新增功能 – Amazon EBS Snapshot Lock

现在，您可以锁定单个 Amazon Elastic Block Store（Amazon EBS）快照，以更好地遵守您的数据留存政策。在锁定到期或解除锁定之前，无法删除锁定的快照，这使您能够保护关键备份免遭意外或恶意删除，包括勒索软件的攻击。

对锁定的需求
AWS 客户使用 EBS 快照来实现备份、灾难恢复、数据迁移和合规性。金融服务和医疗保健领域的客户通常需要满足特定的合规性要求（需要遵从规定的留存时限），还需要确保快照真正实现一次写入多次读取（WORM）。为了满足这些要求，客户实施了使用多个 AWS 账户的解决方案，这些账户之间存在单向“间隙”。

EBS Snapshot Lock
新的 EBS Snapshot Lock 功能可帮助您满足留存和合规性要求，而无需采用自定义解决方案。您可以使用锁定期限设置来锁定新的和现有的 EBS 快照，锁定期限从一天到约 100 年不等。快照在指定的期限内处于锁定状态，无法删除。

锁定模式有两种：

治理 – 在此模式下，所有用户均无法删除快照。但获得适当的 IAM 权限后，可以延长或缩短锁定期限，也可以删除锁定，并且可以将治理模式更改为合规模式。

合规 – 在此模式下，根用户和所有 IAM 用户均无法处理快照。在长达 72 小时的冷静期之后，在锁定期限到期之前，无法删除快照和锁定，也无法更改模式。在获得适当的 IAM 权限后，可以延长但不能缩短锁定期限。

无论快照处于哪种模式下，仍可以进行共享或复制。可以将快照归档到低成本的 Amazon EBS 快照归档层级，并且可以锁定已经归档的快照。

使用快照锁定
在 EBS 控制台中，我选择快照（Snap-Monthly-2023-09），然后从操作菜单的快照设置中选择管理快照锁定：

这是月度快照，我想将其锁定一年。我选择治理模式并选择期限，然后单击保存锁定设置：

我尝试将其删除，但删除失败了，理应如此：

现在我想将我的其中一个年度快照锁定 5 年，这次使用合规模式：

我将冷静期设置为 24 小时，以防我改变主意。也许我必须先对快照运行某种审计或最终日期验证，然后才能承诺将其留存五年。

通过编程，我可以使用新的 API 函数来建立和控制对 EBS 快照的锁定：

LockSnapshot – 在治理或合规模式下锁定快照，或修改已锁定的快照的设置。

UnlockSnapshot – 解锁处于治理模式，或处于合规模式但仍在冷静期内的快照。

DescribeLockedSnapshots – 获取有关我的快照锁定状态的信息，并可根据锁定状态进行筛选。

IAM 用户必须具有相应的权限才能使用这些函数（ec2:lockSnapshot、ec2:UnlockSnapshot 和 ec2:DescribeLockedSnapshots）。

注意事项
对于此新功能，需要注意以下几点：

AWS Backup – AWS Backup 用于独立管理其创建的快照的留存。我们不建议锁定这些快照。

定价 – 使用此功能不会产生额外费用。您只需按通常费率为快照存储和已归档的快照付费。

区域 – EBS Snapshot Locking 已在所有商业 AWS 区域开放。

KMS 密钥留存 – 如果您使用的是客户托管的 AWS Key Management Service（AWS KMS）密钥来加密您的 EBS 卷和快照，则需要确保密钥在快照的生命周期内保持有效。

– Jeff；