As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceitos do Amazon EBS Snapshot Lock
Veja a seguir conceitos importantes que você deve entender ao começar a usar o bloqueio de snapshots.
Modo de bloqueio
Você pode bloquear um snapshot em um dos dois modos:
Modo de governança
Depois que um instantâneo é bloqueado, os usuários com IAM as permissões apropriadas podem desbloquear o instantâneo e modificar o modo de bloqueio e a duração do bloqueio ou a data de expiração a qualquer momento. Quando você bloqueia um snapshot no modo de governança, o snapshot é bloqueado imediatamente; não existe um período de desistência. Para excluir um snapshot após ele ter sido bloqueado no modo de governança, você deve primeiro desbloquear o snapshot ou deve esperar que o bloqueio expire.
Você pode usar o modo de governança para atender aos requisitos de governança de dados da sua organização, garantindo que somente determinados usuários tenham permissão para desbloquear snapshots e modificar as configurações de bloqueio de snapshots. Também é possível usar o modo de governança para testar a configuração do bloqueio antes de bloquear um snapshot no modo de conformidade.
Modo de conformidade
Ao bloquear um snapshot no modo de conformidade, você pode, opcionalmente, especificar um período de desistência que começa imediatamente após o bloqueio do snapshot. Durante o período de desistência, os usuários com as permissões apropriadas podem desbloquear o snapshot, alterar o modo de bloqueio, aumentar ou diminuir o período de desistência e aumentar ou diminuir a duração do bloqueio ou sua data de expiração. Depois que o período de desistência expira, você não pode desbloquear o snapshot, alterar o modo de bloqueio nem diminuir a duração ou a data de expiração do bloqueio; você só pode aumentar a duração ou adiar a data de expiração do bloqueio. Para excluir um snapshot depois que ele bloqueado no modo de conformidade e que período de desistência terminou, você deve esperar que o bloqueio expire.
nota
Você pode bloquear um snapshot no modo de conformidade sem um período de desistência, omitindo o período de desistência na solicitação. Se você fizer isso, o bloqueio passará a vigorar imediatamente e não será mais possível desbloquear o snapshot, alterar o modo de bloqueio nem diminuir a duração ou antecipar a data de expiração do bloqueio; você só pode aumentar a duração ou a adiar a data de expiração do bloqueio.
Você pode usar o modo de conformidade para proteger os snapshots que não devem ser excluídos por um período específico por motivos de conformidade. O modo de conformidade oferece os seguintes benefícios:
-
Ele permite a configuração WORM (gravação uma vez, leitura múltipla) para seus instantâneos.
-
Ele fornece uma camada adicional de defesa que protege os snapshots contra exclusões acidentais ou maliciosas.
-
Ele impõe períodos de retenção, que evitam exclusões antecipadas por usuários privilegiados, para atender às políticas e procedimentos de proteção de dados da sua organização.
nota
A única maneira de excluir um snapshot bloqueado no modo de conformidade antes que o bloqueio expire é fechar a conta associada AWS .
Duração do bloqueio
A duração do bloqueio é o período durante o qual o snapshot deve permanecer bloqueado. É possível especificar a duração do bloqueio como uma das opções a seguir, mas não ambas:
Número de dias
A duração do bloqueio é especificada como o número de dias durante os quais o snapshot permanecerá bloqueado. Depois de decorrido o número especificado de dias, o snapshot é automaticamente desbloqueado. A duração pode variar de 1 dia a 36.500 dias (100 anos).
Data de expiração do bloqueio
A duração do bloqueio é determinada por uma data de expiração no futuro. O snapshot permanece bloqueado até que a data de expiração do bloqueio seja atingida. Quando a data de expiração do bloqueio é atingida, o snapshot é desbloqueado automaticamente.
Período de desistência
O período de desistência é um período opcional que você pode especificar ao bloquear um snapshot no modo de conformidade. Durante o período de desistência, os usuários com as permissões apropriadas podem desbloquear o snapshot, alterar o modo de bloqueio, aumentar ou diminuir o período de desistência, aumentar ou diminuir a duração do bloqueio e antecipar ou adiar a sua data de expiração. Depois que o período de desistência expira, os usuários não podem mais desbloquear o snapshot, alterar o modo de bloqueio, restabelecer o período de desistência ou diminuir a duração do bloqueio, independentemente de suas permissões.
Um snapshot não pode ser excluído durante o período de desistência.
Se especificado, o período de desistência começará imediatamente após você bloquear o snapshot. Se omitido, o snapshot é bloqueado imediatamente no modo de conformidade, sem um período de desistência.
O período de desistência pode variar de 1 a 72 horas. Para bloquear um snapshot no modo de conformidade imediatamente, sem um período de desistência, não especifique um período de desistência na solicitação.
Estado do bloqueio
O bloqueio de um snapshot pode estar em um dos seguintes estados:
-
compliance-cooloff: o snapshot foi bloqueado no modo de conformidade, mas ainda está dentro do período de desistência. O snapshot não pode ser excluído, mas pode ser desbloqueado, e as configurações de bloqueio podem ser modificadas por usuários com as permissões apropriadas. -
governance: o snapshot está bloqueado no modo de governança. O snapshot não pode ser excluído, mas pode ser desbloqueado, e as configurações de bloqueio podem ser modificadas por usuários com as permissões apropriadas. -
compliance: o snapshot está bloqueado no modo de conformidade sem um período de desistência ou o período de desistência expirou. O snapshot não pode ser desbloqueado nem excluído. A duração do bloqueio só pode ser aumentada por usuários com as permissões apropriadas. -
expired: o snapshot foi bloqueado no modo de conformidade ou de governança, mas o bloqueio expirou. O snapshot não está bloqueado e pode ser excluído.
