ボールトロックポリシー - Amazon S3 Glacier

このページは、Vaults と 2012 RESTAPI年のオリジナルを使用する S3 Glacier サービスの既存のお客様専用です。

アーカイブストレージソリューションをお探しの場合は、Amazon S3、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive の S3 Glacier ストレージクラスを使用することをお勧めします。これらのストレージオプションの詳細については、Amazon S3 ユーザーガイドの「S3 Glacier ストレージクラス」およびS3 Glacier ストレージクラスを使用した長期データストレージ」を参照してください。 Amazon S3 これらのストレージクラスは Amazon S3 を使用しAPI、すべてのリージョンで利用可能で、Amazon S3 コンソール内で管理できます。Storage Cost Analysis、Storage Lens、高度なオプションの暗号化機能などの機能を提供します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボールトロックポリシー

Amazon S3 Glacier (S3 Glacier) ボールトでは、リソースベースのボールトアクセスポリシーを 1 つ持つことが可能で、それに 1 つのボールトロックポリシーを割り当てることができます。ボールトロックポリシーは、ユーザーがロック可能なボールトアクセスポリシーです。ボールトロックを使用すると、規制要件およびコンプライアンス要件を適用するのに役立てることができます。Amazon S3 Glacier は、ボールトロックポリシーを管理するための一連のAPIオペレーションを提供します。「」を参照してくださいS3 Glacier API を使用したボールトのロック

ボールトロックポリシーの例として、ポリシーを削除する前に 1 年間そのアーカイブを保持するように指定されていると仮定します。この条件を導入するには、アーカイブが 1 年経過するまで、ユーザーにそのアーカイブを削除する権限を拒否するス許可を拒否するボールトロックポリシーを作成します。ポリシーをロックする前に、このポリシーをテストできます。ポリシーをロックすると、ポリシーは変更不可能になります。ボールトロック処理の詳細については、「ボールトロックポリシー」を参照してください。変更可能な他のユーザー権限を管理する場合は、ボールトアクセスポリシーを使用できます (「ボールトアクセスポリシー」を参照)。

S3 Glacier API、Amazon SDKs AWS CLI、または S3 Glacier コンソールを使用して、ボールトロックポリシーを作成および管理できます。ボールトリソースベースのポリシーに対して許可される S3 Glacier アクションのリストについては、「API の権限リファレンス」を参照してください。

例 1: 365 日経過していないアーカイブの削除権限を拒否する

アーカイブが削除可能になる前に 1 年間保持しなければならない規制要件があるとします。次のボールトロックのポリシーを導入すると、その要件を適用できます。削除しようとしているアーカイブが 1 年経過していない場合は、ポリシーによって glacier:DeleteArchive アクションが拒否されます。ポリシーは、S3 Glacier-specific 固有の条件 キー ArchiveAgeInDays を使用して、1年間の保持要件を適用します。

{ "Version":"2012-10-17", "Statement":[ { "Sid": "deny-based-on-archive-age", "Principal": "*", "Effect": "Deny", "Action": "glacier:DeleteArchive", "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan" : { "glacier:ArchiveAgeInDays" : "365" } } } ] }

1 年未満のアーカイブを削除可能にする時間ベースの保持ルールがあるとします。同時に、法的な調査が行われている間は、削除や変更を防ぐため、アーカイブを無期限にリーガルホールドの対象としなければならない場合があるとします。この場合、リーガルホールドはボールトロックポリシーで指定されている時間ベースの保持ルールよりも優先されます。

これら 2 つのルールを配置するために、次のポリシーの例では 2 つのステートメントが含まれています。

  • 最初のステートメントは、全員の削除権限を拒否し、ボールトをロックします。このロックは LegalHold タグを使用して行われます。

  • 2 番目のステートメントは、アーカイブが 365 日経過していない場合に削除の権限を付与します。ただし、アーカイブが 365 日経過していない場合でも、最初のステートメントの条件が満たされていれば、誰もアーカイブを削除することはできません。

{ "Version":"2012-10-17", "Statement":[ { "Sid": "lock-vault", "Principal": "*", "Effect": "Deny", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "StringLike": { "glacier:ResourceTag/LegalHold": [ "true", "" ] } } }, { "Sid": "you-can-delete-archive-less-than-1-year-old", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Effect": "Allow", "Action": [ "glacier:DeleteArchive" ], "Resource": [ "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault" ], "Condition": { "NumericLessThan": { "glacier:ArchiveAgeInDays": "365" } } } ] }