Questa pagina è riservata ai clienti esistenti del servizio S3 Glacier che utilizzano Vaults e l'API REST originale del 2012.
Se stai cercando soluzioni di archiviazione, ti consigliamo di utilizzare le classi di storage S3 Glacier in Amazon S3, S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive. Per ulteriori informazioni su queste opzioni di storage, consulta le classi di storage S3 Glacier e lo storage dei dati a lungo termine con le classi
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy di Vault Lock
A una vault di Amazon S3 Glacier (S3 Glacier) è possibile associare una policy di accesso a vault basata su risorse e una policy di blocco della vault. Una policy di Vault Lock è una policy di accesso a vault che può essere bloccata. L'utilizzo di una policy di blocco della vault può facilitare l'implementazione di requisiti normativi e di conformità. Amazon S3 Glacier fornisce un set di azioni API con cui gestire le policy di blocco della vault. Per informazioni, consulta Blocco di un vault mediante l'API di S3 Glacier.
Per illustrare la funzione delle policy di blocco della vault, supponiamo che gli archivi vengano conservati per un anno prima di poterli eliminare. Per implementare questo requisito, puoi creare una policy di Vault Lock che nega agli utenti l'autorizzazione di eliminare un archivio prima di un anno. Puoi testare questa policy prima di bloccarla, in quanto, una volta bloccata, non può essere modificata. Per ulteriori informazioni sul processo di blocco, consulta Policy di Vault Lock. Se desideri gestire altre autorizzazioni utente che possono essere modificate, puoi utilizzare la policy di accesso a vault (vedi Policy di accesso delle vault).
Puoi utilizzare l'API S3 Glacier SDKs AWS CLI, Amazon o la console S3 Glacier per creare e gestire le policy Vault Lock. Se desideri consultare un elenco delle azioni di S3 Glacier autorizzate per le policy di vault basate su risorse, consulta Riferimento alle autorizzazioni API.
Esempi
Esempio 1: negare autorizzazioni di eliminazione per archivi di meno di 365 giorni
Supponi che un requisito normativo ti obblighi a conservare archivi per un anno prima di poterli eliminare. Puoi soddisfare tale requisito implementando la policy di Vault Lock illustrata di seguito. La policy nega l'operazione glacier:DeleteArchive sul vault examplevault se l'archivio che si tenta di eliminare ha meno di un anno. La policy utilizza la chiave di condizione ArchiveAgeInDays specifica di S3 Glacier per applicare il requisito di conservazione di un anno.
{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }
Esempio 2: negare autorizzazioni di eliminazione in base a un tag
Supponi che sia implementata una regola di conservazione basata sul tempo secondo la quale un archivio può essere eliminato se ha meno di un anno. Allo stesso tempo, supponi di dover applicare un blocco a fini giudiziari agli archivi per evitarne l'eliminazione o la modifica per una durata indeterminata durante un'accertamento legale. In tal caso, il blocco a fini giudiziari prevale sulla regola di conservazione basata sul tempo specificata nella policy di Vault Lock.
Per implementare queste due regole, il seguente esempio di policy comporta due istruzioni:
-
La prima istruzione nega le autorizzazioni di eliminazione a tutti gli utenti, bloccando il vault. Questo blocco viene eseguito utilizzando il tag
LegalHold. -
La seconda istruzione concede le autorizzazioni di eliminazione quando l'archivio ha meno di 365 giorni. Tuttavia, anche quando gli archivi hanno meno di 365 giorni, non possono essere eliminati se la condizione della prima istruzione viene soddisfatta.
{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }
