Übersicht über S3 Objektsperre - Amazon Simple Storage Service

Übersicht über S3 Objektsperre

Mit S3 Objektsperre können Sie Objekte anhand des Modells Write Once Read Many (WORM) speichern. Dadurch können Sie für einen festen Zeitraum oder unbegrenzt verhindern, dass Objekte gelöscht oder überschrieben werden. Sie können S3 Objektsperre verwenden, um regulatorische Anforderungen einzuhalten, die die WORM-Speicherung verlangen, oder um eine zusätzliche Schutzebene gegen Objektänderungen und -löschungen einzurichten.

Informationen zur Verwaltung des Sperrungsstatus Ihrer Amazon S3-Objekte finden Sie unter Verwalten von Amazon S3-Objektsperren.

Anmerkung

S3-Buckets mit S3 Objektsperre können nicht als Ziel-Buckets für Amazon S3-Serverzugriffsprotokollierung verwendet werden

Die folgenden Abschnitte beschreiben die Hauptfunktionen von S3 Objektsperre.

Aufbewahrungsmodi

S3 Objektsperre bietet zwei Aufbewahrungsmodi:

  • Governance-Modus

  • Compliance-Modus

Diese Aufbewahrungsmodi wenden unterschiedliche Schutzgrade auf Ihre Objekte an. Sie können auf jede von Objektsperre geschützte Objektversion einen der beiden Aufbewahrungsmodi anwenden.

Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder ihre Sperreinstellungen ändern, wenn sie keine speziellen Berechtigungen besitzen. Mit dem Governance-Modus schützen Sie Objekte dagegen, von den meisten Benutzern gelöscht zu werden, Sie können jedoch weiterhin einigen Benutzern die Berechtigung geben, die Aufbewahrungseinstellungen zu ändern oder das Objekt bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für Aufbewahrungszeiträume zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen. Um Aufbewahrungseinstellungen im Governance-Modus zu überschreiben oder zu entfernen, muss ein Benutzer die Berechtigung s3:BypassGovernanceRetention besitzen und in jede Anfrage, die ein Überschreiben des Governance-Modus erfordert, ausdrücklich x-amz-bypass-governance-retention:true als Anfrage-Header einfügen.

Anmerkung

Die Amazon S3-Konsole enthält standardmäßig den Headerx-amz-bypass-governance-retention:true. Ein Löschen von Objekten, die durch den Governance-Modus geschützt sind und über die Berechtigungens3:BypassGovernanceRetention oder s3:GetBucketObjectLockConfiguration verfügen, kann durchgeführt werden.

Im Compliance-Modus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden. Dies schließt den Root-Benutzer in Ihrem AWS-Konto ein. Wenn ein Objekt im Compliance-Modus gesperrt wurde, können der Aufbewahrungsmodus nicht geändert und der Aufbewahrungszeitraum nicht verkürzt werden. Der Compliance-Modus stellt sicher, dass eine Objektversion während des Aufbewahrungszeitraums weder überschrieben noch gelöscht werden.

Anmerkung

Die Aktualisierung der Metadaten einer Objektversion, wenn Sie eine Objektsperre platzieren oder ändern, überschreibt weder die Objektversion noch setzt sie den Zeitstempel für Last-Modified zurück.

Aufbewahrungszeiträume

Ein Aufbewahrungszeitraum schützt eine Objektversion für einen festen Zeitraum. Wenn Sie für eine Objektversion einen Aufbewahrungszeitraum festlegen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzugeben, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden, vorausgesetzt, Sie haben für die Objektversion nicht auch eine rechtliche Aufbewahrungsfrist festgelegt.

Ein Aufbewahrungszeitraum kann ausdrücklich oder über eine Bucket-Standardeinstellung für ein Objekt festgelegt werden. Wenn Sie einen Aufbewahrungszeitraum ausdrücklich auf eine Objektversion anwenden, geben Sie ein Ablaufdatum für die Aufbewahrung an. Amazon S3 speichert dieses Datum in den Metadaten der Objektversion und schützt die Objektversion, bis der Aufbewahrungszeitraum abläuft.

Wenn Sie Bucket-Standardeinstellungen verwenden, geben Sie kein Ablaufdatum für die Aufbewahrung an. Sie geben stattdessen eine Dauer in Tagen oder Jahren an, für die jede im Bucket platzierte Objektversion geschützt werden soll. Wenn Sie ein Objekt in den Bucket legen, berechnet Amazon S3 ein „Aufbewahren bis“-Datum für die Objektversion, indem es die angegebene Dauer dem Zeitstempel der Erstellung der Objektversion hinzufügt. Dieses Datum wird in den metadaten der Objektversion gespeichert. Die Objektversion wird anschließend so geschützt, als ob Sie für die Objektversion ausdrücklich eine Sperre mit diesem Aufbewahrungszeitraum angegeben hätten.

Anmerkung

Wenn Ihre Anfrage für die Platzierung einer Objektversion in einem Bucket ausdrücklich einen Aufbewahrungsmodus und -zeitraum angibt, überschreiben diese Einstellungen alle Bucket-Standardeinstellungen für diese Objektversion.

Wie alle anderen Objektsperre-Einstellungen gelten Aufbewahrungszeiträume für einzelne Objektversionen. Für verschiedene Versionen desselben Objekts können verschiedene Aufbewahrungsmodi und -zeiträume gelten.

Zum Beispiel: Angenommen, Sie haben ein Objekt, von dessen 30-tägigem Aufbewahrungszeitraum 15 Tage abgelaufen sind, und Sie führen die Aktion PUT zu Amazon S3 für ein Objekt mit demselben Namen und einem 60-tägigen Aufbewahrungszeitraum durch. In diesem Fall ist die PUT-Aktion erfolgreich, und Amazon S3 erstellt eine neue Version des Objekts mit einem 60-tägigen Aufbewahrungszeitraum. Die ältere Version behält den ursprünglichen Aufbewahrungszeitraum und kann in 15 Tagen gelöscht werden.

Sie können einen Aufbewahrungszeitraum verlängern, nachdem Sie eine Aufbewahrungseinstellung auf eine Objektversion angewendet haben. Hierzu senden Sie eine neue Sperranfrage für die Objektversion ab, die ein Retain Until Date für die Aufbewahrung enthält, das nach dem aktuell für die Objektversion konfigurierten Ablaufdatum liegt. Amazon S3 ersetzt den vorhandenen Aufbewahrungszeitraum durch den neuen, längeren Zeitraum. Alle Benutzer, die die Berechtigung zur Festlegung von Aufbewahrungszeiträumen für Objekte besitzen, können Aufbewahrungszeiträume für Objektversionen verlängern, die in einem der beiden Modi gesperrt wurden.

Objektsperre ermöglicht Ihnen auch die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion. Wie Aufbewahrungszeiträume verhindern auch rechtliche Aufbewahrungsfristen das Überschreiben oder Löschen von Objektversionen. Mit rechtlichen Aufbewahrungsfristen sind jedoch keine Aufbewahrungszeiträume verknüpft. Sie sind gültig, bis sie entfernt werden. Alle Benutzer mit der Berechtigung s3:PutObjectLegalHold können rechtliche Aufbewahrungsfristen festlegen und entfernen. Die vollständige Liste der Amazon S3-Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3.

Rechtliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig. So lange für den Bucket, der das Objekt enthält, Objektsperre aktiviert ist, können Sie rechtliche Aufbewahrungsfristen festlegen und entfernen. Dies gilt unabhängig davon, ob für die angegebene Objektversion ein Aufbewahrungszeitraum festgelegt wurde. Die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion hat keine Auswirkungen auf den Aufbewahrungsmodus oder -zeitraum für die betreffende Objektversion. Zum Beispiel: Angenommen, Sie setzen eine rechtliche Aufbewahrungsfrist für eine Objektversion fest, während diese Objektversion gleichzeitig durch einen Aufbewahrungszeitraum geschützt it. Wenn der Aufbewahrungszeitaum abgläuft, verliert das Objekt seinen WORM-Schutz nicht. Stattdessen wird das Objekt durch die rechtliche Aufbewahrungsfrist weiter geschützt, bis ein autorisierter Benutzer diese ausdrücklich entfernt. Wenn Sie eine rechtliche Aufbewahrungsfrist entfernen, während für eine Objektversion ein Aufbewahrungszeitraum gilt, bleibt die Objektversion geschützt, bis der Aufbewahrungszreitraum abläuft.

Bucket-Konfiguration

Zur Verwendung von Objektsperre muss dies für einen Bucket aktiviert werden. Sie können optional auch einen Standardaufbewahrungsmodus und -zeitraum konfigurieren, der für neue Objekte gilt, die in den Bucket platziert werden.

Aktivieren von S3 Objektsperre

Damit Sie Objekte sperren können, müssen Sie einen Bucket für die Verwendung von S3 Objektsperre konfigurieren. Dazu geben Sie an, wann Sie den Bucket erstellen, der Objektsperre aktivieren soll. Wenn Sie einen Bucket für Objektsperre konfiguriert haben, können Sie Objekte in diesem Bucket durch Aufbewahrungszeiträume, rechtliche Aufbewahrungsfristen oder beides sperren.

Anmerkung
  • Sie können Objektsperre ausschließlich für neue Buckets aktivieren. Wenn Sie Objektsperre für einen bereits bestehenden Bucket aktivieren möchten, wenden Sie sich an AWS Support.

  • Wenn Sie einen Bucket mit aktiviertem Objektsperre erstellen, aktiviert Amazon S3 automatisch die Versionssteuerung für diesen Bucket.

  • Wenn Sie einen Bucket mit aktivierter Objektsperre erstellen, können Sie Objektsperre nicht deaktivieren oder die Versionssteuerung für diesen Bucket aussetzen.

Informationen zur Aktivierung von Objektsperre auf der Konsole finden Sie unter Wie sperre ich ein Amazon S3-Objekt? im Konsolenbenutzerhandbuch für Amazon Simple Storage Service

Standardaufbewahrungseinstellungen

Wenn Sie Objektsperre für einen Bucket aktivieren, kann der Bucket geschützte Objekte speichern. Die Einstellung schützt jedoch nicht automatisch Objekte, die in den Bucket gelegt werden. Wenn Sie die Objekte, die Sie in diesen Bucket platzieren, automatisch schützen möchten, können Sie einen Standardaufbewahrungszeitraum konfigurieren. Die Standardeinstellungen gelten für alle neuen Objekte, die im Bucket platziert werden, wenn Sie nicht ausdrücklich während der Erstellung eines Objekts einen anderen Aufbewahrungsmodus und -zeitraum für dieses Objekt angeben.

Tipp

Wenn Sie den Standaufbewahrungsmodus und -zeitraum für alle neuen Objektversionen durchsetzen möchten, die in einem Bucket platziert werden, können Sie die Bucket-Standardeinstellungen festlegen und Benutzern die Berechtigung zum Festlegen der Aufbewahrungseinstellungen von Objekten verweigern. Amazon S3 wendet anschließend den Standardaufbewahrungsmodus und -zeitraum auf neue Objektversionen an, die im Bucket platziert werden, und weist alle Anfragen für das Platzieren von Objekten zurück, die einen Aufbewahrungsmodus und -zeitraum enthalten.

In den Bucket-Standardeinstellungen müssen ein Modus und ein Zeitraum festgelegt werden. Der Bucket-Standardmodus kann entweder Governance oder Compliance sein. Weitere Informationen finden Sie unter Aufbewahrungsmodi.

Ein Standardaufbewahrungszeitraum wird nicht als Zeitstempel, sondern als Zeitraum von Tagen oder Jahren beschrieben. Wenn Sie ein Objekt in einen Bucket mit einem Standard-Aufbewahrungszeitraum legen, berechnet Objektsperre einen Aufbewahren bis-Zeitraum. Dazu wird der Standard-Aufbewahrungszeitraum dem Zeitstempel des Erstellungszeitpunkts der Objektversion hinzugefügt. Amazon S3 speichert den resultierenden Zeitstempel als das „Aufbewahren bis“-Datum der Objektversion so, als hätten Sie ihn manuell berechnet und selbst auf die Objektversion gesetzt.

Standardeinstellungen gelten nur für neu im Bucket platzierte Objekte. Durch die Festlegung von Standardaufbewahrungseinstellungen für einen Bucket werden keine Aufbewahrungseinstellungen für Objekte festgelegt, die im Bucket bereits vorhanden sind.

Wichtig

Objektsperren gelten ausschließlich für einzelne Objektversionen. Wenn Sie ein Objekt in einem Bucket platzieren, für den ein Standardaufbewahrungszeitraum festgelegt wurde, und für dieses Objekt nicht ausdrücklich einen Aufbewahrungszeitraum angeben, erstellt Amazon S3 das Objekt mit dem Standardaufbewahrungszeitraum für den Bucket. Nach der Erstellung des Objekts ist dessen Aufbewahrungszeitraum vom Standardaufbewahrungszeitraum des Buckets unabhängig. Die Änderung des Standardaufbewahrungszeitraums für einen Bucket hat keine Auswirkungen auf den vorhandenen Aufbewahrungszeitraum für Objekte in diesem Bucket.

Anmerkung

Wenn Sie einen Standardaufbewahrungszeitraum für einen Bucket konfigurieren, müssen Anforderungen zum Hochladen von Objekten in einen solchen Bucket den Content-MD5-Header enthalten. Weitere Informationen finden Sie unter PUT Object im Amazon Simple Storage Service API Reference.

Erforderliche Berechtigungen

Objektsperre-Operationen erfordern bestimmte Berechtigungen. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter Beispiel – Objektoperationen. Informationen zur Verwendung von Bedingungen mit Berechtigungen finden Sie unter Amazon S3-Bedingungsschlüssel.