本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon EBS 快照锁 快照锁定 您可以锁定 Amazon EBS 快照以防止意外或恶意删除,或者以 WORM (write-once-read-many) 格式将其存储在特定时间内。当一个快照处于锁定状态时,任何用户都无法将其删除,无论他们的 IAM 权限如何。您可以像使用任何其他快照一样继续使用锁定的快照。 **注意** 快照锁定已由 Cohasset Associates 评估,可在受 SEC 17a-4、CFTC 和 FINRA 法规约束的环境中使用。有关快照锁定如何与这些法规相关的更多信息,请参阅 [Cohasset Associates Compliance Assessment](https://d1.awsstatic.com/Amazon-EBS-Cohasset-Assessment-2023-11-14-final.pdf)。 可以使用以下两种模式之一锁定快照:*合规模式*或*监管模式*,而且可以将快照锁定特定的一段时间或者锁定到某个特定日期。有关更多信息,请参阅[锁定模式](snapshot-lock-concepts.md#lock-mode)和[锁定持续时间](snapshot-lock-concepts.md#lock-duration)。 **定价** 您可以锁定和解锁快照,无需支付额外的费用。您需要为锁定的快照支付标准 Amazon EBS 快照存储费用。 **Topics** + [概念](snapshot-lock-concepts.md) + [注意事项](snapshot-lock-considerations.md) + [控制 访问](snapshot-lock-iam.md) + [锁定快照](lock-snapshot.md) + [解锁快照](unlock-snapshot.md) + [更新快照锁定设置](update-snapshot-lock.md) + [监控快照锁定](monitor-snapshot-lock.md) # Amazon EBS 快照锁定的概念 概念 以下是开始使用快照锁定时需要理解的重要概念。 **Contents** + [ ## 锁定模式 ](#lock-mode) + [ ## 锁定持续时间 ](#lock-duration) + [ ## 冷静期 ](#cool-off) + [ ## 锁定状态 ](#lock-state) ## 锁定模式 可以在以下两种模式之一中锁定快照: **监管模式** 锁定快照之后,拥有适当 IAM 权限的用户可以随时解锁快照,还可以修改锁定模式以及锁定持续时间或到期日期。当在监管模式下锁定快照时,快照会立即被锁定;没有冷静期。要在监管模式下锁定快照之后将其删除,必须首先解锁快照,或者必须等待锁定过期。 通过确保只有某些用户有权解锁快照和修改快照锁定配置,您可以使用监管模式满足组织的数据监管要求。在合规模式下锁定快照之前,还可以利用监管模式测试锁定配置。 **合规性模式** 在合规模式下锁定快照时,可以选择指定在锁定快照之后立即开始的冷静期。在冷静期内,拥有适当权限的用户可以解锁快照、更改锁定模式、延长或缩短冷静期以及延长或缩短锁定持续时间或到期日期。在冷静期过期之后,您将无法解锁快照、更改锁定模式或者缩短锁定持续时间或过期日期;您只能延长锁定持续时间或过期日期。要在合规模式下锁定快照且冷静期过期之后将其删除,必须等待锁定过期。 **注意** 通过在请求中省略冷静期,可以在合规模式下锁定快照而不设冷静期。如果这样做,锁定将立即生效,而且无法解锁快照、更改锁定模式或者缩短锁定持续时间或过期日期;您只能延长锁定持续时间或过期日期。 可以利用合规模式保护出于合规性原因不应在特定的时期内删除的快照。合规模式具有以下优点: + 它支持对快照使用 WORM(一次写入多次读取)配置。 + 它提供了一层额外的防御,可保护快照免遭意外删除或恶意删除。 + 它实施了保留期,可防止特权用户提前删除,以满足贵组织的数据保护策略和程序。 **注意** 要删除在锁定到期前锁定在合规模式下的快照,唯一的方法是关闭关联的 Amazon 账户。 ## 锁定持续时间 锁定持续时间是指快照要保持锁定状态的时期。可以将锁定持续时间指定为以下选项之一,但不能同时指定这两者: **天数** 将锁定持续时间指定为快照要保持锁定状态的天数。当指定的天数过后,会自动解锁快照。持续时间介于 1 天到 36500 天(100 年)不等。 **锁定到期日期** 锁定持续时间由未来的过期日期决定。快照将保持锁定状态,直到达到锁定过期日期为止。当达到锁定过期日期时,会自动解锁快照。 ## 冷静期 冷静期是一个可选的时期,可以在合规模式下锁定快照时指定此时期。在冷静期内,拥有适当权限的用户可以解锁快照、更改锁定模式、延长或缩短冷静期以及延长或缩短锁定持续时间。当冷静期过期之后,无论用户拥有何种权限,都无法解锁快照、更改锁定模式、恢复冷静期或缩短锁定持续时间。 在冷静期内,无法删除快照。 如果指定了冷静期,则冷静期将在您锁定快照之后立即开始。如果省略了冷静期,则会立即在合规模式下锁定快照而不设冷静期。 冷静期介于 1 到 72 小时不等。要在合规模式下立即锁定快照而不设冷静期,请勿在请求中指定冷静期。 ## 锁定状态 快照锁定可处于以下几种状态之一: + `compliance-cooloff` – 已在合规模式下锁定快照,但它仍处于冷静期内。无法删除快照,但可以将它解锁,而且拥有适当权限的用户可以修改锁定设置。 + `governance` – 已在监管模式下锁定快照。无法删除快照,但可以将它解锁,而且拥有适当权限的用户可以修改锁定设置。 + `compliance` – 已在合规模式下锁定快照,且未设冷静期或者冷静期已过期。无法解锁或删除快照。只有拥有适当权限的用户才能延长锁定时间。 + `expired` – 已在合规或监管模式下锁定快照,但锁定已过期。未锁定快照,可以将其删除。 # Amazon EBS 快照锁定的注意事项 注意事项 锁定 Amazon EBS 快照时请记住以下事项。 + 只有当快照处于 `pending` 或 `completed` 状态时,才能将其锁定。 + 如果在快照处于 `pending` 状态时将其锁定,并且将其锁定特定的持续时间,将只在快照达到 `completed` 状态时开始计算锁定持续时间。当快照处于 `pending` 状态时无法将其删除。 + 如果在快照处于 `pending` 状态时将其锁定,但由于任何原因导致创建快照失败,锁定将被取消。 + 如果在冷静期过期之后延长了在合规模式下锁定的快照的锁定持续时间,将无法指定另一个冷静期。如果指定了冷静期,请求将失败。 + 您可以锁定已归档的快照。您可以存档已锁定的快照。 + 您可以锁定与 AMI 相关联的快照。 + 您可以取消注册具有已锁定的关联快照的 AMI。 + 您可以删除用来加密已锁定的快照的 KMS 密钥。 + 我们建议您不要锁定由创建的快照 Amazon Backup。 Amazon Backup 已经确保其快照在保留期到期之前不会被删除。要为由管理的快照添加额外的安全层 Amazon Backup,我们建议您使用 Amazon Backup 文件库锁定。有关更多信息,请参阅 [Amazon Backup Vault Lock](https://docs.amazonaws.cn/aws-backup/latest/devguide/vault-lock.html)。 + 在创建快照期间或 AMI 注册期间,无法锁定快照。 + 您无法在 Amazon Outposts上锁定本地 Amazon EBS 快照。 + 要删除在锁定到期前锁定在合规模式下的快照,唯一的方法是关闭关联的 Amazon 账户。 如果您在锁定快照时关闭 Amazon 帐户,则会在快照完好无损的情况下 Amazon 暂停您的帐户 90 天。如果您未在 90 天内重新打开账户,即使快照已被锁定,也会 Amazon 将其删除。 # 控制对 Amazon EBS 快照锁定的访问 控制 访问 默认情况下,用户无权使用快照锁定。要允许用户使用快照锁定,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。有关更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。 **Topics** + [ ## 所需的权限 ](#snapshot-lock-req-perms) + [ ## 使用条件键限制访问 ](#snapshot-lock-condition-keys) ## 所需的权限 要使用快照锁定,用户需要以下权限。 + `ec2:LockSnapshot` – 锁定快照。 + `ec2:UnlockSnapshot` – 解锁快照。 + `ec2:DescribeLockedSnapshots` – 查看快照锁定设置。 以下是一个示例 IAM policy,它授权用户锁定和解锁快照以及查看快照锁定设置。其包括控制台用户的 `ec2:DescribeSnapshots` 权限。如果不需要某些上述权限,您可以从策略中将其删除。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSnapshotLockOperations", "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:111122223333:volume/*" ] } ] } ``` ------ 要提供访问权限,请为您的用户、组或角色添加权限: + 通过身份提供者在 IAM 中托管的用户: 创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。 + IAM 用户: + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。 + (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。 ## 使用条件键限制访问 可以使用条件键限制如何允许用户锁定快照。 **Topics** + [ ### ec2: SnapshotLockDuration ](#snapshotlockduration) + [ ### ec2: CoolOffPeriod ](#cooloffperiod) ### ec2: SnapshotLockDuration 当锁定快照时,可以使用 `ec2:SnapshotLockDuration` 条件键将用户限制在特定的锁定持续时间内。 如下示例策略将禁止用户指定一个介于 `10` 到 `50` 天之间的锁定持续时间。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSnapshotLockWithDurationCondition", "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "NumericGreaterThan": { "ec2:SnapshotLockDuration": 10 }, "NumericLessThan": { "ec2:SnapshotLockDuration": 50 } } } ] } ``` ------ ### ec2: CoolOffPeriod 可以使用 `ec2:CoolOffPeriod` 条件键防止用户在未设冷静期的情况下在合规模式下锁定快照。 如下示例策略将禁止用户在合规模式下锁定快照时指定超过 `48` 小时的冷静期。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSnapshotLockWithCondition", "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "NumericGreaterThan": { "ec2:SnapshotTime": 48 } } } ] } ``` ------ # 锁定 Amazon EBS 快照 锁定快照 您可以锁定处于 `pending` 或 `completed` 状态的快照。有关更多信息,请参阅 [Amazon EBS 快照锁定的注意事项](snapshot-lock-considerations.md)。 ------ #### [ Console ] **要锁定一个快照** 1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/) 的 Amazon EC2 控制台。 1. 在导航窗格中,选择**快照**。 1. 选择要锁定的快照,然后选择**操作**、**快照设置**、**管理快照锁定**。 1. 选择**锁定快照**。 1. 对于**锁定模式**,选择**监管模式**或**合规模式**。有关更多信息,请参阅 [锁定模式](snapshot-lock-concepts.md#lock-mode)。 1. 对于**锁定持续时间**,执行以下操作之一: + 要将快照锁定一个特定的时期,请选择**锁定快照**,然后以天或年为单位输入此时期。 + 要将快照锁定到特定的日期和时间,请选择**锁定快照直到**,然后选择过期日期和时间。 有关更多信息,请参阅 [锁定持续时间](snapshot-lock-concepts.md#lock-duration)。 1. (*仅限合规模式*)对于**冷静期**,请指定一个冷静期,在此期间内可以解锁快照和修改锁定配置。有关更多信息,请参阅 [冷静期](snapshot-lock-concepts.md#cool-off)。 1. (*仅限合规模式*)要确认您希望在合规模式下锁定快照,而且在冷静期过期后将无法解锁快照,请选择**确认**。 1. 选择**保存锁定设置**。 ------ #### [ Amazon CLI ] **要在监管模式下锁定快照** 使用 [lock-snapshot](https://docs.amazonaws.cn/cli/latest/reference/ec2/lock-snapshot.html) 命令。对于 `--lock-mode`,请指定 `governance`。要将快照锁定特定时间段,对于 `--lock-duration`,请指定时间段(以天为单位)。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode governance \ --lock-duration 30 ``` 要将快照锁定到特定日期,对于 `--expiration-date`,请指定锁定必须到期的日期和时间(UTC 时区)。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode governance \ --expiration-date YYYY-MM-DDThh:mm:ss.sssZ ``` **要在合规模式下锁定快照** 使用 [lock-snapshot](https://docs.amazonaws.cn/cli/latest/reference/ec2/lock-snapshot.html) 命令。对于 `--lock-mode`,请指定 `compliance`。对于 `--cool-off-period`,可以选择以小时为单位指定一个冷静期。要将快照锁定特定时间段,对于 `--lock-duration`,请指定要锁定快照的天数。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode compliance \ --cool-off-period 24 \ --lock-duration 30 ``` 要将快照锁定到特定日期,对于 `--expiration-date`,请指定锁定必须到期的日期和时间(UTC 时区)。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode compliance \ --expiration-date YYYY-MM-DDThh:mm:ss.sssZ ``` ------ #### [ PowerShell ] **要在监管模式下锁定快照** 使用 [Lock-EC2Snapshot](https://docs.amazonaws.cn/powershell/latest/reference/items/Lock-EC2Snapshot.html) cmdlet。您可以选择指定快照锁定的持续时间(以天为单位)。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "governance" ` -LockDuration 30 ``` 或者,您可以将快照锁定到特定日期(UTC 时区)。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "governance" ` -ExpirationDate YYYY-MM-DDThh:mm:ss.sssZ ``` **要在合规模式下锁定快照** 使用 [Lock-EC2Snapshot](https://docs.amazonaws.cn/powershell/latest/reference/items/Lock-EC2Snapshot.html) cmdlet。您可以选择以小时为单位指定一个冷静期。您还可以选择指定快照锁定的持续时间(以天为单位)。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "compliance" ` -CoolOffPeriod 24 ` -LockDuration 30 ``` 或者,您可以将快照锁定到特定日期(UTC 时区)。 ``` Lock-EC2Snapshot ` -SnapshotId snap-0abcdef1234567890 ` -LockMode "compliance" ` -ExpirationDate YYYY-MM-DDThh:mm:ss.sssZ ``` ------ # 解锁 Amazon EBS 快照 解锁快照 只有当在监管模式下锁定了快照,或者在合规模式下锁定了快照且快照仍处于冷静期内时,才能解锁快照。 ------ #### [ Console ] **解锁快照** 1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/) 的 Amazon EC2 控制台。 1. 在导航窗格中,选择**快照**。 1. 选择要解锁的快照,然后选择**操作**、**快照设置**、**管理快照锁定**。 1. 选择**解锁快照**,然后再次选择**解锁快照**进行确认。 ------ #### [ Amazon CLI ] **要解锁快照** 使用 [unlock-snapshot](https://docs.amazonaws.cn/cli/latest/reference/ec2/unlock-snapshot.html) 命令。 ``` aws ec2 unlock-snapshot --snapshot-id snap-0abcdef1234567890 ``` ------ #### [ PowerShell ] **解锁快照** 使用 [Unlock-EC2Snapshot](https://docs.amazonaws.cn/powershell/latest/reference/items/Unlock-EC2Snapshot.html) cmdlet。 ``` Unlock-EC2Snapshot -SnapshotId snap-0abcdef1234567890 ``` ------ # 更新 Amazon EBS 快照锁定设置 更新快照锁定设置 允许的更新取决于锁定状态: + `governance` – 您可以更改锁定模式以及延长或缩短锁定持续时间或过期日期。 + `compliance-cooloff` – 您可以更改锁定模式、延长或缩短冷静期以及延长或缩短锁定持续时间或过期日期。 + `compliance` – 您只能延长锁定持续时间或过期日期。 ------ #### [ Console ] **要更新快照锁定设置** 1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/) 的 Amazon EC2 控制台。 1. 在导航窗格中,选择**快照**。 1. 选择要为其修改锁定设置的快照,然后选择**操作**、**快照设置**、**管理快照锁定**。 1. 根据需要更新设置,然后选择**保存锁定设置**。 ------ #### [ Amazon CLI ] **要更新快照锁定设置** 使用 [lock-snapshot](https://docs.amazonaws.cn/cli/latest/reference/ec2/lock-snapshot.html) 命令。指定快照 ID 和要修改的选项。以下示例更改了到期日期。 ``` aws ec2 lock-snapshot \ --snapshot-id snap-0abcdef1234567890 \ --lock-mode governance \ --expiration-date YYYY-MM-DDThh:mm:ss.sssZ ``` ------ #### [ PowerShell ] **要更新快照锁定设置** 使用 [Lock-EC2Snapshot](https://docs.amazonaws.cn/powershell/latest/reference/items/Lock-EC2Snapshot.html) cmdlet。指定快照 ID 和要修改的选项。以下示例更改了到期日期。 ``` Lock-EC2Snapshot ` -SnapshoId snap-0abcdef1234567890 ` -LockMode "governance" ` -ExpirationDate YYYY-MM-DDThh:mm:ss.sssZ ``` ------ # 监控 Amazon EBS 快照锁定 监控快照锁定 您可以使用以下工具监控与 Amazon EBS 快照锁定相关的操作: **Topics** + [监视器使用 CloudTrail](#snapshot-lock-ct) + [监视器使用 EventBridge](#snapshot-lock-ev) ## 使用监控亚马逊 EBS 快照锁定 Amazon CloudTrail 监视器使用 CloudTrail 您可以将快照锁定的 API 调用作为事件进行监控,包括来自控制台的调用和对的代码调用 APIs。使用收集到的信息 CloudTrail,您可以确定发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。 有关更多信息,请参阅[使用 Amazon CloudTrail记录 API 调用](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html)。 ## 使用亚马逊监控亚马逊 EBS 快照锁定 EventBridge 监视器使用 EventBridge Amazon EBS 发出与快照锁定操作相关的事件。您可以使用 Amazon Lambda 和 Amazon EventBridge 以编程方式处理事件通知。尽最大努力发出事件。有关更多信息,请参阅 [Amazon EventBridge 用户指南](https://docs.amazonaws.cn/eventbridge/latest/userguide/eb-what-is.html)。 系统将发出以下事件: + 成功在监管或合规模式下锁定快照。 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "lockSnapshot", "result": "succeeded", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "source": 012345678901, "lockState": "compliance-cooloff", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockExpiresOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123, "lockStartDurationTime": "yyyy-mm-ddThh:mm:ssZ", "cooOffPeriod": 24, "coolOffPeriodExpiresOn": "yyyy-mm-ddThh:mm:ssZ" } } ``` + 当快照处于 `pending` 状态且被锁定时,锁定事件失败,而且快照无法达到 `completed` 状态。 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "lockSnapshot", "result": "failed", "cause": "snapshot failed", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "lockState": "pending-compliance", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123, "lockStartDurationTime": "yyyy-mm-ddThh:mm:ssZ", "cooOffPeriod": 24, "coolOffPeriodExpiresOn": "yyyy-mm-ddThh:mm:ssZ" } } ``` + 锁定已过期 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "lockDurationExpiry", "result": "succeeded", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "lockState": "expired", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockExpiresOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123 } } ``` + 在合规模式下锁定之后,冷静期已过期。 ``` { "version": "0", "id": "01234567-01234-0123-0123-012345678901", "detail-type": "EBS Snapshot Notification", "source": "aws.ec2", "account": "012345678901", "time": "yyyy-mm-ddThh:mm:ssZ", "region": "us-east-1", "resources": [ "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef" ], "detail": { "event": "cooloffperiodExpiry", "result": "succeeded", "snapshot_id": "arn:aws:ec2::us-west-2:snapshot/snap-01234567890abcdef", "lockState": "compliance", "lockCreatedOn": "yyyy-mm-ddThh:mm:ssZ", "lockExpiresOn": "yyyy-mm-ddThh:mm:ssZ", "lockDuration": 123, "lockStartDurationTime": "yyyy-mm-ddThh:mm:ssZ", "cooOffPeriod": 24, "coolOffPeriodExpiresOn": "yyyy-mm-ddThh:mm:ssZ" } } ```