Bloqueio de objetos do Amazon S3

É possível usar o bloqueio de objetos do S3 no bucket ou no nível do objeto, e ele pode ser habilitado ao criar um novo bucket ou em buckets existentes. Para usar o Bloqueio de Objetos S3 com um bucket (ou objetos dentro de um bucket), primeiro ative o versionamento do S3 para o bucket. Períodos de retenção e suspensões legais são aplicáveis a versões de objetos individuais. Quando você bloqueia uma versão de objeto, o Amazon S3 armazena as informações de bloqueio nos metadados dessa versão. Aplicar um período de retenção ou suspensão legal em um objeto protege somente a versão especificada na solicitação. Isso não impede que novas versões do objeto sejam criadas nem que marcadores de exclusão sejam colocados sobre as versões do objeto bloqueado. 

A proteção do Bloqueio de objetos do S3 é mantida independentemente da classe de armazenamento em que o objeto reside e durante as transições do ciclo de vida do S3 entre as classes de armazenamento. Usado em conjunto com o versionamento do S3, que protege os objetos de serem substituídos, é possível garantir que os objetos permaneçam imutáveis enquanto a proteção do bloqueio de objetos do S3 estiver aplicada. É possível migrar workloads de sistemas de armazenamento WORM existentes para o Amazon S3 e configurar o bloqueio de objetos do S3 nos níveis de objeto e de bucket para evitar exclusões de versões de objetos antes de datas predefinidas ou datas de retenções legais. 

Você também pode ativar a replicação do S3 em um bucket que tenha o S3 Object Lock ativado para replicar objetos junto com suas configurações de retenção. Durante a replicação dos objetos, se o bucket de origem tiver o bloqueio de objetos do S3 ativado, o bucket de destino também deverá ter o bloqueio de objetos do S3 ativado.

O bloqueio de objetos do S3 disponibiliza duas maneiras de gerenciar a retenção de objetos: períodos de retenção e retenções legais. Com o bloqueio de objetos do S3 habilitado em um bucket, uma versão de objeto pode ter um período de retenção e uma retenção legal, ou um deles, mas não o outro, ou nenhum deles. 

• Período de retenção: especifica um período fixo durante o qual um objeto permanece bloqueado. Durante esse período, o objeto é protegido por WORM e não pode ser substituído ou excluído. Quando você estabelece um período de retenção em uma versão do objeto, o Amazon S3 armazena um carimbo de data/hora nos metadados da versão do objeto para mostrar quando o período de retenção expira. Após o período de retenção expirar, a versão do objeto poderá ser substituída ou excluída, a menos que você também tenha estabelecido uma retenção legal na versão do objeto. Usando uma política de bucket, é possível definir períodos de retenção mínimos e máximos permitidos para um bucket para ajudá-lo a estabelecer uma variedade de períodos de retenção permitidos. Para obter mais informações, consulte períodos de retenção.
• Suspensão legal: oferece a mesma proteção de um período de retenção, mas não tem data de validade. Em vez disso, uma suspensão legal permanece em vigor até que você a remova explicitamente. Suspensões legais são independentes de períodos de retenção. Para obter mais informações, consulte retenções legais.

Os períodos de retenção e os modos de retenção são sempre configurados em conjunto, ao contrário das retenções legais, que são configuradas de forma independente. O bloqueio de objetos do S3 disponibiliza dois modos de retenção que aplicam diferentes níveis de proteção aos objetos. Você pode aplicar qualquer um dos modos de retenção a qualquer versão do objeto protegida pelo Bloqueio de objetos.

• Modo de governança: no modo de governança, os usuários não podem sobrescrever ou excluir uma versão do objeto ou alterar suas configurações de bloqueio, a menos que tenham permissões especiais. Com o modo de governança, você impede que os objetos sejam excluídos pela maioria dos usuários, mas ainda pode conceder permissão a alguns deles para alterar as configurações de retenção ou excluir o objeto, se necessário. Você também pode usar o modo de governança para testar as configurações do período de retenção antes de criar um período de retenção no modo de conformidade.
• Modo de conformidade: no modo de conformidade, uma versão do objeto protegido não pode ser substituída ou excluída por nenhum usuário, incluindo o usuário raiz na sua conta da AWS. Quando um objeto está bloqueado no modo de conformidade, você não pode alterar o modo de retenção e não pode encurtar o período de retenção. O modo de conformidade ajuda a garantir que uma versão de objeto não possa ser substituída ou excluída durante o período de retenção.  O bloqueio de objetos do S3 foi avaliado para a Regra SEC 17a-4(f), a Regra FINRA 4511 e a Norma 1.31 da CFTC pela Cohasset Associates. 

É possível ativar o Bloqueio de Objetos S3 em um bucket para todos os novos objetos com as configurações padrão do Bloqueio de Objetos S3. Para objetos existentes, é possível usar as operações em lote do S3 para aplicar as configurações do Bloqueio de Objetos S3 a bilhões de objetos ao mesmo tempo, especificando um bucket inteiro, prefixo, sufixo, data de criação ou classe de armazenamento. Como alternativa, é possível especificar uma lista de objetos de destino em seu manifesto e enviá-la para o S3 Batch Operations para conclusão.

Como todas as outras configurações do Bloqueio de objetos do S3, períodos de retenção são aplicáveis a versões de objetos individuais. Versões diferentes de um único objeto podem ter modos e períodos de retenção diferentes.

Por exemplo, suponha que você tenha um objeto de 15 dias em um período de retenção de 30 dias e carregue um novo objeto no Amazon S3 com o mesmo nome e um período de retenção de 60 dias. Nesse caso, seu upload é bem-sucedido e o Amazon S3 cria uma nova versão do objeto com um período de retenção de 60 dias. A versão mais antiga mantém seu período de retenção original e pode ser excluída em 15 dias.

Depois de aplicar os períodos de retenção às versões do objeto, é possível estender os períodos de retenção. Para fazer isso, envie uma nova solicitação de Bloqueio de Objetos S3 usando operações em lote do S3 para a versão do objeto com uma data de retenção posterior à atualmente configurada. O Amazon S3 substitui o período de retenção existente pelo novo período mais longo. Saiba mais.

Para dados armazenados no Amazon S3, as práticas comerciais começam com o Versionamento do S3, que permite preservar, recuperar e restaurar todas as versões de cada objeto armazenado em um bucket do Amazon S3. Em seguida, você pode adicionar o Bloqueio de objetos do Amazon S3 para evitar que os dados sejam excluídos ou sobrescritos por um período fixo ou indefinidamente. Para criar cópias adicionais dos seus dados em outra região da AWS para proteção entre várias regiões, é possível ativar a replicação do Amazon S3 em um bucket com o Bloqueio de objetos do S3 ativado. Em seguida, você pode usar a Replicação do S3 com o Versionamento do S3 e o Bloqueio de objetos do S3 para copiar automaticamente os objetos em todas as regiões da AWS e entre contas separadas da AWS. Para usar o Bloqueio de objetos do S3 com objetos existentes ou estender o período de bloqueio em objetos existentes que estão se aproximando da expiração do bloqueio, você pode usar Operações em lote do S3 e Relatórios de inventário do S3. Por último, você pode trazer visibilidade dos seus níveis atuais de proteção de dados e do uso desses recursos em um único painel com a Lente de Armazenamento do Amazon S3.

Para saber mais sobre como você pode proteger seus dados no Amazon S3, acesse o Tutorial de conceitos básicos sobre proteção de dados do S3.