Administración de S3 Object Lock - Amazon Simple Storage Service

Administración de S3 Object Lock

Puede utilizar la AWS CLI, los SDK de AWS y las API REST de Amazon S3 para configurar y ver información de bloqueo, establecer límites de retención, administrar eliminaciones y ciclos de vida, y más.

Consultar información de bloqueo de un objeto

Puede ver el estado de bloqueo de objetos de una versión del objeto de Amazon S3 con los comandos GET Object o HEAD Object. Ambos comandos devuelven el modo de retención, Retain Until Date y el estado de la retención legal de la versión del objeto especificada.

A fin de ver el periodo de retención y el modo de retención de la versión del objeto, debe tener el permiso s3:GetObjectRetention. A fin de ver el estado de la retención legal de la versión del objeto, debe tener el permiso s3:GetObjectLegalHold. Si usa los comandos GET o HEAD para una versión del objeto pero no tiene los permisos necesarios para ver su estado de bloqueo, la solicitud se considerará correcta. Sin embargo, no devolverá aquella información para cuya visualización no tenga permiso.

Para ver la configuración de retención predeterminada del bucket (si tiene una), solicite la configuración de bloqueo de objetos del bucket. Para ello, debe tener el permiso s3:GetBucketObjectLockConfiguration. Si realiza una solicitud para ver la configuración de bloqueo de objetos en un bucket que no tiene activado Bloqueo de objetos de S3, Amazon S3 devuelve un error. Para obtener más información sobre los permisos, consulte Ejemplo: operaciones con objetos.

Puede configurar informes de Amazon S3 Inventory sobre los buckets para incluir Retain Until Date, object lock Mode y Legal Hold Status en todos los objetos de un bucket. Para obtener más información, consulte Inventario de Amazon S3.

Omitir el modo de gobierno

Si tiene el permiso s3:BypassGovernanceRetention puede realizar operaciones en versiones de objetos bloqueados en modo Gobierno como si no estuvieran protegidos. Estas operaciones incluyen eliminar una versión del objeto, acortar el periodo de retención o eliminar el bloqueo del objeto colocando un nuevo bloqueo con parámetros vacíos.

Para omitir el modo Gobierno, debe indicar explícitamente en la solicitud que desea omitir este modo. Para ello, incluya el encabezado x-amz-bypass-governance-retention:true en la solicitud o utilice el parámetro equivalente en las solicitudes realizadas por medio de la AWS CLI o los SDK de AWS. La AWS Management Console aplica automáticamente este encabezado a las solicitudes realizadas a través de la consola si usted tiene el permiso necesario para omitir el modo Gobierno.

nota

Omitir el modo Gobierno no afecta al estado de retención legal de la versión del objeto. Si una versión de un objeto tiene habilitada una retención legal, esta sigue vigente e impide solicitudes de sobrescribir o eliminar la versión del objeto.

Configurar eventos y notificaciones

Puede utilizar las notificaciones de eventos de Amazon S3 para realizar un seguimiento del acceso a los datos y las configuraciones del bloqueo de objetos y los cambios que sufren mediante AWS CloudTrail. Para obtener más información acerca de CloudTrail, consulte la documentación de AWS CloudTrail.

También puede utilizar Amazon CloudWatch para generar alertas según estos datos. Para obtener más información sobre CloudWatch, consulte la documentación de Amazon CloudWatch.

Configurar límites de retención

Puede establecer los períodos de retención mínimos y máximos permitidos para un bucket con una política de bucket. Para ello utilice la clave de condición s3:object-lock-remaining-retention-days. El período máximo de retención es de 100 años.

En el siguiente ejemplo se muestra una política de bucket que utiliza la clave de condición s3:object-lock-remaining-retention-days para establecer un periodo de retención máximo de 10 días.

{ "Version": "2012-10-17", "Id": "<SetRetentionLimits", "Statement": [ { "Sid": "<SetRetentionPeriod", "Effect": "Deny", "Principal": "*", "Action": [ "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::<awsexamplebucket1>/*", "Condition": { "NumericGreaterThan": { "s3:object-lock-remaining-retention-days": "10" } } } ] }
nota

Si el bucket es el bucket de destino para una política de replicación y desea configurar períodos de retención mínimos y máximos admisibles para réplicas de objeto que se crean utilizando la replicación, debe incluir la acción s3:ReplicateObject en su política de bucket.

Para obtener más información, consulte los siguientes temas:

Administrar marcadores de eliminación y ciclos de vida de los objetos

Aunque no puede eliminar una versión de objeto protegida, puede crear un marcador de eliminación para ese objeto. Cuando se coloca un marcador de eliminación en un objeto, el objeto no se elimina ni tampoco ninguna versión de este. Sin embargo, hace que Amazon S3 se comporte de muchas de las maneras que lo haría si el objeto se hubiese eliminado. Para obtener más información, consulte Trabajar con marcadores de eliminación.

nota

Los marcadores de eliminación no tienen protección WORM, independientemente del periodo de retención o retención legal que se haya aplicado al objeto subyacente.

Las configuraciones de administración del ciclo de vida del objeto continúan funcionando normalmente en objetos protegidos, incluida la colocación de marcadores de eliminación. Sin embargo, las versiones de los objetos protegidos permanecen a salvo de eliminación o sobrescritura gracias a una configuración de ciclo de vida. Para obtener más información acerca de la administración de ciclos de vida de los objetos, consulte Administración del ciclo de vida del almacenamiento.

Uso de Bloqueo de objetos de S3 con la replicación

Puede utilizar el bloqueo de objetos de S3 con la reproducción para permitir copias asíncronas y automáticas de objetos bloqueados y sus metadatos de retención en los buckets de S3 de las mismas o de diferentes Regiones de AWS. Cuando utiliza la replicación, los objetos de un bucket de origen se replican en un bucket de destino. Para obtener más información, consulte Replicación de objetos.

Para configurar Bloqueo de objetos de S3 con la replicación, puede elegir una de las siguientes opciones.

Opción 1: habilitar primero Bloqueo de objetos

  1. Habilite Bloqueo de objetos en el bucket de destino o en el de origen y en el de destino.

  2. Configure la replicación entre los buckets de origen y de destino.

Opción 2: configurar primero la replicación

  1. Configure la replicación entre los buckets de origen y de destino.

  2. Habilite Bloqueo de objetos solo en el bucket de destino o en el de origen y en el de destino.

Cuando habilita el bloqueo de objetos en las opciones anteriores, esto debe hacerse en el momento de la creación del bucket o debe contactarse con AWS Support si utiliza un bucket existente. Este proceso se requiere para garantizar que la replicación se configure correctamente.

Antes de contactar con AWS Support, revise los siguientes requisitos para configurar el bloqueo de objetos con la reproducción:

  • El bucket de Amazon S3 de destino debe tener la opción de Bloqueo de objetos activada.

  • Tiene que conceder dos nuevos permisos en el bucket de S3 de origen del rol de AWS Identity and Access Management (IAM) que utiliza para configurar la reproducción. Los dos nuevos permisos son s3:GetObjectRetention y s3:GetObjectLegalHold. Si el rol tiene un permiso de s3:Get*, cumple el requisito. Para obtener más información, consulte Configuración de permisos.

Para obtener más información acerca de S3 Object Lock, consulte Cómo funciona S3 Object Lock.