이 페이지는 Vaults와 2012RESTAPI년의 원본을 사용하는 S3 Glacier 서비스의 기존 고객만 사용할 수 있습니다.

아카이브 스토리지 솔루션을 찾고 있다면 Amazon S3, S3 Glacier Instant Retrieval , S33 S3 Glacier Flexible Retrieval 및 S3 Glacier Deep Archive 의 S3 Glacier 스토리지 클래스를 사용하는 것이 좋습니다. Amazon S3 이러한 스토리지 옵션에 대한 자세한 내용은 Amazon S3 사용 설명서의 S3 Glacier 스토리지 클래스 및 S3 Glacier 스토리지 클래스를 사용하는 장기 데이터 스토리지를 참조하세요. Amazon S3 이러한 스토리지 클래스는 Amazon S3 를 사용하며API, 모든 리전에서 사용할 수 있고, Amazon S3 콘솔 내에서 관리할 수 있습니다. 스토리지 비용 분석, 스토리지 렌즈, 고급 선택적 암호화 기능 등과 같은 기능을 제공합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

볼트 잠금 정책

Amazon S3 Glacier(S3 Glacier) 볼트는 각각 리소스 기반 볼트 액세스 정책 한 개와 볼트 잠금 정책 한 개를 연결할 수 있습니다. 볼트 잠금 정책은 잠글 수 있는 볼트 액세스 정책입니다. 볼트 잠금 정책을 사용하면 규제 및 규정 준수 요구 사항을 적용할 수 있습니다. Amazon S3 Glacier는 Vault Lock 정책을 관리할 수 있는 일련의 API 작업을 제공합니다. 섹션을 참조하세요S3 Glacier API를 사용하여 볼트 잠금.

볼트 잠금 정책의 예를 들자면, 아카이브를 삭제하기 전에 1년간 저장해야 한다고 가정하겠습니다. 이러한 요건을 만족하려면 먼저 아카이브를 1년간 저장할 때까지 사용자가 아카이브를 삭제하지 못하도록 볼트 잠금 정책을 생성해야 합니다. 생성된 정책은 고정하기 전에 테스트할 수 있습니다. 일단 고정된 정책은 변경할 수 없습니다. 잠금 프로세스에 대한 자세한 내용은 볼트 잠금 정책 단원을 참조하십시오. 그 밖에 변경 가능한 사용자 권한을 관리하려면 볼트 액세스 정책을 사용할 수 있습니다(볼트 액세스 정책 참조).

S3 Glacier API, Amazon SDKs AWS CLI또는 S3 Glacier 콘솔을 사용하여 Vault Lock 정책을 생성하고 관리할 수 있습니다. 볼트 리소스 기반 정책에서 허용되는 S3 Glacier 작업 목록은 API 권한 참조 문서 섹션을 참조하세요.

예제 1: 365일이 지나지 않은 아카이브에 대한 삭제 권한 거부

예를 들어 규제 요건에 따라 아카이브를 삭제하기 전에 최대 1년까지 저장해야 한다고 가정하겠습니다. 이러한 요건은 다음 볼트 잠금 정책을 구현하여 만족할 수 있습니다. 이 정책에 따라 삭제하려는 아카이브의 저장 기간이 1년 미만인 경우에는 examplevault 볼트에 대한 glacier:DeleteArchive 작업이 거부됩니다. 이 정책은 S3 Glacier별 조건 키인 ArchiveAgeInDays를 사용하여 1년 보존 요건을 적용합니다.

{
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "deny-based-on-archive-age",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": "glacier:DeleteArchive",
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan" : {
                              "glacier:ArchiveAgeInDays" : "365"
                              }
                           }
                        }
                     ]
                  }
            

예제 2: 태그를 기반으로 한 삭제 권한 거부

저장 기간이 1년 미만인 아카이브는 삭제할 수 있다는 시간 기반 저장 규칙이 있다고 가정하겠습니다. 또한 법적 조사 기간에는 아카이브를 삭제 또는 변경할 수 없도록 법적 보존을 무기한 설정해야 한다고 가정하겠습니다. 이 경우 법적 보존이 볼트 잠금 정책에서 지정한 시간 기반 저장 규칙보다 우선합니다.

다음 정책 예제에는 이러한 두 가지 정책을 적용할 수 있도록 2개의 문이 있습니다.

               {
               "Version":"2012-10-17",
               "Statement":[
                  {
                     "Sid": "lock-vault",
                     "Principal": "*",
                     "Effect": "Deny",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "StringLike": {
                           "glacier:ResourceTag/LegalHold": [
                           "true",
                           ""
                           ]
                        }
                     }
                     },
                     {
                     "Sid": "you-can-delete-archive-less-than-1-year-old",
                     "Principal": {
                           "AWS": "arn:aws:iam::123456789012:root"
                        },
                     "Effect": "Allow",
                     "Action": [
                        "glacier:DeleteArchive"
                     ],
                     "Resource": [
                        "arn:aws:glacier:us-west-2:123456789012:vaults/examplevault"
                     ],
                     "Condition": {
                        "NumericLessThan": {
                           "glacier:ArchiveAgeInDays": "365"
                        }
                     }
                     }
                  ]
               }