Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo del blocco oggetti S3
Object Lock S3 può impedire che gli oggetti Amazon S3 vengano eliminati o sovrascritti per un determinato periodo di tempo o in modo indefinito. Object Lock utilizza un modello write-once-read-many(WORM) per archiviare oggetti. È possibile utilizzare Object Lock per soddisfare i requisiti normativi che richiedono lo storage WORM o per aggiungere un altro livello di protezione contro le modifiche o l'eliminazione degli oggetti.
Nota
Object Lock S3 è stato valutato da Cohasset Associates per l'utilizzo in ambienti soggetti alle normative SEC 17a-4, CTCC e FINRA. Per ulteriori informazioni su come Object Lock fa riferimento a queste normative, consulta Cohasset Associates Compliance Assessment
Il blocco degli oggetti offre due modi per gestire la conservazione degli oggetti: i periodi di conservazione e i blocchi a fini giudiziari. La versione di un oggetto può avere un periodo di conservazione, un blocco a fini legali o entrambi.
-
Periodo di conservazione: un periodo di conservazione specifica un determinato intervallo di tempo durante il quale un oggetto rimane bloccato. È possibile impostare un periodo di conservazione univoco per singoli oggetti. Inoltre, puoi impostare un periodo di conservazione predefinito su un bucket S3. Puoi anche limitare i periodi di conservazione minimi e massimi consentiti utilizzando la chiave
s3:object-lock-remaining-retention-dayscondition nella policy del bucket. Ciò consente di stabilire un intervallo di periodi di conservazione e di limitare i periodi di conservazione che possono essere più brevi o più lunghi di questo intervallo. -
Blocco a fini legali: un blocco a fini legali offre la stessa protezione di un periodo di conservazione ma non presenta una data di scadenza. pertanto rimane invariato fino a quando non viene rimosso esplicitamente. Le conservazioni legali sono indipendenti dai periodi di conservazione e vengono applicate alle versioni dei singoli oggetti.
Object Lock funziona solo nei bucket con il controllo delle versioni S3 abilitato. Quando si blocca una versione di un oggetto, Amazon S3 archivia le informazioni di blocco nei metadati per quella versione di oggetto. L'inserimento di un periodo di conservazione o di un blocco a fini legali in un oggetto protegge solo la versione specificata nella richiesta. I periodi di conservazione e i blocchi legali non impediscono la creazione di nuove versioni dell'oggetto o l'eliminazione dei marcatori da aggiungere sopra l'oggetto. Per informazioni sulla funzione Controllo delle versioni S3, consulta Utilizzo della funzione Controllo delle versioni nei bucket S3.
Se si inserisce un oggetto in un bucket che contiene già un oggetto protetto esistente con lo stesso nome della chiave dell'oggetto, Amazon S3 crea una nuova versione dell'oggetto. La versione protetta esistente dell'oggetto rimane bloccata in base alla rispettiva configurazione di conservazione.
Come funziona il blocco oggetti S3
Argomenti
Periodi di conservazione
Un periodo di conservazione protegge una versione di un oggetto per un determinato intervallo di tempo. Quando imposti un periodo di conservazione per una versione di un oggetto, Amazon S3 archivia un timestamp nei metadati della versione dell'oggetto per indicare la scadenza del periodo di conservazione. Allo scadere del periodo di conservazione, la versione dell'oggetto può essere sovrascritta o eliminata.
È possibile inserire un periodo di conservazione in modo esplicito sulla versione di un singolo oggetto o sulle proprietà di un bucket in modo che si applichi automaticamente a tutti gli oggetti nel bucket. Quando applichi un periodo di conservazione a una versione di un oggetto in modo esplicito, specifichi una Data di fine conservazione per tale versione. Amazon S3 archivia questa data nei metadati della versione dell'oggetto.
È anche possibile impostare un periodo di conservazione nelle proprietà di un bucket. Quando si imposta un periodo di conservazione su un bucket, si specifica una durata, in giorni o in anni, per la protezione di qualsiasi versione dell'oggetto inserita nel bucket. Quando si inserisce un oggetto nel bucket, Amazon S3 calcola una Data di fine conservazione per la versione dell'oggetto aggiungendo la durata specificata al timestamp di creazione della versione dell'oggetto. La versione dell'oggetto viene quindi protetta esattamente come se fosse stato impostato un singolo blocco con tale periodo di conservazione sulla versione dell'oggetto.
Nota
Quando esegui il PUT di una versione dell'oggetto che dispone di una modalità e un periodo di conservazione individuali espliciti in un bucket, le impostazioni Object Lock individuali della versione dell'oggetto hanno la precedenza su qualsiasi impostazione di conservazione delle proprietà del bucket.
Come tutte le altre impostazioni del blocco degli oggetti, i periodi di conservazione si applicano alle singole versioni degli oggetti. Versioni diverse di un singolo oggetto possono avere modalità e periodi di conservazione diversi.
Ad esempio, supponi di avere un oggetto che è a 15 giorni di un periodo di conservazione di 30 giorni e applichi il comando PUT a un oggetto in Amazon S3 con lo stesso nome e un periodo di conservazione di 60 giorni. In questo caso la richiesta PUT va a buon fine e Amazon S3 crea una nuova versione dell'oggetto con un periodo di conservazione di 60 giorni. Per la versione precedente rimane impostato il periodo di conservazione originale e tale versione può quindi essere eliminata in 15 giorni.
Dopo aver applicato un'impostazione di conservazione a una versione dell'oggetto, è possibile estendere il periodo di conservazione. A tale scopo, invia una nuova richiesta Object Lock per la versione dell'oggetto con una Data di fine conservazione posteriore rispetto a quella attualmente configurata per la versione dell'oggetto. Amazon S3 sostituisce il periodo di conservazione esistente con il nuovo periodo più lungo. Qualsiasi utente con autorizzazioni per impostare un periodo di conservazione per un oggetto può estendere il periodo di conservazione per una versione di un oggetto. Per impostare un periodo di conservazione, è necessaria l'autorizzazione s3:PutObjectRetention.
Quando si imposta un periodo di conservazione su un oggetto o bucket S3, è necessario selezionare una delle due modalità di conservazione: conformità o governance.
Modalità di conservazione
Object Lock S3 fornisce due modalità di conservazione che applicano livelli di protezione diversi agli oggetti:
-
Modalità Conformità
-
Modalità Governance
In modalità conformità, una versione protetta di un oggetto non può essere sovrascritta o eliminata da alcun utente, incluso l'utente root in Account AWS. Quando un oggetto è bloccato in modalità conformità, la relativa modalità di conservazione non può essere modificata e il periodo di conservazione non può essere abbreviato. La modalità conformità garantisce che una versione di un oggetto non possa essere sovrascritta o eliminata per tutta la durata del periodo di conservazione.
Nota
L'unico modo per eliminare un oggetto in modalità di conformità prima della scadenza della data di conservazione è eliminare l'oggetto associato. Account AWS
Nella modalità Governance, gli utenti non possono sovrascrivere o eliminare una versione di un oggetto, né modificare le relative impostazioni di blocco, a meno che non dispongano di autorizzazioni speciali. La modalità governance permette di impedire alla maggior parte degli utenti di eliminare gli oggetti ma, allo stesso tempo, concede ad alcuni utenti l'autorizzazione per modificare le impostazioni di conservazione o per eliminare gli oggetti, se necessario. Puoi usare la modalità governance anche per testare le impostazioni del periodo di conservazione prima di creare un periodo di conservazione in modalità di conformità.
Per sovrascrivere o rimuovere le impostazioni di conservazione in modalità governance, occorre disporre dell'autorizzazione s3:BypassGovernanceRetention e includere in modo esplicito x-amz-bypass-governance-retention:true come un'intestazione della richiesta in qualsiasi richiesta che richieda la sostituzione della modalità governance.
Nota
Per impostazione predefinita, la console Amazon S3 include l'intestazione x-amz-bypass-governance-retention:true. Se si prova a eliminare oggetti protetti dalla modalità governance e che dispongono dell'autorizzazione s3:BypassGovernanceRetention, l'operazione andrà a buon fine.
Blocchi a fini giudiziari
Con Object Lock è possibile inserire anche un blocco a fini legali nella versione di un oggetto. Analogamente a un periodo di conservazione, un blocco a fini giudiziari impedisce che una versione di un oggetto venga sovrascritta o eliminata. Tuttavia, un blocco a fini legali non dispone di un periodo di tempo fisso associato e rimane valido fino a quando non viene rimosso. I blocchi a fini giudiziari possono essere applicati e rimossi liberamente da qualsiasi utente con l'autorizzazione s3:PutObjectLegalHold.
I blocchi a fini giudiziari sono indipendenti dai periodi di conservazione. L'applicazione di un blocco a fini giudiziari a una versione di un oggetto non influisce sulla modalità di conservazione o sul periodo di conservazione per tale versione dell'oggetto.
Ad esempio, supponi di inserire un blocco a fini legali nella versione di un oggetto mentre la versione dell'oggetto è protetta da un periodo di conservazione. Se il periodo di conservazione scade, l'oggetto non perde la protezione WORM. Il blocco a fini legali continua a proteggere l'oggetto fino a quando non viene rimosso in modo esplicito da un utente autorizzato. Analogamente, se rimuovi un blocco a fini giudiziari da una versione di un oggetto per la quale è impostato un periodo di conservazione, la versione dell'oggetto rimane protetta fino alla scadenza del periodo di conservazione.
Le migliori pratiche per l'utilizzo di S3 Object Lock
Prendi in considerazione l'utilizzo della modalità Governance se desideri proteggere gli oggetti dall'eliminazione da parte della maggior parte degli utenti durante un periodo di conservazione predefinito, ma allo stesso tempo desideri che alcuni utenti con autorizzazioni speciali abbiano la flessibilità necessaria per modificare le impostazioni di conservazione o eliminare gli oggetti.
Prendi in considerazione l'utilizzo della modalità Compliance se non desideri che nessun utente, incluso l'utente root del tuo Account AWS, sia in grado di eliminare gli oggetti durante un periodo di conservazione predefinito. È possibile utilizzare questa modalità nel caso in cui sia necessario archiviare dati conformi.
Puoi usare Legal Hold quando non sei sicuro per quanto tempo desideri che i tuoi oggetti rimangano immutabili. Ciò potrebbe essere dovuto al fatto che è imminente un controllo esterno dei dati e desideri mantenere gli oggetti immutabili fino al completamento del controllo. In alternativa, potresti avere un progetto in corso che utilizza un set di dati che desideri mantenere immutabile fino al completamento del progetto.
Autorizzazioni richieste
Le operazioni del blocco degli oggetti richiedono autorizzazioni specifiche. A seconda dell'operazione esatta che si sta tentando di eseguire, potrebbe essere necessaria una delle seguenti autorizzazioni:
-
s3:BypassGovernanceRetention -
s3:GetBucketObjectLockConfiguration -
s3:GetObjectLegalHold -
s3:GetObjectRetention -
s3:PutBucketObjectLockConfiguration -
s3:PutObjectLegalHold -
s3:PutObjectRetention
Per un elenco completo delle autorizzazioni di Amazon S3 con descrizioni, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.
Per informazioni sull'utilizzo delle condizioni con le autorizzazioni, consulta Esempi di chiavi di condizioni di Amazon S3.
