Gestione del blocco oggetti - Amazon Simple Storage Service

Gestione del blocco oggetti

Puoi utilizzare la AWS CLI, gli SDK AWS e le API REST di Amazon S3 per configurare e visualizzare informazioni di blocco, impostare limiti di conservazione, gestire eliminazioni e cicli di vita e altro ancora.

Visualizzare le informazioni di blocco per un oggetto

Puoi visualizzare lo stato del blocco di una versione di un oggetto Amazon S3 utilizzando i comandi GET Object o HEAD Object. Entrambi i comandi restituiscono modalità di conservazione, Retain Until Date e stato dei vincoli di legge per la versione dell'oggetto specificata.

Per visualizzare la modalità e il periodo di conservazione della versione di un oggetto, è necessaria l'autorizzazione s3:GetObjectRetention. Per visualizzare lo stato di blocco per vincoli di legge di un oggetto, è necessaria l'autorizzazione s3:GetObjectLegalHold. Se GET o HEAD la versione di un oggetto ma non hai le autorizzazioni necessarie per visualizzare lo stato del blocco, la richiesta ha esito positivo. Tuttavia, non restituisce le informazioni che non sei autorizzato a visualizzare.

Per visualizzare la configurazione di conservazione predefinita di un bucket, se ne possiede una, richiedi la configurazione del blocco degli oggetti nel bucket. Per farlo, devi disporre dell'autorizzazione s3:GetBucketObjectLockConfiguration. In caso di richiesta della configurazione del blocco degli oggetti in un bucket per il quale il blocco oggetti S3 non è abilitato, Amazon S3 restituisce un errore. Per ulteriori informazioni sulle autorizzazioni, consultare Esempio – Operazioni sugli oggetti.

Puoi configurare i report di inventario Amazon S3 sui bucket in modo che includano Retain Until Date, object lock Mode e Legal Hold Status per tutti gli oggetti del bucket. Per ulteriori informazioni, consulta Inventario Amazon S3.

Bypassare la modalità Governance

Se si dispone dell'autorizzazione s3:BypassGovernanceRetention, è possibile effettuare operazioni su versioni degli oggetti bloccate nella modalità Governance come se non fossero protette. Queste operazioni includono l'eliminazione di una versione dell'oggetto, la riduzione del periodo di conservazione o la rimozione del blocco dell'oggetto tramite l'impostazione di un nuovo blocco con parametri vuoti.

Per bypassare la modalità Governance, è necessario indicare esplicitamente nella richiesta che si desidera bypassare la modalità Governance. Ciò è possibile inserendo l'intestazione x-amz-bypass-governance-retention:true nella richiesta o utilizzando il parametro equivalente nelle richieste effettuate attraverso la AWS CLI o i kit SDK AWS. La AWS Management Console applica automaticamente questa intestazione alle richieste effettuate tramite la console se si dispone dell'autorizzazione necessaria per bypassare la modalità Governance.

Nota

Bypassare la modalità Governance non modifica lo stato dei vincoli di legge della versione di un oggetto. Se alla versione di un oggetto è stato applicato un blocco per vincoli di legge, quest'ultimo rimane in vigore e impedisce le richieste di sovrascrittura o eliminazione di tale versione dell'oggetto.

Configurare eventi e notifiche

Puoi utilizzare la funzionalità di notifica eventi di Amazon S3 per tracciare gli accessi e le modifiche alla configurazione e ai dati del blocco degli oggetti utilizzando AWS CloudTrail. Per informazioni su CloudTrail, consulta la documentazione di AWS CloudTrail.

È inoltre possibile utilizzare Amazon CloudWatch per impostare degli avvisi sulla base di tali dati. Per informazioni su CloudWatch, consulta la documentazione di Amazon CloudWatch.

Impostazione dei limiti di conservazione

È possibile impostare un periodo di conservazione minimo e massimo per un bucket utilizzando una policy di bucket. Per farlo, utilizza la chiave di condizione s3:object-lock-remaining-retention-days. Il periodo massimo di conservazione è 100 anni.

L'esempio seguente mostra una policy di bucket che utilizza la chiave di condizione s3:object-lock-remaining-retention-days per impostare un periodo di conservazione massimo di 10 giorni.

{ "Version": "2012-10-17", "Id": "<SetRetentionLimits", "Statement": [ { "Sid": "<SetRetentionPeriod", "Effect": "Deny", "Principal": "*", "Action": [ "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::<awsexamplebucket1>/*", "Condition": { "NumericGreaterThan": { "s3:object-lock-remaining-retention-days": "10" } } } ] }
Nota

Se il bucket è il bucket di destinazione per una policy di replica e si desidera impostare periodi di conservazione minimo e massimo per le repliche di oggetti creati con la replica, è necessario includere l'operazione s3:ReplicateObject nella policy del bucket.

Per ulteriori informazioni, consultare i seguenti argomenti:

Gestire i contrassegni di eliminazione e i cicli di vita degli oggetti

Anche se non è possibile eliminare una versione protetta di un oggetto, puoi comunque creare un contrassegno di eliminazione per tale oggetto. L’inserimento di un contrassegno di eliminazione su un oggetto non elimina l'oggetto né alcuna sua versione. Tuttavia, fa sì che Amazon S3 si comporti per molti versi come se l'oggetto fosse stato eliminato. Per ulteriori informazioni, consulta Utilizzo dei contrassegni di eliminazione.

Nota

I contrassegni di eliminazione non sono protetti contro i WORM, indipendentemente dal periodo di conservazione o dal blocco per vincoli di legge dell'oggetto a cui si riferiscono.

Le configurazioni di gestione del ciclo di vita di un oggetto continuano a funzionare normalmente sugli oggetti protetti, compresa l'applicazione del contrassegno di eliminazione. Tuttavia, le versioni protette degli oggetti sono più sicure contro l'eliminazione o la sovrascrittura da parte della configurazione del ciclo di vita. Per ulteriori informazioni sulla gestione della configurazione del ciclo di vita di un oggetto, consulta Gestione del ciclo di vita dello storage.

Utilizzo del blocco oggetti S3 con la replica

Puoi utilizzare il blocco oggetti S3 con la replica per abilitare la copia asincrona e automatica di oggetti bloccati e dei relativi metadati di conservazione tra i bucket S3 nelle stesse o in altre Regioni AWS. Quando si utilizza la replica, gli oggetti in un bucket di origine vengono replicati in un bucket di destinazione. Per ulteriori informazioni, consulta Replica di oggetti.

Per impostare il blocco oggetti S3 con la replica, puoi scegliere una delle seguenti opzioni:

Opzione 1: abilitare innanzitutto il blocco oggetti
  1. Abilitare il blocco degli oggetti nel bucket di destinazione o in entrambi i bucket, di origine e di destinazione.

  2. Impostare la replica tra i bucket di origine e di destinazione.

Opzione 2: configurare innanzitutto la replica
  1. Impostare la replica tra i bucket di origine e di destinazione.

  2. Abilitare il blocco degli oggetti solo nel bucket di destinazione o in entrambi i bucket, di origine e di destinazione.

Nelle opzioni precedenti, il blocco degli oggetti deve essere abilitato al momento della creazione del bucket, mentre se si utilizza un bucket esistente è necessario contattare AWS Support. Questo è obbligatorio per assicurarsi che la replica sia configurata correttamente.

Prima di contattare AWS Support, rivedi i seguenti requisiti per l'impostazione del blocco degli oggetti con la replica:

  • È necessario che il blocco degli oggetti sia abilitato sul bucket di destinazione di Amazon S3.

  • È necessario concedere due nuove autorizzazioni sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per impostare la replica. Le due nuove autorizzazioni sono s3:GetObjectRetention e s3:GetObjectLegalHold. Se il ruolo dispone di un'autorizzazione s3:Get*, soddisfa il requisito. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni.

Per ulteriori informazioni sul blocco degli oggetti S3, consulta Come funziona il blocco oggetti S3.