S3 Glacier 金库 - Simple Storage Service(Amazon S3)Glacier
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

S3 Glacier 金库

以下主题介绍了如何在 Amazon S3 Glacier 中锁定文件库以及如何使用文件库锁定策略。

文件库锁定概述

S3 Glacier Vault Lock 可帮助您使用文件库锁定策略轻松部署和强制执行单个 S3 Glacier 文件库的合规性控制。您可以在 Vault Lock 策略中指定诸如 “一次写入多次读取” (WORM) 之类的控件,并锁定该策略以防future 编辑。

重要

锁定文件库锁定策略后,将无法再更改或删除该策略。

S3 Glacier 强制执行文件库锁定策略中设定的控制措施,以帮助您实现合规性目标。例如,您可以使用保管库锁定策略来强制保留数据。您可以使用Amazon Identity and Access Management (IAM) 策略语言在 Vault Lock 策略中部署各种合规性控制。有关文件库锁定策略的更多信息,请参阅文件库锁定策略

文件库锁定策略不同于文件库访问策略。但两者都管理对文件库的访问控制权。但是,可以锁定 Vault Lock 策略以防止future 发生更改,这为您的合规性控制提供了强有力的执行力。您可以使用 Vault Lock 策略来部署监管和合规控制,这通常需要严格控制数据访问权限。

重要

我们建议您先创建文件库,完成文件库锁定策略,然后将您的档案上传到文件库,以便将该策略应用于这些文件库。

相反,您可使用文件库访问策略来实施与合规性无关、临时以及需要经常修改的访问控制。您可以同时使用保管库锁定和文件库访问策略。例如,您可以在文件库锁定策略中实施基于时间的数据保留规则(拒绝删除),并在文件库访问策略中向指定的第三方或您的业务合作伙伴授予读取权限(允许读取)。

锁定文件库需要执行两个步骤:

  1. 通过将文件库锁定策略附加到您的文件库来启动锁定,该策略将锁定设置为进行中状态并返回锁定 ID。当策略处于进行中状态时,在锁定 ID 到期之前,您有 24 小时的时间验证您的文件库锁定策略。为防止您的保管库退出正在处理的状态,您必须在这24小时内完成文件库锁定流程。否则,您的保管库锁定策略将被删除。

  2. 使用锁定 ID 完成锁定过程。如果文件库锁定策略无法按预期运行,则可以停止文件库锁定过程并从头重新启动。有关如何使用 S3 Glacier API 锁定文件库的信息,请参阅使用 S3 Glacier API 锁定文件库