多くのAWSのお客様は、ミッションクリティカルで長期間保存が必要なデータの保管先としてAmazon Glacierを利用されています。それは、Glacierの堅牢性と低価格、そして既存のバックアップやアーカイブ環境とのインテグレーションの容易性が挙げられます。Glacierを利用するためには、Vaultを作成し、アーカイブを格納するだけです。(直接もしくはS3のライフサイクルルールの利用)
特定のインダストリーでは、長期の記録保持は規制やコンプライアンスルールとして定められており、その中には7年間というものもあります。例えば、金融系サービスのインダストリー(大手銀行、証券会社など)、SEC Rule 17a-4(f)では”電子記録は書換不可かつ削除不可なフォーマットで排他的に保管される必要がある”との定義があります。他のインダストリーでも、ミッションクリティカルな情報を保管するために類似するような要件が定義されている事があります。
Vaultをロックする
本日Glacierの新しい機能として、これら重要な記録保持における様々なコンプライアンスコントロールのユースケースをサポートするため、Vaultをロックする機能を提供します。 これによりVaultに対して、ロックポリシーを定義しロックすることが可能になります。一度ロックされると、ポリシーの上書きや削除は行えなくなります。Glacierはポリシーを強制し、その時点で定義されたコントロール(事前定義された保存期間も含む)に沿って記録を保護します。
ロックした後は、Vaultのロックポリシーを変更することはできません。しかし、コンプライアンスに関連しないアクセスコントロールなどに関しては、別途Vaultアクセスポリシーを利用することで変更は可能です。例えば、ビジネスパートナーや指定サードパーティ(規制により必要とされる場合など)に対して、読み取りのアクセス権を付与することは可能です。
ロッキングプロセス
ロック後は、ロックポリシーの変更もしくは削除ができないことから(コンプライアンスに準拠するため)、ロックする前に動作確認が行えるよう、2ステップのロッキングプロセスを実装しています。下記がそれを行うための手順です。
- InitiateVaultLockをVaultのロック保管ポリシーとともにCallします。Glacierはポリシーをインストールし、Vaultのロックの状態をInProgressにしてユニークなLockIDを返します。(ポリシーがExpireするまでの値として24時間程度を指定します)
- この状態で保持ポリシーを十分にテストします。Vaultはこのテスト期間中、定義したポリシー通りに動作します。この期間を利用してポリシーに定義され、想定された挙動を行うか十分に確認が行えます。例えば、Rootアカウント、全てのIAMユーザ、あらゆるクロスアカウントアクセスユーザを利用して、DeleteArchiveやDeleteVaultを実行します。また、24時間経ったのち、正しい権限を持ったユーザがアーカイブを削除できるかなども確認します。
- もしポリシーが想定通りの挙動を行うことが確認できた場合、LockIDとともに、CompleteVaultLockをCallすることで、Step1で設定した内容を適用させます。Vaultの状態はLockedになり、定義したポリシーは永久に有効となります。
- もしポリシーが想定通りの挙動をしなかった場合、24時間以内(もしくはそれを超えるまで待った後)にAbortVaultLockをCallすることで、適用中のポリシーを除去することができます。ポリシーを修正し、再度Step1からやり直してください。
多くの場合、Vaultの作成、ロッキングポリシーの適用、そしてポリシーにより管理されたVaultに対してアーカイブをアップロードする手順を踏むべきです。なぜならVaultのロックは、既存のアーカイブやVaultのロック前に実行された処理に対して、日をさかのぼって適用されません。よってそれらに対しては、ポリシーによりコンプライアンスに準拠していることを証明することができません。
下記が、365日の保管ルールを定義したサンプルポリシーになります。
このポリシーは全員(AWS:*)がvaults/BusinessCriticalリソースに対して、GlacierのDeleteArchive機能を365日間実行できないことが確認できるかと思います。
その他の制御
最終のロッキングポリシーを適用した後、通常通りVaultのアクセスポリシーに関しては継続的に利用できます。しかし、Vaultのアクセスポリシーはロッキングポリシーの保管制御を短縮するなどを行うことはできません。
特定の状況下において、何らかの調査結果が出るまで不特定期間コンプライアンスアーカイブがリーガルホールドされる場合があります。Vaultに特定のタギングをして、Glacierの削除機能を拒否にするVaultのアクセスポリシーを作成することで、これらに対応することが可能です。例えば下記のポリシーでは、LegalHoldタグがtrueになっているものに対して、削除処理をを拒否します。
調査が完了した後には、LegalHoldタグをfalseにすることで設定を外すことができます。
お客様からの声
金融サービス業における記録保持は厳格な規定により管理されています。本日のリリースに先立ち、いくつかのAWSの金融サービスのお客様にて、この新しいVaultロック機能を事前にレビューいただいています。お客様からの声として、
Matt Claus (Vice President and CTO of eSpeed at Nasdaq):
"金融サービス業界における記録保持は特定の規定に基づき、どのように、そしてどれくらいの期間データを保持すべきかが管理されています。詳細な部分までAWSチームとレビューしたことで、Amazon GlacierのValutロックは直接規制を行っているナスダックグループのeSpeedなどの、データストレージや保持に関するコンプライアンス義務に対してコスト効率よく適用することが可能です。我々はこの新しい機能の利用に前向きです。GlacierのVaultロックのローンチにより、AWSは継続的に金融サービス企業に対して、可用性が高くスケーラブルなインフラストラクチャのソリューションを提供してくれています。"
Rob Krugman (Head of Digital Strategy, Broadridge Financial Solutions):
"アマゾンはAmazon GlacierによりWORMストレージを規制されたアーカイブ領域に進出してきたことは、我々にとって将来の金融サービスにおけるデザインやソリューションの開発における、新たなプロダクト開発の選択肢を提供してくれました。"
Lock up Today
本日よりこの機能は利用いただけます。より詳細を確認する場合は「Getting Started Amazon Glacier Vault Lock」を参照してください。
— Jeff; (翻訳 北迫 翻訳元はこちら)