est réservée aux clients existants du service S3 Glacier utilisant Vaults et l'original REST API de 2012.

Si vous recherchez des solutions de stockage d'archives, nous vous conseillons d'utiliser les classes de stockage S3 Glacier dans Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval et S3 Glacier Deep Archive. Pour en savoir plus sur ces options de stockage, consultez les sections Classes de stockage S3 Glacier et Stockage de données à long terme à l'aide des classes de stockage S3 Glacier dans le guide de l'utilisateur Amazon S3. Ces classes de stockage utilisent Amazon S3API, sont disponibles dans toutes les régions et peuvent être gérées au sein de la console Amazon S3. Ils offrent des fonctionnalités telles que l'analyse des coûts de stockage, Storage Lens, des fonctionnalités de chiffrement optionnelles avancées, etc.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Stratégies de verrouillage de coffre

Un coffre Amazon S3 Glacier (S3 Glacier) peut être attaché à une seule stratégie d'accès au coffre basée sur les ressources et à une seule stratégie de verrouillage de coffre. Une stratégie de verrouillage de coffre est une stratégie d'accès au coffre que vous pouvez verrouiller. L'utilisation d'une politique de verrouillage de coffre peut vous aider à faire respecter les exigences réglementaires et de conformité. Amazon S3 Glacier fournit un ensemble d'APIopérations vous permettant de gérer les politiques Vault Lock, voirVerrouillage d'un coffre à l'aide de l'API S3 Glacier.

Pour illustrer le concept de stratégie de verrouillage de coffre, supposons que vous soyez tenu de conserver les archives pendant un an avant de pouvoir les supprimer. Pour mettre en place de cette exigence, vous pouvez créer une stratégie de verrouillage de coffre qui interdit aux utilisateurs de supprimer une archive avant un an. Vous pouvez tester cette stratégie avant de la verrouiller. En effet, une fois la stratégie verrouillée, elle ne peut plus être modifiée. Pour plus d'informations sur le processus de verrouillage, consultez la page Stratégies de verrouillage de coffre. Pour gérer d'autres autorisations utilisateur qui peuvent être modifiées, vous pouvez utiliser la stratégie d'accès au coffre (voir la page Politiques d'accès au coffre-fort).

Vous pouvez utiliser la console S3 Glacier API SDKs AWS CLI, Amazon ou S3 Glacier pour créer et gérer les politiques Vault Lock. Pour voir la liste des actions S3 Glacier autorisées pour les politiques basées sur les ressources de coffre, consultez Référence des autorisations API.

Exemple 1 : Refuser des autorisations de suppression pour les archives datant d'il y a moins de 365 jours

Supposons qu'une exigence réglementaire vous oblige à conserver les archives pendant 1 an avant de pouvoir les supprimer. Vous pouvez appliquer cette exigence en mettant en œuvre la stratégie suivante de verrouillage de coffre. Cette stratégie refuse l'action glacier:DeleteArchive sur le coffre examplevault si l'archive que vous tentez de supprimer a moins d'un an. Cette politique utilise la clé de condition ArchiveAgeInDays propre à S3 Glacier pour faire respecter l'exigence de conservation d'un an.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }

Supposons que vous ayez une règle de conservation basée sur le temps et selon laquelle une archive peut être supprimée si elle a moins d'un an. Parallèlement, supposons que vous ayez besoin d'associer une suspension légale sur vos archives afin d'éviter toute suppression ou modification pendant une durée indéfinie lors d'une enquête juridique. Dans ce cas, la suspension légale est prioritaire pendant la durée de la règle de conservation basée sur le temps spécifiée dans la stratégie de verrouillage de coffre.

Pour mettre ces deux règles en place, l'exemple de stratégie suivant comporte deux instructions :

  • La première instruction refuse les autorisations de suppression pour tout le monde et verrouille le coffre. Ce verrouillage est effectué à l'aide de la balise LegalHold.

  • La deuxième instruction octroie des autorisations de suppression lorsque l'archive a moins de 365 jours. Mais même si les archives ont moins de 365 jours, personne ne peut les supprimer lorsque la condition de la première instruction est remplie.

{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }