Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

Verwalten von Amazon S3-Objektsperren

Mit Amazon S3 object lock können Sie Objekte in Amazon S3 mit dem Modell Write Once Read Many (WORM) speichern. Sie können damit den Objektsperrungsstatus Ihrer Amazon S3-Objekte anzeigen, konfigurieren und verwalten. Weitere Informationen zu Amazon S3 object lock-Funktionen finden Sie unter Amazon S3-Objektsperre - Übersicht.

Anzeigen der Sperrungsinformationen für ein Objekt

Sie können den Objektsperrungsstatus einer Amazon S3-Objektversion mithilfe der Befehle GET Object und HEAD Object anzeigen. Beide Befehle geben den Aufbewahrungsmodus, Retain Until Date, und den Status in Bezug auf eine rechtliche Aufbewahrungsfrist für die angegebene Objektversion an.

Um Aufbewahrungsmodus und Aufbewahrungszeitraum für eine Objektversion anzuzeigen, müssen Sie die Berechtigung s3:GetObjectRetention besitzen. Um den Status eines Objekts in Bezug auf rechtliche Aufbewahrungsfristen anzuzeigen, müssen Sie die Berechtigung s3:GetObjectLegalHold besitzen. Für die Aktionen GET oder HEAD für eine Objektversion ohne die erforderlichen Berechtigungen zum Anzeigen des Sperrungsstatus ist die Anforderung erfolgreich. Es werden jedoch keine Informationen zurückgegeben, für deren Anzeige Sie nicht berechtigt sind.

Sie können die Standardaufbewahrungskonfiguration eines Buckets (wenn vorhanden) anzeigen, indem Sie die Objektsperrenkonfiguration des Buckets anfordern. Dazu müssen Sie über die s3:GetBucketObjectLockConfiguration-Berechtigung verfügen. Wenn Sie eine Objektsperrenkonfiguration für einen Bucket anfordern, für den keine Amazon S3 object lock aktiviert ist, gibt Amazon S3 einen Fehler zurück.

Sie können Amazon S3-Bestandsberichte für Ihre Buckets so konfigurieren, dass sie Retain Until Date, object lock Mode und Legal Hold Status für alle Objekte in einem Bucket enthalten. Weitere Informationen finden Sie unter Amazon S3-Bestand.

Umgehen des Governance-Modus

Sie können für im Governance-Modus gesperrte Objektversionen, Operationen ausführen, als ob sie nicht geschützt wären, wenn Sie die Berechtigung s3:BypassGovernanceRetention besitzen. Zu diesen Operationen gehören das Löschen einer Objektversion, das Verkürzen des Aufbewahrungszeitraums oder das Entfernen der Objektsperre durch die Platzierung einer neuen Sperre mit leeren Parametern. Um den Governance-Modus umgehen zu können, müssen Sie in Ihrer Anforderung ausdrücklich angeben, dass Sie den Governance-Modus umgehen möchten. Sie tun dies, indem Sie den Header x-amz-bypass-governance-retention:true in Ihre Anforderung einfügen oder für Anforderungen, die über die SDKs AWS CLI oder AWS ausgeführt werden, den entsprechenden Parameter verwenden. Die AWS Management Console übernimmt diesen Header automatisch für über die Konsole gestellte Anforderungen, wenn Sie über die erforderliche Berechtigung verfügen, den Governance-Modus zu umgehen.

Anmerkung

Die Umgehung des Governance-Modus hat keine Auswirkungen auf den Status einer Objektversion in Bezug auf rechtliche Aufbewahrungsfristen. Wenn für eine Objektversion eine rechtliche Aufbewahrungsfrist aktiviert ist, bleibt die rechtliche Aufbewahrungsfrist in Kraft und verhindert, dass die Objektversion durch Anforderungen überschrieben oder gelöscht wird.

Konfiguration von Ereignissen und Benachrichtigungen

Amazon S3-Ereignisse können in einem Bucket, für den die Objektsperre aktiviert wurde, für Operationen auf Objektebene konfiguriert werden. Wenn PUT Object-, HEAD Object- und GET Object-Aufrufe Objektsperrenmetadaten enthalten, enthalten Ereignisse für diese Aufrufe diese Metadatenwerte. Wenn Objektsperrenmetadaten einem Objekt hinzugefügt werden oder für ein Objekt aktualisiert werden, lösen diese Aktionen außerdem Ereignisse aus. Diese Ereignisse treten ein, wenn Sie PUT- oder GET-Anforderungen für Informationen zur Objektaufbewahrung oder rechtlichen Aufbewahrungsfristen ausführen.

Weitere Informationen über Amazon S3-Ereignisse finden Sie unter Konfigurieren von Amazon S3-Ereignisbenachrichtigungen.

Sie können mit Amazon S3-Ereignisbenachrichtigungen Zugriffe auf Ihre Objektsperrenkonfigurationen und -daten sowie Änderungen unter Verwendung von AWS CloudTrail nachverfolgen. Weitere Informationen über CloudTrail finden Sie in der AWS CloudTrail-Dokumentation.

Sie können auch Amazon CloudWatch verwenden, um auf der Basis dieser Daten Alarme zu generieren. Weitere Informationen über CloudWatch finden Sie in der Amazon CloudWatch-Dokumentation.

Festlegen von Aufbewahrungslimits

Sie können mittels einer Bucket-Richtlinie mindestens erforderliche und maximal zulässige Aufbewahrungszeiträume für einen Bucket festlegen. Hierzu verwenden Sie den Bedingungsschlüssel s3:object-lock-remaining-retention-days. Das folgende Beispiel zeigt eine Bucket-Richtlinie, die einen Mindestaufbewahrungszeitraum von 10 Tagen festlegt.

{ "Version": "2012-10-17", "Id": "<Policy1436912751980>", "Statement": [ { "Sid": "<Stmt1436912698057>", "Effect": "Deny", "Principal": "*", "Action": [ "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::<example-bucket>/*", "Condition": { "NumericGreaterThan": { "s3:object-lock-remaining-retention-days": "10" } } } ] }

Anmerkung

Wenn es sich bei Ihrem Bucket um den Ziel-Bucket einer Replikationsrichtlinie handelt und Sie minimal und maximal zulässige Aufbewahrungszeiträume für Objektreplikate einrichten möchten, die mittels Replikation erstellt werden, müssen Sie in Ihre Bucket-Richtlinie die Aktion s3:ReplicateObject einschließen.

Weitere Informationen zur Verwendung von Bucket-Richtlinien finden Sie unter Verwendung von Bucket-Richtlinien und Benutzerrichtlinien.

Verwaltung von Löschmarkierungen und Objekt-Lebenszyklen

Sie können eine geschützte Objektversion zwar nicht löschen, aber eine Löschmarkierung für das betreffende Objekt erstellen. Durch das Setzen einer Löschmarkierung auf einem Objekt wird keine Objektversion gelöscht. Amazon S3 verhält sich dadurch aber zumeist so, als ob das Objekt gelöscht worden wäre. Weitere Informationen finden Sie unter Arbeiten mit Löschmarkierungen.

Anmerkung

Löschmarkierungen sind nicht WORM-geschützt, unabhängig vom Aufbewahrungszeitraum oder der rechtlichen Aufbewahrungsfrist für das zugrunde liegende Objekt.

Konfigurationen für die Verwaltung des Objektlebenszyklus funktionieren für geschützte Objekte weiterhin normal. Dies schließt die Platzierung von Löschmarkierungen ein. Geschützte Objektversionen werden jedoch davor geschützt, durch eine Lebenszykluskonfiguration gelöscht oder überschrieben zu werden. Weitere Informationen zur Verwaltung von Objektlebenszyklen finden Sie unter Verwaltung des Objektlebenszyklus.

Verwenden der Objektsperre mit der Replikation

Sie können die Amazon S3-Objektsperre mit der Replikation verwenden, um automatisches, asynchrones Kopieren von gesperrten Objekten und deren Aufbewahrungsmetadaten über S3-Buckets hinweg in derselben oder in verschiedenen AWS-Regionen zu aktivieren. Wenn Sie die Replikation verwenden, werden Objekte aus einem Quell-Bucket in einen Ziel-Bucket repliziert. Weitere Informationen finden Sie unter Replikation.

Zur Einrichtung der Objektsperre mit der Replikation können Sie eine der folgenden Optionen auswählen:

Option 1: Objektsperre zuerst aktivieren.

  1. Aktivieren Sie die Objektsperre für den Ziel-Bucket oder für den Quell- und Ziel-Bucket.

  2. Richten Sie die Replikation zwischen den Quell- und Ziel-Buckets ein.

Option 2: Richten Sie zuerst die Replikation ein.

  1. Richten Sie die Replikation zwischen den Quell- und Ziel-Buckets ein.

  2. Aktivieren Sie die Objektsperre für den Ziel-Bucket oder für den Quell- und Ziel-Bucket.

Zum Abschließen von Schritt 2 in den vorhergehenden Optionen müssen Sie sich an den AWS Support wenden. Dies ist erforderlich, damit die Replikation ordnungsgemäß konfiguriert wird.

Bevor Sie sich an den AWS Support wenden, sehen Sie sich die folgenden Anforderungen zur Einrichtung der Objektsperre mit einer Replikation an:

  • Für den Amazon S3-Ziel-Bucket ist die Objektsperre aktiviert.

  • Sie müssen zwei neue Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM)-Rolle erteilen, mit der Sie die Replikation eingerichtet haben. Die zwei neuen Berechtigungen lauten s3:GetObjectRetention und s3:GetObjectLegalHold. Wenn die Rolle über eine s3:Get*-Berechtigung verfügt, ist die Anforderung erfüllt. Weitere Informationen finden Sie unter Einrichten von Berechtigungen für die Replikation.

Weitere Informationen über die Amazon S3-Objektsperre finden Sie unter Sperren von Objekten mit Amazon S3 Object Lock.