Sperren von Objekten mit Object Lock - Amazon Simple Storage Service
So funktioniert die S3-Objektsperre

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sperren von Objekten mit Object Lock

Mit S3 Object Lock können Sie für einen bestimmten Zeitraum oder auf unbestimmte Zeit verhindern, dass Amazon-S3-Objekte gelöscht oder überschrieben werden. Object Lock verwendet ein write-once-read-many(WORM) -Modell zum Speichern von Objekten. Sie können Object Lock verwenden, um regulatorische Anforderungen einzuhalten, die die WORM-Speicherung verlangen, oder um einfach eine zusätzliche Schutzebene gegen Objektänderungen und -löschungen einzurichten.

Anmerkung

S3 Object Lock wurde bewertet von Cohasset Associates für den Einsatz in Umgebungen, die den Bestimmungen von SEC 17a-4, CFTC und FINRA unterliegen. Weitere Informationen darüber, wie Object Lock mit diesen Vorschriften zusammenhängt, finden Sie in Cohasset Associates Bewertung der Einhaltung der Vorschriften.

Die Objektsperre stellt zwei Optionen für die Verwaltung der Aufbewahrung von Objekten bereit: Aufbewahrungszeiträume und rechtliche Aufbewahrungsfristen. Für eine Objektversion kann es sowohl einen Aufbewahrungszeitraum als auch eine rechtliche Aufbewahrungsfrist geben oder beides geben.

  • Aufbewahrungszeitraum — Ein Aufbewahrungszeitraum gibt einen festen Zeitraum an, in dem eine Objektversion gesperrt bleibt. Sie können einen eindeutigen Aufbewahrungszeitraum für einzelne Objekte festlegen. Sie können zusätzlich einen Standardaufbewahrungszeitraum für einen S3-Bucket festlegen. Mit dem Bedingungsschlüssel s3:object-lock-remaining-retention-days in der Bucket-Richtlinie können Sie auch den minimal und maximal zulässigen Aufbewahrungszeitraum einschränken. Auf diese Weise können Sie einen Bereich für Aufbewahrungszeiträume festlegen und solche Zeiträume einschränken, die möglicherweise kürzer oder länger als dieser Bereich sind.

  • Gesetzliche Aufbewahrungsfrist – Eine gesetzliche Aufbewahrungsfrist bietet denselben Schutz wie ein Aufbewahrungszeitraum, hat jedoch kein Ablaufdatum. Stattdessen bleibt eine rechtliche Aufbewahrungsfrist gültig, bis Sie diese ausdrücklich entfernen. Gesetzliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig und gelten für einzelne Objektversionen.

Object Lock funktioniert nur in Buckets, für die S3 Versioning aktiviert ist. Wenn Sie eine Objektversion sperren, speichert Amazon S3 die Sperrinformationen in den Metadaten für diese Objektversion. Die Platzierung eines Aufbewahrungszeitraums oder einer rechtlichen Aufbewahrungsfrist für ein Objekt schützt ausschließlich die in der Anforderung angegebene Version. Aufbewahrungszeitraum und gesetzliche Aufbewahrungsfristen verhindern nicht die Erstellung neuer Versionen des Objekts oder das Hinzufügen von Löschmarkierungen zu dem Objekt. Weitere Informationen über S3 Versioning finden Sie unter Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung.

Wenn Sie ein Objekt in einem Bucket platzieren, der bereits ein vorhandenes, geschütztes Objekt mit demselben Objektschlüsselnamen enthält, erstellt Amazon S3 eine neue Version dieses Objekts. Die vorhandene, geschützte Version des Objekts bleibt entsprechend seiner Aufbewahrungskonfiguration gesperrt.

So funktioniert die S3-Objektsperre

Aufbewahrungszeiträume

Ein Aufbewahrungszeitraum schützt eine Objektversion für einen festen Zeitraum. Wenn Sie für eine Objektversion einen Aufbewahrungszeitraum festlegen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzugeben, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden.

Sie können eine Aufbewahrungsfrist explizit für eine einzelne Objektversion oder für die Eigenschaften eines Buckets festlegen, so dass sie automatisch für alle Objekte in dem Bucket gilt. Wenn Sie einen Aufbewahrungszeitraum explizit auf eine Objektversion anwenden, geben Sie ein Retain Until Date (Bis-Aufbewahrungsdatum) für die Objektversion an. Amazon S3 speichert dieses Datum in den Metadaten der Objektversion.

Sie können auch eine Aufbewahrungsfrist in den Eigenschaften eines Buckets festlegen. Wenn Sie eine Aufbewahrungsfrist für einen Bucket festlegen, geben Sie eine Dauer in Tagen oder Jahren an, für die jede im Bucket platzierte Objektversion geschützt werden soll. Wenn Sie ein Objekt in den Bucket legen, berechnet Amazon S3 ein Bis-Aufbewahrungsdatum für die Objektversion, indem es die angegebene Dauer dem Zeitstempel der Erstellung der Objektversion hinzufügt. Die Objektversion wird anschließend so geschützt, als ob Sie für die Objektversion ausdrücklich eine individuelle Sperre mit diesem Aufbewahrungszeitraum angegeben hätten.

Anmerkung

Wenn Sie PUT für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.

Wie alle anderen Einstellungen für die Objektsperre gelten Aufbewahrungszeiträume für einzelne Objektversionen. Für verschiedene Versionen desselben Objekts können verschiedene Aufbewahrungsmodi und -zeiträume gelten.

z. B.: Angenommen, Sie haben ein Objekt, von dessen 30-tägigem Aufbewahrungszeitraum 15 Tage abgelaufen sind, und Sie führen die Aktion PUT für ein Objekt in Amazon S3 mit demselben Namen und einem 60-tägigen Aufbewahrungszeitraum durch. In diesem Fall ist die PUT-Anforderung erfolgreich und Amazon S3 erstellt eine neue Version des Objekts mit einem 60-tägigen Aufbewahrungszeitraum. Die ältere Version behält den ursprünglichen Aufbewahrungszeitraum und kann in 15 Tagen gelöscht werden.

Sie können einen Aufbewahrungszeitraum verlängern, nachdem Sie eine Aufbewahrungseinstellung auf eine Objektversion angewendet haben. Senden Sie dazu eine neue Object-Lock-Anforderung für die Objektversion mit einem Aufbewahren bis-Datum, das später liegt als das derzeit für die Objektversion konfigurierte Datum. Amazon S3 ersetzt die bestehende Aufbewahrungsfrist durch den neuen, längeren Zeitraum. Alle Benutzer, die die Berechtigung zur Festlegung von Aufbewahrungszeiträumen für Objekte besitzen, können Aufbewahrungszeiträume für Objektversionen verlängern. Um Aufbewahrungszeitraum festzulegen, müssen Sie die s3:PutObjectRetention-Berechtigung besitzen.

Wenn Sie einen Aufbewahrungszeitraum für ein Objekt oder einen S3-Bucket festlegen, müssen Sie einen von zwei Aufbewahrungsmodi auswählen: Compliance oder Governance.

Aufbewahrungsmodi

S3 Object Lock bietet zwei Aufbewahrungsmodi mit unterschiedlichen Schutzebenen für Ihre Objekte:

  • Compliance-Modus

  • Governance-Modus

Im Compliance-Modus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden. Dies schließt den Stammbenutzer in Ihrem AWS-Konto ein. Wenn ein Objekt im Compliance-Modus gesperrt wurde, können der Aufbewahrungsmodus nicht geändert und der Aufbewahrungszeitraum nicht verkürzt werden. Der Compliance-Modus stellt sicher, dass eine Objektversion während des Aufbewahrungszeitraums weder überschrieben noch gelöscht werden.

Anmerkung

Die einzige Möglichkeit, ein Objekt im Konformitätsmodus vor Ablauf seines Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige Objekt zu löschen AWS-Konto.

Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder ihre Sperreinstellungen ändern, wenn sie keine speziellen Berechtigungen besitzen. Mit dem Governance-Modus schützen Sie Objekte dagegen, von den meisten Benutzern gelöscht zu werden, Sie können jedoch weiterhin einigen Benutzern die Berechtigung geben, die Aufbewahrungseinstellungen zu ändern oder die Objekte bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für Aufbewahrungszeiträume zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen.

Um Aufbewahrungseinstellungen im Governance-Modus zu überschreiben oder zu entfernen, müssen Sie die Berechtigung s3:BypassGovernanceRetention besitzen und in jede Anfrage, die ein Überschreiben des Governance-Modus erfordert, ausdrücklich x-amz-bypass-governance-retention:true als Anfrage-Header einfügen.

Anmerkung

Die Amazon-S3-Konsole enthält standardmäßig den x-amz-bypass-governance-retention:true-Header. Wenn Sie versuchen, Objekte zu löschen, die durch den Governance-Modus geschützt sind und über die s3:BypassGovernanceRetention-Berechtigung verfügen, verläuft der Vorgang erfolgreich.

Mit Object Lock können Sie auch eine gesetzliche Aufbewahrungsfrist für eine Objektversion festlegen. Wie Aufbewahrungszeiträume verhindern auch rechtliche Aufbewahrungsfristen das Überschreiben oder Löschen von Objektversionen. Mit gesetzlichen Aufbewahrungsfristen sind jedoch keine Aufbewahrungszeiträume verknüpft. Sie sind gültig, bis sie entfernt werden. Alle Benutzer mit der Berechtigung s3:PutObjectLegalHold können rechtliche Aufbewahrungsfristen festlegen und entfernen.

Rechtliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig. Die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion hat keine Auswirkungen auf den Aufbewahrungsmodus oder -zeitraum für die betreffende Objektversion.

Angenommen, Sie setzen eine gesetzliche Aufbewahrungsfrist für eine Objektversion fest, während diese Objektversion gleichzeitig durch einen Aufbewahrungszeitraum geschützt ist. Wenn der Aufbewahrungszeitraum abläuft, verliert das Objekt seinen WORM-Schutz nicht. Stattdessen wird das Objekt durch die gesetzliche Aufbewahrungsfrist weiter geschützt, bis ein autorisierter Benutzer diese ausdrücklich entfernt. Wenn Sie eine rechtliche Aufbewahrungsfrist entfernen, während für eine Objektversion ein Aufbewahrungszeitraum gilt, bleibt die Objektversion geschützt, bis der Aufbewahrungszeitraum abläuft.

Bewährte Methoden für die Verwendung von S3 Object Lock

Ziehen Sie den Governance-Modus in Betracht, wenn Sie verhindern möchten, dass Objekte während eines vordefinierten Aufbewahrungszeitraums von gewöhnlichen Benutzern gelöscht werden, aber gleichzeitig möchten, dass einige Benutzer mit speziellen Berechtigungen die Flexibilität haben, die Aufbewahrungseinstellungen zu ändern oder die Objekte zu löschen.

Ziehen Sie den Compliance-Modus in Betracht, wenn Sie nie möchten, dass irgendein Benutzer, einschließlich des Root-Benutzers in Ihrem AWS-Konto, die Objekte während eines vordefinierten Aufbewahrungszeitraums löschen kann. Sie können diesen Modus verwenden, falls Sie Konformitätsdaten speichern müssen.

Sie können Gesetzliche Aufbewahrungsfrist verwenden, wenn Sie sich nicht sicher sind, wie lange Ihre Objekte nicht verändert werden sollten. Dies kann vorkommen, wenn beispielsweise eine externe Prüfung Ihrer Daten bevorsteht und Sie Ihre Objekte bis zum Abschluss der Prüfung unverändert lassen möchten. Oder wenn in einem laufenden Projekt ein Datensatz verwendet wird, den Sie bis zum Abschluss des Projekts unverändert lassen möchten.

Erforderliche Berechtigungen

Object-Lock-Vorgänge erfordern bestimmte Berechtigungen. Abhängig von dem genauen Vorgang, den Sie versuchen, benötigen Sie möglicherweise eine der folgenden Berechtigungen:

  • s3:BypassGovernanceRetention

  • s3:GetBucketObjectLockConfiguration

  • s3:GetObjectLegalHold

  • s3:GetObjectRetention

  • s3:PutBucketObjectLockConfiguration

  • s3:PutObjectLegalHold

  • s3:PutObjectRetention

Eine vollständige Liste der Berechtigungen für Amazon S3 finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Referenz zur Serviceautorisierung.

Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter Erforderliche Berechtigungen für Amazon-S3-API-Operationen.

Informationen zur Verwendung von Bedingungen mit Berechtigungen finden Sie unter Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln.