Verwalten von Amazon S3-Objektsperren - Amazon Simple Storage Service

Sofern wir eine Übersetzung der englischsprachigen Version des Handbuchs bereitstellen, gilt im Fall von Widersprüchen die englischsprachige Version des Handbuchs. Bei der Übersetzung handelt es sich um eine maschinelle Übersetzung.

Verwalten von Amazon S3-Objektsperren

S3 Objektsperre Sie können Objekte speichern in Amazon S3 verwenden schreiben Sie einmal, lesen Sie viele (WORM) Modell. Sie können damit den Objektsperrungsstatus Ihrer Amazon S3-Objekte anzeigen, konfigurieren und verwalten. Weitere Informationen zu S3 Objektsperre-Funktionen finden Sie unter Übersicht über S3 Objektsperre.

Anzeigen der Sperrinformationen für ein Objekt

Sie können die Objektsperre Status eines Amazon S3 Objektversion unter Verwendung der GET Object oder HEAD Object Befehle. Beide Befehle geben den Aufbewahrungsmodus, Retain Until Date, und den Status in Bezug auf eine rechtliche Aufbewahrungsfrist für die angegebene Objektversion an.

Um Aufbewahrungsmodus und Aufbewahrungszeitraum für eine Objektversion anzuzeigen, müssen Sie die Berechtigung s3:GetObjectRetention besitzen. Um den Status eines Objekts in Bezug auf rechtliche Aufbewahrungsfristen anzuzeigen, müssen Sie die Berechtigung s3:GetObjectLegalHold besitzen. Wenn Sie GET oder HEAD eine Objektversion, haben aber nicht die erforderlichen Berechtigungen, um den Sperrstatus anzuzeigen, die Anforderung ist erfolgreich. Es werden jedoch keine Informationen zurückgegeben, für deren Anzeige Sie nicht berechtigt sind.

Sie können die Standardaufbewahrungskonfiguration eines Buckets (wenn vorhanden) anzeigen, indem Sie die Objektsperre-Konfiguration des Buckets anfordern. Dazu müssen Sie über die s3:GetBucketObjectLockConfiguration-Berechtigung verfügen. Wenn Sie eine Anfrage für eine Objektsperre Konfiguration gegen einen Bucket, der nicht S3 Objektsperre aktiviert, Amazon S3 gibt einen Fehler zurück. Weitere Informationen zu -Berechtigungen finden Sie unter Beispiel — Objektoperationen.

Sie können konfigurieren Amazon S3 Bestandsberichte zu Ihren Buckets, um die Retain Until Date, object lock Mode, und Legal Hold Status für alle Objekte in einem Bucket. Weitere Informationen finden Sie im Amazon S3-Bestand.

Umgehen des Governance-Modus

Sie können für im Governance-Modus gesperrte Objektversionen, Operationen ausführen, als ob sie nicht geschützt wären, wenn Sie die Berechtigung s3:BypassGovernanceRetention besitzen. Zu diesen Operationen gehören das Löschen einer Objektversion, das Verkürzen des Aufbewahrungszeitraums oder das Entfernen von Objektsperre durch die Platzierung einer neuen Sperre mit leeren Parametern. Um den Governance-Modus umgehen zu können, müssen Sie in Ihrer Anforderung ausdrücklich angeben, dass Sie den Governance-Modus umgehen möchten. Dazu fügen Sie das x-amz-bypass-governance-retention:true Header mit Ihrer Anfrage oder verwenden Sie den entsprechenden Parameter mit Anforderungen, die über die AWS CLI, oder AWS Sdks. Die AWS Management Console übernimmt diesen Header automatisch für über die Konsole gestellte Anforderungen, wenn Sie über die erforderliche Berechtigung verfügen, den Governance-Modus zu umgehen.

Anmerkung

Die Umgehung des Governance-Modus hat keine Auswirkungen auf den Status einer Objektversion in Bezug auf rechtliche Aufbewahrungsfristen. Wenn für eine Objektversion eine rechtliche Aufbewahrungsfrist aktiviert ist, bleibt die rechtliche Aufbewahrungsfrist in Kraft und verhindert, dass die Objektversion durch Anforderungen überschrieben oder gelöscht wird.

Konfigurieren von Ereignissen und Benachrichtigungen

Sie können konfigurieren Amazon S3 Ereignisse für Objektebene in einem S3 Objektsperre S3-Bucket. Wann PUT Object, HEAD Object, und GET Object Anrufe beinhalten Objektsperre Metadaten, Ereignisse für diese Anrufe beinhalten die Metadatenwerte. Wenn Objektsperre-Metadaten einem Objekt hinzugefügt werden oder für ein Objekt aktualisiert werden, lösen diese Aktionen außerdem Ereignisse aus. Diese Ereignisse treten auf, wenn Sie PUT oder GET Informationen zur Objektbindung oder zum Legal-Hold.

Weitere Informationen über Amazon S3-Ereignisse finden Sie unter Konfigurieren von Amazon S3-Ereignisbenachrichtigungen.

Sie können verwenden Amazon S3 Ereignisbenachrichtigungen, um den Zugriff auf Ihre Objektsperre Konfigurationen und Daten AWS CloudTrail. Informationen über CloudTrail, siehe AWS CloudTrail Dokumentation.

Sie können auch Amazon CloudWatch verwenden, um auf der Basis dieser Daten Alarme zu generieren. Informationen über CloudWatch, siehe Amazon CloudWatch Dokumentation.

Festlegen von Aufbewahrungslimits

Sie können mittels einer Bucket-Richtlinie mindestens erforderliche und maximal zulässige Aufbewahrungszeiträume für einen Bucket festlegen. Sie tun dies mithilfe der s3:object-lock-remaining-retention-days Bedingungsschlüssel. Das folgende Beispiel zeigt eine Bucket-Richtlinie, die den Bedingungsschlüssel s3:object-lock-remaining-retention-days verwendet, um einen maximalen Aufbewahrungszeitraum von 10 Tagen festzulegen.

{ "Version": "2012-10-17", "Id": "<SetRetentionLimits", "Statement": [ { "Sid": "<SetRetentionPeriod", "Effect": "Deny", "Principal": "*", "Action": [ "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::<awsexamplebucket1>/*", "Condition": { "NumericGreaterThan": { "s3:object-lock-remaining-retention-days": "10" } } } ] }
Anmerkung

Wenn es sich bei Ihrem Bucket um den Ziel-Bucket einer Replikationsrichtlinie handelt und Sie minimal und maximal zulässige Aufbewahrungszeiträume für Objektreplikate einrichten möchten, die mittels Replikation erstellt werden, müssen Sie in Ihre Bucket-Richtlinie die Aktion s3:ReplicateObject einschließen.

Mit AWS können Sie Gesundheitsdaten, darunter geschützte patientenbezogene Daten (protected health information, PHI), im Rahmen eines abgeschlossenen Geschäftspartnervertrags (Business Associate Agreement, BAA) speichern.

Verwalten von Löschmarkierungen und Objektlebenszyklen

Sie können eine geschützte Objektversion zwar nicht löschen, aber eine Löschmarkierung für das betreffende Objekt erstellen. Durch das Setzen einer Löschmarkierung auf einem Objekt wird keine Objektversion gelöscht. Es macht jedoch Amazon S3 verhalten Sie sich auf die meisten Arten, als ob das Objekt gelöscht wurde. Weitere Informationen finden Sie im Arbeiten mit Löschmarkierungen.

Anmerkung

Löschmarkierungen sind nicht WORM-geschützt, unabhängig vom Aufbewahrungszeitraum oder der rechtlichen Aufbewahrungsfrist für das zugrunde liegende Objekt.

Konfigurationen für die Verwaltung des Objektlebenszyklus funktionieren für geschützte Objekte weiterhin normal. Dies schließt die Platzierung von Löschmarkierungen ein. Geschützte Objektversionen werden jedoch davor geschützt, durch eine Lebenszykluskonfiguration gelöscht oder überschrieben zu werden. Weitere Informationen zur Verwaltung von Objektlebenszyklen finden Sie unter Verwaltung des Objektlebenszyklus.

Verwenden von S3 Objektsperre mit Replikation

Sie können S3 Objektsperre mit der Replikation verwenden, um automatisches, asynchrones Kopieren von gesperrten Objekten und deren Aufbewahrungsmetadaten über S3-Buckets hinweg in derselben oder in verschiedenen AWS-Regionen zu aktivieren. Wenn Sie die Replikation verwenden, sollten Sie Quell-Bucket repliziert werden, Zielbucket. Weitere Informationen finden Sie im Replication.

Zur Einrichtung von S3 Objektsperre mit der Replikation können Sie eine der folgenden Optionen auswählen.

Option 1 Aktivieren Objektsperre zuerst.

  1. Aktivieren Sie Objektsperre für den Ziel-Bucket oder für den Quell- und Ziel-Bucket.

  2. Richten Sie die Replikation zwischen den Quell- und Ziel-Buckets ein.

Option 2: Replikation zuerst einrichten.

  1. Richten Sie die Replikation zwischen den Quell- und Ziel-Buckets ein.

  2. Aktivieren Sie Objektsperre für den Ziel-Bucket oder für den Quell- und Ziel-Bucket.

Um Schritt 2 in den vorangegangenen Optionen zu vervollständigen, müssen Sie AWS-Support. Dies ist erforderlich, damit die Replikation ordnungsgemäß konfiguriert wird.

Bevor Sie sich an den AWS Support wenden, sehen Sie sich die folgenden Anforderungen zur Einrichtung von Objektsperre mit einer Replikation an:

  • Die Amazon S3 Zielbucket muss Objektsperre aktiviert.

  • Sie müssen zwei neue Berechtigungen im Quell S3-Bucket im AWS Identity and Access Management ( ( (IAM) Rolle, die Sie zum Einrichten von Replikation verwenden. Die beiden neuen Berechtigungen sind s3:GetObjectRetention und s3:GetObjectLegalHold. Wenn die Rolle über s3:Get* die Anforderung erfüllt die Anforderung. Weitere Informationen finden Sie im Berechtigungen für Replikation einrichten.

Weitere Informationen zu S3 Objektsperre finden Sie unter ()Sperren von Objekten mit S3 Objektsperre.