Bei der Konsole anmelden
Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

AWS-Dokumentation » Amazon Simple Storage Service (S3) » Entwicklerhandbuch » Amazon S3-Sicherheit » Ausfallsicherheit in Amazon S3 » Sperren von Objekten mit Amazon S3 Object Lock » Amazon S3-Objektsperre - Übersicht

Amazon S3-Objektsperre - Übersicht

Mit Amazon S3 object lock können Sie Objekte anhand des Modells Write Once Read Many (WORM) speichern. Dadurch können Sie für einen festen Zeitraum oder unbegrenzt verhindern, dass Objekte gelöscht oder überschrieben werden. Sie können Amazon S3 object lock verwenden, um regulatorische Anforderungen einzuhalten, die die WORM-Speicherung verlangen, oder um eine zusätzliche Schutzebene gegen Objektänderungen und -löschungen einzurichten.

Informationen zur Verwaltung des Sperrungsstatus Ihrer Amazon S3-Objekte finden Sie unter Verwalten von Amazon S3-Objektsperren.

Die folgenden Abschnitte beschreiben die Hauptfunktionen von Amazon S3 object lock.

Aufbewahrungsmodi

Amazon S3 object lock bietet zwei Aufbewahrungsmodi:

  • Governance-Modus

  • Compliance-Modus

Diese Aufbewahrungsmodi wenden unterschiedliche Schutzgrade auf Ihre Objekte an. Sie können auf jede von Amazon S3 object lock geschützte Objektversion einen der beiden Aufbewahrungsmodi anwenden.

Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder ihre Sperreinstellungen ändern, wenn sie keine speziellen Berechtigungen besitzen. Mit dem Governance-Modus schützen Sie Objekte dagegen, von den meisten Benutzern gelöscht zu werden, Sie können jedoch weiterhin einigen Benutzern die Berechtigung geben, die Aufbewahrungseinstellungen zu ändern oder das Objekt bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für Aufbewahrungszeiträume zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen. Um Aufbewahrungseinstellungen im Governance-Modus zu überschreiben oder zu entfernen, muss ein Benutzer die Berechtigung s3:BypassGovernanceRetention besitzen und in jede Anfrage, die ein Überschreiben des Governance-Modus erfordert, ausdrücklich x-amz-bypass-governance-retention:true als Anfrage-Header einfügen.

Anmerkung

Die Amazon S3-Konsole enthält standardmäßig den Headerx-amz-bypass-governance-retention:true. Ein Löschen von Objekten, die durch den Governance-Modus geschützt sind und über die Berechtigungen s3:BypassGovernanceMode und s3:GetObjectLockConfiguration oder s3:GetObjectRetention verfügen, kann durchgeführt werden.

Im Compliance-Modus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden. Dies schließt den Root-Benutzer in Ihrem AWS-Konto ein. Wenn ein Objekt im Compliance-Modus gesperrt wurde, können der Aufbewahrungsmodus nicht geändert und der Aufbewahrungszeitraum nicht verkürzt werden. Der Compliance-Modus stellt sicher, dass eine Objektversion während des Aufbewahrungszeitraums weder überschrieben noch gelöscht werden.

Anmerkung

Die Aktualisierung der Metadaten einer Objektversion, wenn Sie eine Objektsperre platzieren oder ändern, überschreibt weder die Objektversion noch setzt sie den Zeitstempel für Last-Modified zurück.

Aufbewahrungszeiträume

Ein Aufbewahrungszeitraum schützt eine Objektversion für einen festen Zeitraum. Wenn Sie für eine Objektversion einen Aufbewahrungszeitraum festlegen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzugeben, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden, vorausgesetzt, Sie haben für die Objektversion nicht auch eine rechtliche Aufbewahrungsfrist festgelegt.

Ein Aufbewahrungszeitraum kann ausdrücklich oder über eine Bucket-Standardeinstellung für ein Objekt festgelegt werden. Wenn Sie einen Aufbewahrungszeitraum ausdrücklich auf eine Objektversion anwenden, geben Sie ein Ablaufdatum für die Aufbewahrung an. Amazon S3 speichert dieses Datum in den Metadaten der Objektversion und schützt die Objektversion, bis der Aufbewahrungszeitraum abläuft.

Wenn Sie Bucket-Standardeinstellungen verwenden, geben Sie kein Ablaufdatum für die Aufbewahrung an. Sie geben stattdessen eine Dauer in Tagen oder Jahren an, für die jede im Bucket platzierte Objektversion geschützt werden soll. Wenn Sie ein Objekt in den Bucket legen, berechnet Amazon S3 ein „Aufbewahren bis“-Datum für die Objektversion, indem es die angegebene Dauer dem Zeitstempel der Erstellung der Objektversion hinzufügt. Dieses Datum wird in den metadaten der Objektversion gespeichert. Die Objektversion wird anschließend so geschützt, als ob Sie für die Objektversion ausdrücklich eine Sperre mit diesem Aufbewahrungszeitraum angegeben hätten.

Anmerkung

Wenn Ihre Anfrage für die Platzierung einer Objektversion in einem Bucket ausdrücklich einen Aufbewahrungsmodus und -zeitraum angibt, überschreiben diese Einstellungen alle Bucket-Standardeinstellungen für diese Objektversion.

Wie alle anderen Amazon S3 object lock-Einstellungen gelten Aufbewahrungszeiträume für einzelne Objektversionen. Für verschiedene Versionen desselben Objekts können verschiedene Aufbewahrungsmodi und -zeiträume gelten.

Zum Beispiel: Angenommen, Sie haben ein Objekt, von dessen 30-tägigem Aufbewahrungszeitraum 15 Tage abgelaufen sind, und Sie führen die Aktion PUT zu Amazon S3 für ein Objekt mit demselben Namen und einem 60-tägigen Aufbewahrungszeitraum durch. In diesem Fall ist die PUT-Aktion erfolgreich, und Amazon S3 erstellt eine neue Version des Objekts mit einem 60-tägigen Aufbewahrungszeitraum. Die ältere Version behält den ursprünglichen Aufbewahrungszeitraum und kann in 15 Tagen gelöscht werden.

Sie können einen Aufbewahrungszeitraum verlängern, nachdem Sie eine Aufbewahrungseinstellung auf eine Objektversion angewendet haben. Hierzu senden Sie eine neue Sperranfrage für die Objektversion ab, die ein Retain Until Date für die Aufbewahrung enthält, das nach dem aktuell für die Objektversion konfigurierten Ablaufdatum liegt. Amazon S3 ersetzt den vorhandenen Aufbewahrungszeitraum durch den neuen, längeren Zeitraum. Alle Benutzer, die die Berechtigung zur Festlegung von Aufbewahrungszeiträumen für Objekte besitzen, können Aufbewahrungszeiträume für Objektversionen verlängern, die in einem der beiden Modi gesperrt wurden.

Amazon S3 object lock ermöglicht Ihnen auch die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion. Wie Aufbewahrungszeiträume verhindern auch rechtliche Aufbewahrungsfristen das Überschreiben oder Löschen von Objektversionen. Mit rechtlichen Aufbewahrungsfristen sind jedoch keine Aufbewahrungszeiträume verknüpft. Sie sind gültig, bis sie entfernt werden. Alle Benutzer mit der Berechtigung s3:PutObjectLegalHold können rechtliche Aufbewahrungsfristen festlegen und entfernen.

Rechtliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig. So lange für den Bucket, der das Objekt enthält, Amazon S3 object lock aktiviert ist, können Sie rechtliche Aufbewahrungsfristen festlegen und entfernen. Dies gilt unabhängig davon, ob für die angegebene Objektversion ein Aufbewahrungszeitraum festgelegt wurde. Die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion hat keine Auswirkungen auf den Aufbewahrungsmodus oder -zeitraum für die betreffende Objektversion. Zum Beispiel: Angenommen, Sie setzen eine rechtliche Aufbewahrungsfrist für eine Objektversion fest, während diese Objektversion gleichzeitig durch einen Aufbewahrungszeitraum geschützt it. Wenn der Aufbewahrungszeitaum abgläuft, verliert das Objekt seinen WORM-Schutz nicht. Stattdessen wird das Objekt durch die rechtliche Aufbewahrungsfrist weiter geschützt, bis ein autorisierter Benutzer diese ausdrücklich entfernt. Wenn Sie eine rechtliche Aufbewahrungsfrist entfernen, während für eine Objektversion ein Aufbewahrungszeitraum gilt, bleibt die Objektversion geschützt, bis der Aufbewahrungszreitraum abläuft.

Bucket-Konfiguration

Zur Verwendung von Amazon S3 object lock muss dies für einen Bucket aktiviert werden. Sie können optional auch einen Standardaufbewahrungsmodus und -zeitraum konfigurieren, der für neue Objekte gilt, die in den Bucket platziert werden.

Aktivieren der Objektsperre

Damit Sie Objekte sperren können, müssen Sie einen Bucket für die Verwendung von Amazon S3 object lock konfigurieren. Dazu geben Sie an, wann Sie den Bucket erstellen, der Amazon S3 object lock aktivieren soll. Wenn Sie einen Bucket für Amazon S3 object lock konfiguriert haben, können Sie Objekte in diesem Bucket durch Aufbewahrungszeiträume, rechtliche Aufbewahrungsfristen oder beides sperren.

Anmerkung

  • Sie können Amazon S3 object lock ausschließlich für neue Buckets aktivieren. Wenn Sie Amazon S3 object lock für einen bereits bestehenden Bucket aktivieren möchten, wenden Sie sich an AWS Support.

  • Wenn Sie einen Bucket mit aktiviertem Amazon S3 object lock erstellen, aktiviert Amazon S3 automatisch die Versionssteuerung für diesen Bucket.

  • Wenn Sie einen Bucket mit aktivierter Amazon S3 object lock erstellen, können Sie die Objektsperre nicht deaktivieren oder die Versionssteuerung für diesen Bucket aussetzen.

Informationen zur Aktivierung von Amazon S3 object lock auf der Konsole finden Sie unter Wie sperre ich ein Amazon S3-Objekt? im Konsolenbenutzerhandbuch für Amazon Simple Storage Service

Standardaufbewahrungseinstellungen

Wenn Sie Amazon S3 object lock für einen Bucket aktivieren, kann der Bucket geschützte Objekte speichern. Die Einstellung schützt jedoch nicht automatisch Objekte, die in den Bucket gelegt werden. Wenn Sie die Objekte, die Sie in diesen Bucket platzieren, automatisch schützen möchten, können Sie einen Standardaufbewahrungszeitraum konfigurieren. Die Standardeinstellungen gelten für alle neuen Objekte, die im Bucket platziert werden, wenn Sie nicht ausdrücklich während der Erstellung eines Objekts einen anderen Aufbewahrungsmodus und -zeitraum für dieses Objekt angeben.

Tipp

Wenn Sie den Standaufbewahrungsmodus und -zeitraum für alle neuen Objektversionen durchsetzen möchten, die in einem Bucket platziert werden, können Sie die Bucket-Standardeinstellungen festlegen und Benutzern die Berechtigung zum Festlegen der Aufbewahrungseinstellungen von Objekten verweigern. Amazon S3 wendet anschließend den Standardaufbewahrungsmodus und -zeitraum auf neue Objektversionen an, die im Bucket platziert werden, und weist alle Anfragen für das Platzieren von Objekten zurück, die einen Aufbewahrungsmodus und -zeitraum enthalten.

In den Bucket-Standardeinstellungen müssen ein Modus und ein Zeitraum festgelegt werden. Der Bucket-Standardmodus kann entweder Governance oder Compliance sein. Weitere Informationen finden Sie unter Aufbewahrungsmodi.

Ein Standardaufbewahrungszeitraum wird nicht als Zeitstempel, sondern als Zeitraum von Tagen oder Jahren beschrieben. Wenn Sie ein Objekt in einen Bucket mit einem Standard-Aufbewahrungszeitraum legen, berechnet Amazon S3 object lock einen Aufbewahren bis-Zeitraum. Dazu wird der Standard-Aufbewahrungszeitraum dem Zeitstempel des Erstellungszeitpunkts der Objektversion hinzugefügt. Amazon S3 speichert den resultierenden Zeitstempel als das „Aufbewahren bis“-Datum der Objektversion so, als hätten Sie ihn manuell berechnet und selbst auf die Objektversion gesetzt.

Standardeinstellungen gelten nur für neu im Bucket platzierte Objekte. Durch die Festlegung von Standardaufbewahrungseinstellungen für einen Bucket werden keine Aufbewahrungseinstellungen für Objekte festgelegt, die im Bucket bereits vorhanden sind.

Wichtig

Objektsperren gelten ausschließlich für einzelne Objektversionen. Wenn Sie ein Objekt in einem Bucket platzieren, für den ein Standardaufbewahrungszeitraum festgelegt wurde, und für dieses Objekt nicht ausdrücklich einen Aufbewahrungszeitraum angeben, erstellt Amazon S3 das Objekt mit dem Standardaufbewahrungszeitraum für den Bucket. Nach der Erstellung des Objekts ist dessen Aufbewahrungszeitraum vom Standardaufbewahrungszeitraum des Buckets unabhängig. Die Änderung des Standardaufbewahrungszeitraums für einen Bucket hat keine Auswirkungen auf den vorhandenen Aufbewahrungszeitraum für Objekte in diesem Bucket.

Anmerkung

Wenn Sie einen Standardaufbewahrungszeitraum für einen Bucket konfigurieren, müssen Anforderungen zum Hochladen von Objekten in einen solchen Bucket den Content-MD5-Header enthalten. Weitere Informationen finden Sie unter PUT Object im Amazon Simple Storage Service API Reference.

Erforderliche Berechtigungen

Amazon S3 object lock-Operationen erfordern bestimmte Berechtigungen. Weitere Informationen finden Sie unter Berechtigungen für Objekt-Operationen.