Bloquear uma regra de retenção da Lixeira para evitar que seja atualizada ou excluída - Amazon EBS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Bloquear uma regra de retenção da Lixeira para evitar que seja atualizada ou excluída

A Lixeira permite que você bloqueie as regras de retenção no nível regional a qualquer momento.

Uma regra de retenção bloqueada não pode ser modificada nem excluída, mesmo por usuários que tenham as IAM permissões necessárias. Bloqueie as regras de retenção para ajudar a protegê-las contra modificações e exclusões acidentais ou maliciosas.

Quando você bloqueia uma regra de retenção, deve especificar um período de espera para o desbloqueio. Esse é o período de tempo que você deve esperar após desbloquear a regra de retenção para poder modificá-la ou excluí-la. Você não pode modificar nem excluir a regra de retenção durante o período de espera para o desbloqueio. Você só pode modificar ou excluir a regra de retenção após o período de espera para o desbloqueio.

Você não pode alterar o período de espera após o bloqueio da regra de retenção. Se as permissões da sua conta tiverem sido comprometidas, o período de espera para o desbloqueio dará a você mais tempo para detectar e responder às ameaças à segurança. A duração desse período deve ser maior do que o tempo necessário para identificar e responder às violações de segurança. Para definir a duração certa, você pode revisar os incidentes de segurança anteriores e o tempo necessário para identificar e solucionar uma violação de conta.

Recomendamos que você use EventBridge as regras da Amazon para notificá-lo sobre mudanças no estado de bloqueio da regra de retenção. Para obter mais informações, consulte Monitore a lixeira usando a Amazon EventBridge.

Considerações

  • Você não pode bloquear regras de retenção em nível de tag ou regras de retenção em nível de região que tenham tags de exclusão.

  • Você pode bloquear uma regra de retenção desbloqueada a qualquer momento.

  • O período de espera para o desbloqueio deve ser de 7 a 30 dias.

  • Você pode bloquear novamente uma regra de retenção durante o período de espera para o desbloqueio. Bloquear a regra de retenção novamente redefine o período de espera para o desbloqueio.

Você pode bloquear uma regra de retenção no nível regional usando um dos métodos a seguir.

Recycle Bin console
Para bloquear uma regra de retenção

  1. Abra o console da Lixeira em casa/ https://console.aws.amazon.com/rbin/

  2. No painel de navegação, selecione Retention rules (Regras de retenção).

  3. Na grade, selecione a regra de retenção desbloqueada a ser bloqueada e escolha Actions (Ações), Edit retention rule (Editar regra de retenção).

  4. Na tela Edit retention rule lock (Editar bloqueio da regra de retenção), escolha Lock (Bloquear) e, em Unlock delay period (Período de espera para o desbloqueio), especifique o período de espera para o desbloqueio em dias.

  5. Marque a caixa de seleção I acknowledge that locking the retention rule will prevent it from being modified or deleted (Eu reconheço que bloquear a regra de retenção impedirá que ela seja modificada ou excluída) e escolha Save (Salvar).

AWS CLI
Para bloquear uma regra de retenção desbloqueada

Use o comando da AWS CLI lock-rule. Em --identifier, especifique o ID da regra de retenção a ser bloqueada. Em --lock-configuration, especifique o período de espera para o desbloqueio em dias.

aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'
Exemplo

O exemplo de comando a seguir bloqueia a regra de retenção 6lsJ2Fa9nh9 e define o período de espera para o desbloqueio como 15 dias.

aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'