Considerazioni su Object Lock

Amazon S3 Object Lock può impedire che gli oggetti vengano eliminati o sovrascritti per un determinato periodo di tempo o in modo indefinito.

Puoi utilizzare la console Amazon S3, AWS Command Line Interface (AWS CLI), gli AWS SDK o l'API REST di Amazon S3 per visualizzare o impostare le informazioni di Object Lock. Per informazioni generali sulle funzionalità S3 Object Lock, consulta Utilizzo del blocco oggetti S3.

Importante

• Dopo aver abilitato Object Lock su un bucket, non è possibile disabilitare Object Lock o sospendere il controllo delle versioni per tale bucket.

• I bucket S3 con Object Lock non possono essere utilizzati come bucket di destinazione per i log di accesso al server. Per ulteriori informazioni, consulta Registrazione delle richieste con registrazione dell'accesso al server.

Autorizzazioni per la visualizzazione di informazioni di blocco

È possibile visualizzare in modo programmatico lo stato Object Lock della versione di un oggetto Amazon S3 mediante le operazioni HeadObject o GetObject. Entrambe le operazioni restituiscono la modalità di conservazione, la data di fine conservazione e lo stato del blocco a fini legali per la versione dell'oggetto specificata. Inoltre, puoi visualizzare lo stato di Object Lock per più oggetti nel tuo bucket S3 utilizzando S3 Inventory.

Per visualizzare la modalità e il periodo di conservazione della versione di un oggetto, è necessaria l'autorizzazione s3:GetObjectRetention. Per visualizzare lo stato di blocco per vincoli di legge di un oggetto, è necessaria l'autorizzazione s3:GetObjectLegalHold. Per visualizzare la configurazione di conservazione predefinita di un bucket, occorre disporre dell'autorizzazione s3:GetBucketObjectLockConfiguration. Se si esegue una richiesta per una configurazione Object Lock su un bucket che non dispone di S3 Object Lock abilitato, Amazon S3 restituisce un errore.

Bypassare la modalità Governance

Se si dispone dell'autorizzazione s3:BypassGovernanceRetention, è possibile eseguire operazioni su versioni degli oggetti bloccate nella modalità governance come se non fossero protette. Queste operazioni includono l'eliminazione di una versione dell'oggetto, la riduzione del periodo di conservazione o la rimozione del periodo di conservazione di Object Lock tramite l'inserimento di una nuova richiesta PutObjectRetention con parametri vuoti.

Per bypassare la modalità Governance, è necessario indicare esplicitamente nella richiesta che si desidera bypassare la modalità Governance. A tale scopo, includi l'x-amz-bypass-governance-retention:trueintestazione nella richiesta di operazione PutObjectRetention API o utilizza il parametro equivalente con le richieste effettuate tramite o SDK. AWS CLI AWS La console S3 applica automaticamente questa intestazione alle richieste effettuate tramite la console S3 se si dispone dell'autorizzazione s3:BypassGovernanceRetention.

Nota

Bypassare la modalità Governance non modifica lo stato dei vincoli di legge della versione di un oggetto. Se nella versione di un oggetto è abilitato un blocco a fini legali, questo rimane in vigore e impedisce richieste di sovrascrittura o eliminazione della versione dell'oggetto.

Utilizzo di Object Lock con la replica S3

È possibile utilizzare Object Lock con la replica S3 per abilitare la copia asincrona e automatica di oggetti bloccati e dei relativi metadati di conservazione tra i bucket S3. Ciò significa che per gli oggetti replicati, Amazon S3 utilizza la configurazione di blocco degli oggetti del bucket di origine. In altre parole, se il bucket di origine ha Object Lock abilitato, anche i bucket di destinazione devono avere Object Lock abilitato. Se un oggetto viene caricato direttamente nel bucket di destinazione (al di fuori di S3 Replication), richiede l'Object Lock impostato sul bucket di destinazione. Quando si utilizza la replica, gli oggetti in un bucket di origine vengono replicati in uno o più bucket di destinazione.

Per configurare la replica su un bucket con Object Lock abilitato, puoi utilizzare la console S3, l'API REST di Amazon AWS CLI S3 o gli SDK. AWS

Nota

Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) che usi per configurare la replica. Le due nuove autorizzazioni aggiuntive sono s3:GetObjectRetention e s3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzazione s3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni.

Per informazioni generali sulla replica S3, consulta Replica di oggetti.

Per esempi di configurazione della replica S3, consulta Procedure dettagliate: esempi di configurazione della replica.

Utilizzo di Object Lock con Inventario Amazon S3

È possibile configurare Inventario Amazon S3 per creare elenchi degli oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare Inventario Amazon S3 per includere i seguenti metadati Object Lock per gli oggetti:

• La data di fine conservazione

• La modalità di conservazione

• Lo stato di blocco a fini legali

Per ulteriori informazioni, consulta Amazon S3 Inventory.

Gestione delle policy del ciclo di vita di S3 con Object Lock

Le configurazioni di gestione del ciclo di vita di un oggetto continuano a funzionare normalmente sugli oggetti protetti, compresa l'applicazione del contrassegno di eliminazione. Tuttavia, una versione bloccata di un oggetto non può essere eliminata da una politica di scadenza di S3 Lifecycle. Object Lock viene mantenuto indipendentemente dalla classe di storage in cui risiede l'oggetto e durante le transizioni del ciclo di vita di S3 tra le classi di storage.

Per ulteriori informazioni sulla gestione della configurazione del ciclo di vita di un oggetto, consulta Gestione del ciclo di vita dello storage.

Gestione dei marker di eliminazione con Object Lock

Anche se non è possibile eliminare una versione protetta di un oggetto, puoi comunque creare un contrassegno di eliminazione per tale oggetto. L’inserimento di un contrassegno di eliminazione su un oggetto non elimina l'oggetto né alcuna sua versione. Tuttavia, fa sì che Amazon S3 si comporti per molti versi come se l'oggetto fosse stato eliminato. Per ulteriori informazioni, consulta Utilizzo dei contrassegni di eliminazione.

Nota

I contrassegni di eliminazione non sono protetti contro i WORM, indipendentemente dal periodo di conservazione o dal blocco per vincoli di legge dell'oggetto a cui si riferiscono.

Utilizzo di S3 Storage Lens con Object Lock

Per visualizzare i parametri relativi ai byte di archiviazione abilitati per il blocco e il conteggio degli oggetti, puoi utilizzare Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti.

Per ulteriori informazioni, consulta Utilizzo di S3 Storage Lens per proteggere i tuoi dati.

Per un elenco completo di parametri, consulta Glossario dei parametri di Amazon S3 Storage Lens.

Caricamento di oggetti in un bucket abilitato a Object Lock

L'Content-MD5intestazione è necessaria per qualsiasi richiesta di caricamento di un oggetto con un periodo di conservazione configurato utilizzando Object Lock. Il digest MD5 è un modo per verificare l'integrità dell'oggetto dopo averlo caricato in un bucket. Dopo aver caricato l'oggetto, Amazon S3 calcola il digest MD5 dell'oggetto e lo confronta con il valore fornito. La richiesta ha esito positivo solo se i due digest corrispondono. La console S3 aggiunge automaticamente questa intestazione, tuttavia è necessario specificare questa intestazione quando si utilizza l'API. PutObject

Per ulteriori informazioni, consulta Utilizzo di Content-MD5 durante il caricamento di oggetti.

Configurare eventi e notifiche

Puoi utilizzare Amazon S3 Event Notifications per tenere traccia degli accessi e delle modifiche alle configurazioni e ai dati di Object Lock utilizzando. AWS CloudTrail Per informazioni su CloudTrail, consulta What is? AWS CloudTrail nella Guida AWS CloudTrail per l'utente.

Puoi anche utilizzare Amazon CloudWatch per generare avvisi basati su questi dati. Per informazioni su CloudWatch, consulta What is Amazon CloudWatch? nella Amazon CloudWatch User Guide.

Impostazione di limiti su periodi di conservazione con una policy di bucket

Puoi impostare periodi di conservazione minimo e massimo per un bucket mediante una policy di bucket. Il periodo massimo di conservazione è 100 anni.

L'esempio seguente mostra una policy di bucket che utilizza la chiave di condizione s3:object-lock-remaining-retention-days per impostare un periodo di conservazione massimo di 10 giorni.

{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}

Nota

Se il bucket è quello di destinazione per una configurazione di replica, puoi impostare i periodi di conservazione minimo e massimo per le repliche di oggetti creati mediante la replica. A questo scopo, occorre consentire l'operazione s3:ReplicateObject nella policy di bucket. Per ulteriori informazioni sulle autorizzazioni di replica, consulta Impostazione delle autorizzazioni.

Per ulteriori informazioni sulle policy di bucket, consulta gli argomenti indicati di seguito:

• Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference

• Operazioni sugli oggetti

• Esempi di chiavi di condizioni di Amazon S3