T3-Q52: Glacier Vault Lockは24時間内ならabort-vault-lockでやり直せる
12時間前にinitiate-vault-lockした誤ったポリシーを、データ移行ではなくVault Lock状態遷移で修正する。
AWS SCS-C03 S3 Glacier Vault Lock Compliance
対象誤答: T3 Q52 GLACIER VAULT LOCK
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | Vaultのデータを新しいS3バケットにコピーし、元のVaultを削除して作り直す。 |
| 正答 | abort-vault-lockで現在のVault Lockをキャンセルし、ポリシーを更新してinitiate-vault-lockを再実行する。 |
| 誤答の引力 | ロック済みの不可逆性だけを覚えていて、InProgressの24時間検証期間を落としている。 |
| 判断軸 | Vault Lockはinitiate後すぐ不可逆ではない。complete前、24時間以内のInProgressならabortできる。 |
この問題の芯
T3-Q52 は、S3 Glacier Vault Lock ポリシーを実装し、12時間前に initiate-vault-lock を実行した後、監査チームがポリシー誤りを見つけた問題。あなたは新しいバケットへ10TBをコピーして作り直す方向を選んだ。正答は abort-vault-lock で現在のロック処理をキャンセルし、ポリシー修正後に再実行。
Vault Lockの状態を覚える
重要なのは「Locked」と「InProgress」を分けること。
initiate-vault-lockを実行する- Vault Lock が
InProgressになる - 24時間以内に検証する
- 問題なければ
complete-vault-lock Lockedになると変更不可
この問題は「12時間前」。まだ 24時間の検証期間内。だからデータ移行という高コスト対応ではなく、abortしてやり直すのが最もコスト効率が良い。
次回の秒殺ルール
Vault Lockで時間が出たら、まず24時間ウィンドウを見る。
complete-vault-lock 前の InProgress なら abort 可能。
Locked 後なら原則変更不可なので、設計段階の検証が勝負。
仕上げの一問一答
- この問題の主語は何か: S3 Glacier
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。