锁定回收站保留规则以防止其被更新或删除
回收站允许您随时锁定区域级别的保留规则。
即使拥有所需 IAM 权限的用户,也无法修改或删除锁定的保留规则。锁定保留规则以保护其免遭意外或恶意修改和删除。
锁定保留规则时,必须指定解锁延迟期。这是解锁保留规则后必须等待的时间,然后才能修改或删除该规则。在解锁延迟期内,您无法修改或删除保留规则。只有在解锁延迟期到期后,您才可修改或删除保留规则。
保留规则锁定后,您无法更改解锁延迟期。如果您的账户权限已外泄,则解锁延迟期会让您有更多时间检测和应对安全威胁。此期限的长度应长于您识别和应对安全漏洞所花费的时间。若要设置正确的持续时间,您可以查看以前的安全事件以及识别和修复账户漏洞所需的时间。
我们建议您使用 Amazon EventBridge 规则来通知您保留规则锁定状态的变化。有关更多信息,请参阅 使用 Amazon EventBridge 监控回收站。
注意事项
您可以使用以下方法之一锁定区域级别的保留规则。
- Recycle Bin console
-
锁定保留规则
-
在以下位置打开回收站控制台 https://console.aws.amazon.com/rbin/home/
-
在导航面板中,选择 Retention rules(保留规则)。
-
在网格中,选择要锁定的已解锁保留规则,然后选择 Actions(操作)、Edit retention rule lock(编辑保留规则锁定)。
-
在编辑保留规则锁定屏幕上,选择 Lock(锁定),然后对于 Unlock delay period(解锁延迟期),指定解锁延迟期(以天为单位)。
-
选择 I acknowledge that locking the retention rule will prevent it from being modified or deleted(我确认锁定保留规则将阻止其被修改或删除)复选框,然后选择 Save(保存)。
- AWS CLI
-
锁定已解锁的保留规则
使用 lock-rule AWS CLI 命令。对于 --identifier,指定要锁定的保留规则 ID。对于 --lock-configuration,以天为单位指定解锁延迟期。
aws rbin lock-rule \
--identifier rule_ID \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=number_of_days}'
示例
以下示例命令锁定保留规则 6lsJ2Fa9nh9 并将解锁延迟期设置为 15 天。
aws rbin lock-rule \
--identifier 6lsJ2Fa9nh9 \
--lock-configuration 'UnlockDelay={UnlockDelayUnit=DAYS,UnlockDelayValue=15}'
