Verwenden der S3-Objektsperre - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der S3-Objektsperre

Mit S3 Object Lock können Sie für einen bestimmten Zeitraum oder auf unbestimmte Zeit verhindern, dass Amazon-S3-Objekte gelöscht oder überschrieben werden. Object Lock verwendet ein write-once-read-many (WORM)-Modell zum Speichern von Objekten. Sie können die Objektsperre verwenden, um regulatorische Anforderungen zu erfüllen, die WORM-Speicher erfordern, oder um eine weitere Schutzebene vor Objektänderungen oder -löschungen hinzuzufügen.

Anmerkung

S3 Object Lock wurde von Cohasset Associates in Bezug auf die Verwendung in Umgebungen bewertet, die den Bestimmungen von SEC 17a-4, CFTC und FINRA unterliegen. Weitere Informationen zu Object Lock im Zusammenhang mit diesen Bestimmungen finden Sie unter Cohasset AssociatesCompliance-Bewertung.

Die Objektsperre stellt zwei Optionen für die Verwaltung der Aufbewahrung von Objekten bereit: Aufbewahrungszeiträume und rechtliche Aufbewahrungsfristen. Für eine Objektversion kann es sowohl einen Aufbewahrungszeitraum als auch eine rechtliche Aufbewahrungsfrist geben oder beides geben.

  • Aufbewahrungszeitraum – Ein Aufbewahrungszeitraum gibt einen festen Zeitraum an, für den ein Objekt gesperrt bleibt. Sie können einen eindeutigen Aufbewahrungszeitraum für einzelne Objekte festlegen. Darüber hinaus können Sie einen Standardaufbewahrungszeitraum für einen S3-Bucket festlegen. Sie können auch die minimal und maximal zulässigen Aufbewahrungszeiträume mit dem s3:object-lock-remaining-retention-days Bedingungsschlüssel in der Bucket-Richtlinie einschränken. Auf diese Weise können Sie einen Aufbewahrungszeitraum festlegen und Aufbewahrungszeiträume einschränken, die kürzer oder länger als dieser Bereich sein können.

  • Gesetzliche Aufbewahrungsfrist – Eine gesetzliche Aufbewahrungsfrist bietet denselben Schutz wie ein Aufbewahrungszeitraum, hat jedoch kein Ablaufdatum. Stattdessen bleibt eine rechtliche Aufbewahrungsfrist gültig, bis Sie diese ausdrücklich entfernen. Rechtliche Aufbewahrungsfristen sind unabhängig von Aufbewahrungszeiträumen und werden auf einzelne Objektversionen angewendet.

Object Lock funktioniert nur in Buckets, für die S3 Versioning aktiviert ist. Wenn Sie eine Objektversion sperren, speichert Amazon S3 die Sperrinformationen in den Metadaten für diese Objektversion. Die Platzierung eines Aufbewahrungszeitraums oder einer rechtlichen Aufbewahrungsfrist für ein Objekt schützt ausschließlich die in der Anforderung angegebene Version. Aufbewahrungszeiträume und rechtliche Aufbewahrungsfristen verhindern nicht, dass neue Versionen des Objekts erstellt oder Löschmarkierungen zusätzlich zum Objekt hinzugefügt werden. Weitere Informationen über S3 Versioning finden Sie unter Verwenden der Versioning in S3-Buckets.

Wenn Sie ein Objekt in einem Bucket platzieren, der bereits ein vorhandenes, geschütztes Objekt mit demselben Objektschlüsselnamen enthält, erstellt Amazon S3 eine neue Version dieses Objekts. Die vorhandene, geschützte Version des Objekts bleibt entsprechend seiner Aufbewahrungskonfiguration gesperrt.

So funktioniert die S3-Objektsperre

Aufbewahrungszeiträume

Ein Aufbewahrungszeitraum schützt eine Objektversion für einen festen Zeitraum. Wenn Sie für eine Objektversion einen Aufbewahrungszeitraum festlegen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzugeben, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden.

Sie können eine Aufbewahrungsfrist explizit für eine einzelne Objektversion oder für die Eigenschaften eines Buckets festlegen, so dass sie automatisch für alle Objekte in dem Bucket gilt. Wenn Sie einen Aufbewahrungszeitraum explizit auf eine Objektversion anwenden, geben Sie ein Retain Until Date (Bis-Aufbewahrungsdatum) für die Objektversion an. Amazon S3 speichert dieses Datum in den Metadaten der Objektversion.

Sie können auch eine Aufbewahrungsfrist in den Eigenschaften eines Buckets festlegen. Wenn Sie eine Aufbewahrungsfrist für einen Bucket festlegen, geben Sie eine Dauer in Tagen oder Jahren an, für die jede im Bucket platzierte Objektversion geschützt werden soll. Wenn Sie ein Objekt in den Bucket legen, berechnet Amazon S3 ein Bis-Aufbewahrungsdatum für die Objektversion, indem es die angegebene Dauer dem Zeitstempel der Erstellung der Objektversion hinzufügt. Die Objektversion wird anschließend so geschützt, als ob Sie für die Objektversion ausdrücklich eine individuelle Sperre mit diesem Aufbewahrungszeitraum angegeben hätten.

Anmerkung

Wenn Sie PUT für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.

Wie alle anderen Einstellungen für die Objektsperre gelten Aufbewahrungszeiträume für einzelne Objektversionen. Für verschiedene Versionen desselben Objekts können verschiedene Aufbewahrungsmodi und -zeiträume gelten.

z. B.: Angenommen, Sie haben ein Objekt, von dessen 30-tägigem Aufbewahrungszeitraum 15 Tage abgelaufen sind, und Sie führen die Aktion PUT für ein Objekt in Amazon S3 mit demselben Namen und einem 60-tägigen Aufbewahrungszeitraum durch. In diesem Fall ist die PUT-Anforderung erfolgreich und Amazon S3 erstellt eine neue Version des Objekts mit einem 60-tägigen Aufbewahrungszeitraum. Die ältere Version behält den ursprünglichen Aufbewahrungszeitraum und kann in 15 Tagen gelöscht werden.

Sie können einen Aufbewahrungszeitraum verlängern, nachdem Sie eine Aufbewahrungseinstellung auf eine Objektversion angewendet haben. Senden Sie dazu eine neue Object-Lock-Anforderung für die Objektversion mit einem Aufbewahren bis-Datum, das später liegt als das derzeit für die Objektversion konfigurierte Datum. Amazon S3 ersetzt die bestehende Aufbewahrungsfrist durch den neuen, längeren Zeitraum. Alle Benutzer, die die Berechtigung zur Festlegung von Aufbewahrungszeiträumen für Objekte besitzen, können Aufbewahrungszeiträume für Objektversionen verlängern. Um Aufbewahrungszeitraum festzulegen, müssen Sie die s3:PutObjectRetention-Berechtigung besitzen.

Wenn Sie einen Aufbewahrungszeitraum für ein Objekt oder einen S3-Bucket festlegen, müssen Sie einen von zwei Aufbewahrungsmodi auswählen: Compliance oder Governance.

Aufbewahrungsmodi

S3 Object Lock bietet zwei Aufbewahrungsmodi mit unterschiedlichen Schutzebenen für Ihre Objekte:

  • Compliance-Modus

  • Governance-Modus

Im Compliance-Modus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden. Dies schließt den Stammbenutzer in Ihrem AWS-Konto ein. Wenn ein Objekt im Compliance-Modus gesperrt wurde, können der Aufbewahrungsmodus nicht geändert und der Aufbewahrungszeitraum nicht verkürzt werden. Der Compliance-Modus stellt sicher, dass eine Objektversion während des Aufbewahrungszeitraums weder überschrieben noch gelöscht werden.

Anmerkung

Die einzige Möglichkeit, ein Objekt im Compliance-Modus vor Ablauf des Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige zu löschen AWS-Konto.

Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder ihre Sperreinstellungen ändern, wenn sie keine speziellen Berechtigungen besitzen. Mit dem Governance-Modus schützen Sie Objekte dagegen, von den meisten Benutzern gelöscht zu werden, Sie können jedoch weiterhin einigen Benutzern die Berechtigung geben, die Aufbewahrungseinstellungen zu ändern oder die Objekte bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für Aufbewahrungszeiträume zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen.

Um Aufbewahrungseinstellungen im Governance-Modus zu überschreiben oder zu entfernen, müssen Sie die Berechtigung s3:BypassGovernanceRetention besitzen und in jede Anfrage, die ein Überschreiben des Governance-Modus erfordert, ausdrücklich x-amz-bypass-governance-retention:true als Anfrage-Header einfügen.

Anmerkung

Die Amazon-S3-Konsole enthält standardmäßig den x-amz-bypass-governance-retention:true-Header. Wenn Sie versuchen, Objekte zu löschen, die durch den Governance-Modus geschützt sind und über die s3:BypassGovernanceRetention-Berechtigung verfügen, verläuft der Vorgang erfolgreich.

Mit Object Lock können Sie auch eine gesetzliche Aufbewahrungsfrist für eine Objektversion festlegen. Wie Aufbewahrungszeiträume verhindern auch rechtliche Aufbewahrungsfristen das Überschreiben oder Löschen von Objektversionen. Mit gesetzlichen Aufbewahrungsfristen sind jedoch keine Aufbewahrungszeiträume verknüpft. Sie sind gültig, bis sie entfernt werden. Alle Benutzer mit der Berechtigung s3:PutObjectLegalHold können rechtliche Aufbewahrungsfristen festlegen und entfernen.

Rechtliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig. Die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion hat keine Auswirkungen auf den Aufbewahrungsmodus oder -zeitraum für die betreffende Objektversion.

Angenommen, Sie setzen eine gesetzliche Aufbewahrungsfrist für eine Objektversion fest, während diese Objektversion gleichzeitig durch einen Aufbewahrungszeitraum geschützt ist. Wenn der Aufbewahrungszeitaum abgläuft, verliert das Objekt seinen WORM-Schutz nicht. Stattdessen wird das Objekt durch die gesetzliche Aufbewahrungsfrist weiter geschützt, bis ein autorisierter Benutzer diese ausdrücklich entfernt. Wenn Sie eine rechtliche Aufbewahrungsfrist entfernen, während für eine Objektversion ein Aufbewahrungszeitraum gilt, bleibt die Objektversion geschützt, bis der Aufbewahrungszreitraum abläuft.

Bewährte Methoden für die Verwendung der S3-Objektsperre

Erwägen Sie die Verwendung des Governance-Modus, wenn Sie Objekte während eines vordefinierten Aufbewahrungszeitraums vor dem Löschen durch die meisten Benutzer schützen möchten, aber gleichzeitig möchten, dass einige Benutzer mit besonderen Berechtigungen die Flexibilität haben, die Aufbewahrungseinstellungen zu ändern oder die Objekte zu löschen.

Erwägen Sie die Verwendung des Compliance-Modus, wenn Sie niemals möchten, dass ein Benutzer, einschließlich des Root-Benutzers in Ihrem AWS-Konto, die Objekte während eines vordefinierten Aufbewahrungszeitraums löschen kann. Sie können diesen Modus verwenden, falls Sie konforme Daten speichern müssen.

Sie können die gesetzliche Aufbewahrungsfrist verwenden, wenn Sie nicht sicher sind, wie lange Ihre Objekte unveränderlich bleiben sollen. Dies könnte daran liegen, dass Sie ein bevorstehendes externes Audit Ihrer Daten haben und Objekte unveränderlich halten möchten, bis das Audit abgeschlossen ist. Alternativ können Sie ein laufendes Projekt haben, das einen Datensatz verwendet, der unveränderlich bleiben soll, bis das Projekt abgeschlossen ist.

Erforderliche Berechtigungen

ObjektsperrenVorgänge erfordern bestimmte Berechtigungen. Abhängig von dem genauen Vorgang, den Sie versuchen, benötigen Sie möglicherweise eine der folgenden Berechtigungen:

  • s3:BypassGovernanceRetention

  • s3:GetBucketObjectLockConfiguration

  • s3:GetObjectLegalHold

  • s3:GetObjectRetention

  • s3:PutBucketObjectLockConfiguration

  • s3:PutObjectLegalHold

  • s3:PutObjectRetention

Eine vollständige Liste der Amazon S3-Berechtigungen mit Beschreibungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service-Autorisierungs-Referenz.

Informationen zur Verwendung von Bedingungen mit Berechtigungen finden Sie unter Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln.