Konfigurieren von S3 Object Lock - Amazon Simple Storage Service

Konfigurieren von S3 Object Lock

Mit Amazon S3 Object Lock können Sie Objekte in Amazon S3 anhand des Modells Write Once Read Many (WORM) speichern. Mit der S3-Objektsperre können Sie für einen festen Zeitraum oder auf unbegrenzte Zeit verhindern, dass ein Objekt gelöscht oder überschrieben wird. Allgemeine Informationen zu den Funktionen von Object Lock finden Sie unter Sperren von Objekten mit Object Lock.

Bevor Sie Objekte sperren können, müssen Sie die S3-Versionsverwaltung und Object Lock für einen Bucket aktivieren. Anschließend können Sie einen Aufbewahrungszeitraum, eine gesetzliche Aufbewahrungsfrist oder beides festlegen.

Um mit Object Lock zu arbeiten, müssen Sie über bestimmte Berechtigungen verfügen. Eine Liste der Berechtigungen für verschiedene Object-Lock-Vorgänge finden Sie unter Erforderliche Berechtigungen.

Wichtig
  • Wenn Sie Object Lock für einen Bucket aktiviert haben, können Sie Object Lock nicht deaktivieren oder die Versionsverwaltung für diesen Bucket aussetzen.

  • S3-Buckets mit Object Lock können nicht als Ziel-Buckets für Server-Zugriffsprotokolle verwendet werden. Weitere Informationen finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Aktivieren von Object Lock beim Erstellen eines neuen S3-Buckets

Sie können Object Lock aktivieren, wenn Sie einen neuen S3-Bucket mithilfe der Amazon-S3-Konsole, der AWS Command Line Interface- (AWS CLI)-,AWS-SDKs oder der Amazon-S3-REST-API erstellen.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie Bucket erstellen aus.

    Die Seite Bucket erstellen wird geöffnet.

  4. Geben Sie unter Bucket Name (Bucket-Name) einen Namen für den Bucket ein.

    Anmerkung

    Der Name eines einmal erstellten Buckets kann nicht nachträglich geändert werden. Weitere Informationen zur Benennung von Buckets finden Sie unter Benennungsregeln für Allzweck-Buckets.

  5. Unter Region wählen Sie die AWS-Region aus, in der sich der Bucket befinden soll.

  6. Wählen Sie unter Objekt-Eigentümerschaft eine der folgenden Einstellungen aus, um Zugriffssteuerungslisten (ACLs) zu deaktivieren oder zu aktivieren und die Eigentümerschaft von Objekten zu steuern, die in Ihren Bucket hochgeladen wurden:

  7. Wählen Sie unter Einstellungen "Öffentlichen Zugriff beschränken" für diesen Bucket die Einstellungen zum Beschränken des öffentlichen Zugriffs aus, die Sie auf den Bucket anwenden möchten.

  8. Wählen Sie unter Bucket-Versionsverwaltung die Option Aktiviert.

    Object Lock funktioniert nur mit versionsgesteuerten Buckets.

  9. (Optional) Unter Tags können Sie auswählen, ob Sie Ihrem Bucket Tags hinzufügen möchten. Tags sind Schlüssel-Wert-Paare, die zur Kategorisierung von Speicher und zur Zuweisung von Kosten verwendet werden.

  10. Suchen Sie unter Erweiterte Einstellungen nach Object Lock und wählen Sie Aktivieren aus.

    Sie müssen sich darüber im Klaren sein, dass durch die Aktivierung von Object Lock Objekte in diesem Bucket dauerhaft gesperrt werden können.

  11. Wählen Sie Bucket erstellen aus.

Im folgenden create-bucket-Beispiel wird ein neuer S3-Bucket mit dem Namen amzn-s3-demo-bucket1 und aktiviertem Object Lock erstellt:

aws s3api create-bucket --bucket amzn-s3-demo-bucket1 --object-lock-enabled-for-bucket

Weitere Informationen und Beispiele finden Sie unter create-bucket in der AWS CLI-Befehlsreferenz.

Anmerkung

Sie können AWS CLI-Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell verwenden. AWS CloudShell ist eine browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS Management Console starten können. Weitere Informationen finden Sie unter Was ist CloudShell? im AWS CloudShell-Benutzerhandbuch.

Sie können die REST-API verwenden, um einen neuen S3-Bucket mit aktiviertem Object Lock zu erstellen. Weitere Informationen finden Sie unter CreateBucket in der API-Referenz zu Amazon Simple Storage Service.

Beispiele dafür, wie Sie Object Lock beim Erstellen eines neuen S3-Buckets mit den AWS-SDKs aktivieren, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Beispiele dafür, wie Sie die aktuelle Object-Lock-Konfiguration mit den AWS-SDKs abrufen können, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Ein interaktives Szenario, das verschiedene Object-Lock-Features mithilfe der AWS-SDKs demonstriert, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Allgemeine Informationen zur Verwendung verschiedener AWS-SDKs finden Sie unter Entwickeln mit Amazon S3 unter Verwendung der AWS-SDKs in der API-Referenz zu Amazon S3.

Aktivieren von Object Lock für einen vorhandenen S3-Bucket

Sie können Object Lock für einen vorhandenen S3-Bucket mithilfe der Amazon-S3-Konsole, der AWS CLI-, AWS-SDKs oder der Amazon-S3-REST-API erstellen.

Anmerkung

Object Lock funktioniert nur mit versionsgesteuerten Buckets.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Namen des Buckets aus, für den Sie Object Lock aktivieren möchten.

  4. Wählen Sie die Registerkarte Eigenschaften aus.

  5. Scrollen Sie unter Eigenschaften nach unten zum Bereich Object Lock und wählen Sie Bearbeiten aus.

  6. Wählen Sie unter Object Lock die Option Aktivieren aus.

    Sie müssen sich darüber im Klaren sein, dass durch die Aktivierung von Object Lock Objekte in diesem Bucket dauerhaft gesperrt werden können.

  7. Wählen Sie Änderungen speichern aus.

Mit dem folgenden put-object-lock-configuration-Beispielbefehl wird eine Aufbewahrungsfrist von 50 Tagen für Object Lock für einen Bucket mit dem Namen amzn-s3-demo-bucket1 festgelegt:

aws s3api put-object-lock-configuration --bucket amzn-s3-demo-bucket1 --object-lock-configuration='{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 50 }}}'

Weitere Informationen und Beispiele finden Sie unter put-object-lock-configuration in der AWS CLI-Befehlsreferenz.

Anmerkung

Sie können AWS CLI-Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell verwenden. AWS CloudShell ist eine browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS Management Console starten können. Weitere Informationen finden Sie unter Was ist CloudShell? im AWS CloudShell-Benutzerhandbuch.

Sie können die Amazon-S3-REST-API verwenden, um Object Lock für einen vorhandenen S3-Bucket zu aktivieren. Weitere Informationen finden Sie unter PutObjectLockConfiguration in der API-Referenz zu Amazon Simple Storage Service.

Beispiele dafür, wie Sie Object Lock unter Verwendung der AWS-SDKs für einen vorhandenen S3-Bucket aktivieren, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Beispiele dafür, wie Sie die aktuelle Object-Lock-Konfiguration mit den AWS-SDKs abrufen können, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Ein interaktives Szenario, das verschiedene Object-Lock-Features mithilfe der AWS-SDKs demonstriert, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter Entwickeln mit Amazon S3 unter Verwendung der AWS SDKs in der API-Referenz zu Amazon S3.

Sie können die Amazon-S3-Konsole, die AWS CLI-, AWS-SDKs oder die Amazon-S3-REST-API verwenden, um eine gesetzliche Aufbewahrungsfrist für ein S3-Objekt festzulegen oder aufzuheben.

Wichtig
  • Wenn Sie eine gesetzliche Aufbewahrungsfrist für ein Objekt festlegen möchten, muss Object Lock für den Bucket des Objekts bereits aktiviert sein.

  • Wenn Sie PUT für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.

Weitere Informationen finden Sie unter Rechtliche Aufbewahrungsfristen.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Namen des Buckets aus, der das Objekt enthält, für das Sie eine gesetzliche Aufbewahrungsfrist einrichten oder ändern möchten.

  4. Wähle Sie in der Liste Objekte das Objekt aus, für das Sie eine gesetzliche Aufbewahrungsfrist festlegen oder ändern möchten.

  5. Suchen Sie auf der Seite mit den Objekteigenschaften den Bereich Object Lock – Gesetzliche Aufbewahrungsfristen und wählen Sie Bearbeiten.

  6. Wählen Sie Aktivieren, um eine gesetzliche Aufbewahrungsfrist festzulegen, oder Deaktivieren, um eine gesetzliche Aufbewahrungsfrist zu entfernen.

  7. Wählen Sie Änderungen speichern aus.

Im folgenden put-object-legal-hold-Beispiel wird für das Objekt my-image.fs im Bucket mit dem Namen amzn-s3-demo-bucket1 eine gesetzliche Aufbewahrungsfrist eingerichtet:

aws s3api put-object-legal-hold --bucket amzn-s3-demo-bucket1 --key my-image.fs --legal-hold="Status=ON"

Im folgenden put-object-legal-hold-Beispiel wird für das Objekt my-image.fs im Bucket mit dem Namen amzn-s3-demo-bucket1 eine gesetzliche Aufbewahrungsfrist entfernt:

aws s3api put-object-legal-hold --bucket amzn-s3-demo-bucket1 --key my-image.fs --legal-hold="Status=OFF"

Weitere Informationen und Beispiele finden Sie unter put-object-legal-hold in der AWS CLI-Befehlsreferenz.

Anmerkung

Sie können AWS CLI-Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell verwenden. AWS CloudShell ist eine browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS Management Console starten können. Weitere Informationen finden Sie unter Was ist CloudShell? im AWS CloudShell-Benutzerhandbuch.

Sie können die REST-API verwenden, um einen gesetzlichen Aufbewahrungszeitraum für ein Objekt festzulegen oder zu ändern. Weitere Informationen finden Sie unter PutObjectLegalHold in der API-Referenz zu Amazon Simple Storage Service.

Beispiele dafür, wie Sie mit den AWS-SDKs eine gesetzliche Aufbewahrungsfrist für ein Objekt festlegen, finden in den Codebeispielen in der API-Referenz zu Amazon S3.

Beispiele dafür, wie Sie mit den AWS-SDKs den aktuellen Status der gesetzlichen Aufbewahrungsfrist für ein Objekt abrufen, finden in den Codebeispielen in der API-Referenz zu Amazon S3.

Ein interaktives Szenario, das verschiedene Object-Lock-Features mithilfe der AWS-SDKs demonstriert, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter Entwickeln mit Amazon S3 unter Verwendung der AWS SDKs in der API-Referenz zu Amazon S3.

Einrichten oder Ändern eines Aufbewahrungszeitraums für ein S3-Objekt

Sie können die Amazon-S3-Konsole, die AWS CLI-, AWS-SDKs oder die Amazon-S3-REST-API verwenden, um einen Aufbewahrungszeitraum für ein S3-Objekt festzulegen oder zu ändern.

Wichtig
  • Wenn Sie einen Aufbewahrungszeitraum für ein Objekt festlegen möchten, muss Object Lock für den Bucket des Objekts bereits aktiviert sein.

  • Wenn Sie PUT für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.

  • Die einzige Möglichkeit, ein Objekt im Compliance-Modus vor Ablauf seines Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige AWS-Konto zu löschen.

Weitere Informationen finden Sie unter Aufbewahrungszeiträume.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Namen des Buckets aus, der das Objekt enthält, für das Sie einen Aufbewahrungszeitraum einrichten oder ändern möchten.

  4. Wähle Sie in der Liste Objekte das Objekt aus, für das Sie einen Aufbewahrungszeitraum festlegen oder ändern möchten.

  5. Suchen Sie auf der Seite mit den Objekteigenschaften den Bereich Object Lock – Aufbewahrungszeitraum und wählen Sie Bearbeiten.

  6. Wählen Sie unter Aufbewahrung die Option Aktivieren aus, um einen Aufbewahrungszeitraum festzulegen, oder Deaktivieren, um einen Aufbewahrungszeitraum zu entfernen.

  7. Wenn Sie Aktivieren unter Aufbewahrungsmodus ausgewählt haben, wählen Sie entweder Governance-Modus oder Compliance-Modus. Weitere Informationen finden Sie unter Aufbewahrungsmodi.

  8. Wählen Sie unter Aufbewahren bis das Datum aus, an dem der Aufbewahrungszeitraum enden soll. Während dieses Zeitraums ist Ihr Objekt WORM-geschützt und kann weder überschrieben noch gelöscht werden. Weitere Informationen finden Sie unter Aufbewahrungszeiträume.

  9. Wählen Sie Änderungen speichern aus.

Im folgenden put-object-retention-Beispiel wird für das Objekt my-image.fs in dem Bucket mit dem Namen amzn-s3-demo-bucket1 ein Aufbewahrungszeitraum bis zum 1. Januar 2025 festgelegt:

aws s3api put-object-retention --bucket amzn-s3-demo-bucket1 --key my-image.fs --retention='{ "Mode": "GOVERNANCE", "RetainUntilDate": "2025-01-01T00:00:00" }'

Weitere Informationen und Beispiele finden Sie unter put-object-retention in der AWS CLI-Befehlsreferenz.

Anmerkung

Sie können AWS CLI-Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell verwenden. AWS CloudShell ist eine browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS Management Console starten können. Weitere Informationen finden Sie unter Was ist CloudShell? im AWS CloudShell-Benutzerhandbuch.

Sie können die REST-API verwenden, um einen Aufbewahrungszeitraum für ein Objekt festzulegen. Weitere Informationen finden Sie unter PutObjectRetention in der API-Referenz zu Amazon Simple Storage Service.

Beispiele dafür, wie Sie mit den AWS-SDKs eine Aufbewahrungsfrist für ein Objekt festlegen, finden in den Codebeispielen in der API-Referenz zu Amazon S3.

Beispiele dafür, wie Sie mit den AWS-SDKs die Aufbewahrungsfrist für ein Objekt abrufen, finden in den Codebeispielen in der API-Referenz zu Amazon S3.

Ein interaktives Szenario, das verschiedene Object-Lock-Features mithilfe der AWS-SDKs demonstriert, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter Entwickeln mit Amazon S3 unter Verwendung der AWS SDKs in der API-Referenz zu Amazon S3.

Einrichten oder Ändern eines Standard-Aufbewahrungszeitraums für einen S3-Bucket

Sie können die Amazon-S3-Konsole, die AWS CLI-, AWS-SDKs oder die Amazon-S3-REST-API verwenden, um einen Aufbewahrungszeitraum für einen S3-Bucket festzulegen oder zu ändern. Sie geben eine Dauer in Tagen oder Jahren an, für die jede in dem Bucket befindliche Objektversion geschützt werden soll.

Wichtig
  • Wenn Sie einen Standard-Aufbewahrungszeitraum für einen Bucket festlegen möchten, muss Object Lock für den Bucket bereits aktiviert sein.

  • Wenn Sie PUT für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.

  • Die einzige Möglichkeit, ein Objekt im Compliance-Modus vor Ablauf seines Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige AWS-Konto zu löschen.

Weitere Informationen finden Sie unter Aufbewahrungszeiträume.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Namen des Buckets aus, für den Sie einen Aufbewahrungszeitraum einrichten oder ändern möchten.

  4. Wählen Sie die Registerkarte Eigenschaften aus.

  5. Scrollen Sie unter Eigenschaften nach unten zum Bereich Object Lock und wählen Sie Bearbeiten aus.

  6. Wählen Sie unter Standard-Aufbewahrung die Option Aktivieren aus, um einen Standard-Aufbewahrungszeitraum festzulegen, oder Deaktivieren, um einen Standard-Aufbewahrungszeitraum zu entfernen.

  7. Wenn Sie Aktivieren unter Aufbewahrungsmodus ausgewählt haben, wählen Sie entweder Governance-Modus oder Compliance-Modus. Weitere Informationen finden Sie unter Aufbewahrungsmodi.

  8. Wählen Sie unter Standard-Aufbewahrungszeitraum die Anzahl der Tage oder Jahre aus, für die der Aufbewahrungszeitraum gelten soll. Objekte, die sich in diesem Bucket befinden, werden für diese Anzahl von Tagen oder Jahren gesperrt. Weitere Informationen finden Sie unter Aufbewahrungszeiträume.

  9. Wählen Sie Änderungen speichern aus.

Mit dem folgenden put-object-lock-configuration-Beispielbefehl wird eine Object-Lock-Aufbewahrungsfrist von 50 Tag für einen Bucket mit dem Namen amzn-s3-demo-bucket1 unter Verwendung des Compliance-Modus festgelegt:

aws s3api put-object-lock-configuration --bucket amzn-s3-demo-bucket1 --object-lock-configuration='{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 50 }}}'

Im folgenden put-object-lock-configuration-Beispiel wird die Standard-Aufbewahrungskonfiguration für einen Bucket entfernt:

aws s3api put-object-lock-configuration --bucket amzn-s3-demo-bucket1 --object-lock-configuration='{ "ObjectLockEnabled": "Enabled"}'

Weitere Informationen und Beispiele finden Sie unter put-object-lock-configuration in der AWS CLI-Befehlsreferenz.

Anmerkung

Sie können AWS CLI-Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell verwenden. AWS CloudShell ist eine browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS Management Console starten können. Weitere Informationen finden Sie unter Was ist CloudShell? im AWS CloudShell-Benutzerhandbuch.

Sie können die REST-API nutzen, um einen Standardaufbewahrungszeitraum für einen bestehenden S3-Bucket festzulegen. Weitere Informationen finden Sie unter PutObjectLockConfiguration in der API-Referenz zu Amazon Simple Storage Service.

Beispiele dafür, wie Sie mit den AWS-SDKs einen Standardaufbewahrungszeitraum für einen bestehenden S3-Bucket festlegen, finden in den Codebeispielen in der API-Referenz zu Amazon S3.

Ein interaktives Szenario, das verschiedene Object-Lock-Features mithilfe der AWS-SDKs demonstriert, finden Sie in den Codebeispielen in der API-Referenz zu Amazon S3.

Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter Entwickeln mit Amazon S3 unter Verwendung der AWS SDKs in der API-Referenz zu Amazon S3.