Berechtigungen zum Anzeigen von Sperrinformationen Umgehen des Governance-Modus Verwenden von Object Lock mit der S3-Replikation Verwenden von Object Lock mit Amazon S3 Inventory Verwaltung von S3-Lebenszyklusrichtlinien mit Object Lock Verwaltung von Löschmarkierungen mit Object Lock Verwenden von S3 Storage Lens mit Object Lock Objekte in einen Bucket mit aktivierter Objektsperre hochladen Konfigurieren von Ereignissen und Benachrichtigungen Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie

Überlegungen zu Object Lock

Amazon S3 Object Lock kann verhindern, dass Objekte für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden.

Sie können die Amazon S3 S3-Konsole, AWS Command Line Interface (AWS CLI), AWS SDKs oder die Amazon S3 S3-REST-API verwenden, um Object Lock-Informationen anzuzeigen oder festzulegen. Weitere Informationen zu den Funktionen von S3 Object Lock finden Sie unter Verwenden der S3-Objektsperre.

Wichtig

Wenn Sie Object Lock für einen Bucket aktiviert haben, können Sie Object Lock nicht deaktivieren oder die Versionsverwaltung für diesen Bucket aussetzen.
S3-Buckets mit Object Lock können nicht als Ziel-Buckets für Server-Zugriffsprotokolle verwendet werden. Weitere Informationen finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Themen

Berechtigungen zum Anzeigen von Sperrinformationen
Umgehen des Governance-Modus
Verwenden von Object Lock mit der S3-Replikation
Verwenden von Object Lock mit Amazon S3 Inventory
Verwaltung von S3-Lebenszyklusrichtlinien mit Object Lock
Verwaltung von Löschmarkierungen mit Object Lock
Verwenden von S3 Storage Lens mit Object Lock
Objekte in einen Bucket mit aktivierter Objektsperre hochladen
Konfigurieren von Ereignissen und Benachrichtigungen
Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie

Berechtigungen zum Anzeigen von Sperrinformationen

Sie können den Object-Lock-Status einer Amazon-S3-Objektversion mithilfe der Vorgänge HeadObject und GetObject anzeigen. Beide Vorgänge geben den Aufbewahrungsmodus, die Aufbewahrungsfrist und den Status in Bezug auf eine rechtliche Aufbewahrungsfrist für die angegebene Objektversion an. Darüber hinaus können Sie mithilfe von S3 Inventory den Status der Objektsperre für mehrere Objekte in Ihrem S3-Bucket anzeigen.

Um Aufbewahrungsmodus und Aufbewahrungszeitraum für eine Objektversion anzuzeigen, müssen Sie die Berechtigung s3:GetObjectRetention besitzen. Um den Status eines Objekts in Bezug auf rechtliche Aufbewahrungsfristen anzuzeigen, müssen Sie die Berechtigung s3:GetObjectLegalHold besitzen. Um die Standardaufbewahrungskonfiguration eines Buckets anzuzeigen, benötigen Sie die s3:GetBucketObjectLockConfiguration-Berechtigung. Wenn Sie eine Object-Lock-Konfiguration für einen Bucket anfordern, für den S3 Object Lock nicht aktiviert ist, gibt Amazon S3 einen Fehler zurück.

Umgehen des Governance-Modus

Sie können für im Governance-Modus gesperrte Objektversionen, Vorgänge ausführen, als ob sie nicht geschützt wären, wenn Sie die s3:BypassGovernanceRetention-Berechtigung besitzen. Zu diesen Vorgängen gehören das Löschen einer Objektversion, das Verkürzen des Aufbewahrungszeitraums oder das Entfernen des Object-Lock-Aufbewahrungszeitraums durch die Platzierung einer neuen PutObjectRetention-Anforderung mit leeren Parametern.

Um den Governance-Modus umgehen zu können, müssen Sie in Ihrer Anforderung ausdrücklich angeben, dass Sie den Governance-Modus umgehen möchten. Fügen Sie dazu den x-amz-bypass-governance-retention:true Header Ihrer PutObjectRetention API-Operationsanforderung hinzu oder verwenden Sie den entsprechenden Parameter für Anfragen, die über die AWS SDKs AWS CLI oder gestellt werden. Die S3-Konsole übernimmt diesen Header automatisch für über die S3-Konsole gestellte Anforderungen, wenn Sie über die s3:BypassGovernanceRetention-Berechtigung verfügen, den Governance-Modus zu umgehen.

Anmerkung

Die Umgehung des Governance-Modus hat keine Auswirkungen auf den Status einer Objektversion in Bezug auf rechtliche Aufbewahrungsfristen. Wenn für eine Objektversion eine rechtliche Aufbewahrungsfrist aktiviert ist, bleibt diese in Kraft und verhindert, dass die Objektversion durch Anforderungen überschrieben oder gelöscht wird.

Verwenden von Object Lock mit der S3-Replikation

Sie können Object Lock mit S3-Replikation verwenden, um automatisches asynchrones Kopieren von gesperrten Objekten und deren Aufbewahrungs-Metadaten über S3-Buckets hinweg zu aktivieren. Das bedeutet, dass Amazon S3 für replizierte Objekte die Objektsperrkonfiguration des Quell-Buckets verwendet. Mit anderen Worten, wenn im Quell-Bucket Object Lock aktiviert ist, muss in den Ziel-Buckets auch Object Lock aktiviert sein. Wenn ein Objekt direkt in den Ziel-Bucket (außerhalb der S3-Replikation) hochgeladen wird, verwendet es die für den Ziel-Bucket festgelegte Objektsperre. Wenn Sie Replikation verwenden, werden Objekte aus einem Quell-Bucket in einen oder mehrere Ziel-Bucket(s) repliziert.

Um die Replikation für einen Bucket mit aktivierter Objektsperre einzurichten, können Sie die S3-Konsole AWS CLI, die Amazon S3 S3-REST-API oder AWS SDKs verwenden.

Anmerkung

Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind s3:GetObjectRetention und s3:GetObjectLegalHold. Wenn die Rolle über eine s3:Get*-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter Berechtigungen für die Live-Replikation einrichten.

Allgemeine Informationen zur S3-Replikation finden Sie unter Überblick über das Replizieren von Objekten.

Beispiele für die Einrichtung der S3-Replikation finden Sie unter Beispiele für die Konfiguration der Live-Replikation.

Verwenden von Object Lock mit Amazon S3 Inventory

Sie können Amazon S3 Inventory so konfigurieren, dass Listen der Objekte in einem S3-Bucket nach einem definierten Zeitplan erstellt werden. Sie können Amazon S3 Inventory so konfigurieren, dass es die folgenden Object-Lock-Metadaten für Ihre Objekte enthält:

Das Aufbewahrungsdatum
Der Aubewahrungsmodus
Die gesetzliche Aufbewahrungsfrist

Weitere Informationen finden Sie unter Amazon S3 Inventory.

Verwaltung von S3-Lebenszyklusrichtlinien mit Object Lock

Konfigurationen für die Verwaltung des Objektlebenszyklus funktionieren für geschützte Objekte weiterhin normal. Dies schließt die Platzierung von Löschmarkierungen ein. Eine gesperrte Version eines Objekts kann jedoch nicht durch eine S3-Lifecycle-Ablaufrichtlinie gelöscht werden. Object Lock wird unabhängig davon beibehalten, in welcher Speicherklasse sich das Objekt befindet, und während des gesamten S3 Lifecycle wird zwischen Speicherklassen gewechselt.

Weitere Informationen zur Verwaltung von Objektlebenszyklen finden Sie unter Verwalten Ihres Speicher-Lebenszyklus.

Verwaltung von Löschmarkierungen mit Object Lock

Sie können eine geschützte Objektversion zwar nicht löschen, aber eine Löschmarkierung für das betreffende Objekt erstellen. Durch das Setzen einer Löschmarkierung auf einem Objekt wird keine Objektversion gelöscht. Amazon S3 verhält sich dadurch aber zumeist so, als ob das Objekt gelöscht worden wäre. Weitere Informationen finden Sie unter Arbeiten mit Löschmarkierungen.

Anmerkung

Löschmarkierungen sind nicht WORM-geschützt, unabhängig vom Aufbewahrungszeitraum oder der rechtlichen Aufbewahrungsfrist für das zugrunde liegende Objekt.

Verwenden von S3 Storage Lens mit Object Lock

Wwnn Sie Metriken für objektsperrefähige Speicherbytes und die Anzahl der Objekte sehen möchten, können Sie Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können.

Weitere Informationen finden Sie unter Verwenden von S3 Storage Lens zum Schutz Ihrer Daten.

Eine vollständige Liste der Metriken finden Sie unter Amazon S3-Storage-Lens-Metrikglossar.

Objekte in einen Bucket mit aktivierter Objektsperre hochladen

Der Content-MD5 Header ist für jede Anfrage zum Hochladen eines Objekts mit einer mit Object Lock konfigurierten Aufbewahrungsfrist erforderlich. Mit dem MD5-Digest können Sie die Integrität Ihres Objekts überprüfen, nachdem Sie es in einen Bucket hochgeladen haben. Nach dem Hochladen des Objekts berechnet Amazon S3 den MD5-Digest des Objekts und vergleicht ihn mit dem von Ihnen angegebenen Wert. Die Anforderung ist nur erfolgreich, wenn die beiden Digests übereinstimmen. Die S3-Konsole fügt diesen Header automatisch hinzu. Sie müssen diesen Header jedoch angeben, wenn Sie die API verwenden. PutObject

Weitere Informationen finden Sie unter Verwenden von Content-MD5 beim Hochladen von Objekten.

Konfigurieren von Ereignissen und Benachrichtigungen

Sie können Amazon S3 Event Notifications verwenden, um den Zugriff und die Änderungen an Ihren Object Lock-Konfigurationen und -Daten nachzuverfolgen, indem Sie AWS CloudTrail Weitere Informationen dazu CloudTrail finden Sie unter Was ist AWS CloudTrail? im AWS CloudTrail Benutzerhandbuch.

Sie können Amazon auch verwenden CloudWatch , um Benachrichtigungen auf der Grundlage dieser Daten zu generieren. Informationen zu CloudWatch finden Sie unter Was ist Amazon CloudWatch? im CloudWatch Amazon-Benutzerhandbuch.

Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie

Sie können mittels einer Bucket-Richtlinie mindestens erforderliche und maximal zulässige Aufbewahrungszeiträume für einen Bucket festlegen. Die maximale Aufbewahrungsfrist beträgt 100 Jahre.

Das folgende Beispiel zeigt eine Bucket-Richtlinie, die den Bedingungsschlüssel s3:object-lock-remaining-retention-days verwendet, um einen maximalen Aufbewahrungszeitraum von 10 Tagen festzulegen.


{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::example-s3-bucket1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}

Anmerkung

Wenn es sich bei Ihrem Bucket um den Ziel-Bucket einer Replikationsrichtlinie handelt, könnenSie minimal und maximal zulässige Aufbewahrungszeiträume für Objektreplikate einrichten möchten, die mittels Replikation erstellt werden. Hierzu müssen Sie die s3:ReplicateObject-Aktion in Ihrer Bucket-Richtlinie zulassen. Weitere Informationen zur Verwendung von Replikationsberechtigungen finden Sie unter Berechtigungen für die Live-Replikation einrichten.

Weitere Informationen zu Bucket-Richtlinien finden Sie in den folgenden Themen:

Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference
Objektoperationen
Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden der Objektsperre

Konfigurieren der Objektsperre