Übersicht
Amazon S3 ist der vertrauenswürdige Primärspeicher für Millionen von Kunden aus der ganzen Welt. Mit einer Datenbeständigkeit von 99,999999999 % (11 Neunen) können Kunden geschäftskritische Daten für praktisch jeden Anwendungsfall speichern und schützen, einschließlich cloudnativer Anwendungen, Data Lake-Analyseausgaben und Mediendateien. Wie bei allen Umgebungen besteht die bewährte Methode darin, ein Backup anzulegen und Sicherheitsvorkehrungen gegen böswilliges oder versehentliches Löschen zu treffen.
S3 Object Lock blockiert die permanente Löschung von Objekten während eines vom Kunden definierten Aufbewahrungszeitraums, damit Sie als zusätzliche Ebene des Datenschutzes oder zur Einhaltung von Vorschriften Aufbewahrungsrichtlinien durchsetzen können. Mit S3 Object Lock wird die S3-Versionsverwaltung automatisch aktiviert, und diese Features arbeiten zusammen, um zu verhindern, dass gesperrte Objektversionen dauerhaft (versehentlich oder absichtlich) gelöscht oder mit einem WORM-Modell (write-once-read-many) überschrieben werden. S3 Object Lock ist der Industriestandard für die Unveränderbarkeit von Objektspeichern zum Schutz vor Ransomware und wird in Cloud-Speicher-, Sicherungs- und Datenschutzlösungen von AWS-Storage-Partnern wie Cohesity, Commvault, Rubrik, Veeam, und Veritas verwendet.
Vorteile
Wie funktioniert S3 Object Lock?
Sie können die S3-Objektsperre auf Bucket- oder Objektebene verwenden und sie kann beim Erstellen eines neuen Buckets oder für vorhandene Buckets aktiviert werden. Um die S3-Objektsperre mit einem Bucket (oder Objekten innerhalb eines Buckets) zu verwenden, müssen Sie zuerst die Versionsverwaltung für den Bucket aktivieren, da Sie die Versionsverwaltung später nicht aktivieren können. Für einzelne Objektversionen gelten Aufbewahrungsfristen und gesetzliche Aufbewahrungsfristen. Wenn Sie eine Objektversion sperren, speichert Amazon S3 die Sperrinformationen in den Metadaten für diese Objektversion. Durch die Festlegung einer Aufbewahrungsfrist oder einer rechtlichen Sperre für ein Objekt wird nur die in der Anfrage angegebene Version geschützt. Es verhindert nicht, dass neue Versionen des Objekts erstellt werden.
Der Schutz durch S3 Object Lock bleibt erhalten, unabhängig davon, in welcher Speicherklasse sich das Objekt befindet. Er bleibt auch während S3-Lebenszyklusübertragungen zwischen Speicherklassen erhalten. In Verbindung mit S3 Versioning, das Objekte vor dem Überschreiben schützt, können Sie sicherstellen, dass Objekte so lange unveränderlich bleiben, wie der S3-Object-Lock-Schutz angewendet wird. Sie können Workloads von bestehenden WORM-Speichersystemen in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebene konfigurieren, um das Löschen von Objektversionen vor vordefinierten Daten oder rechtlichen Sperrdaten zu verhindern.
Sie können die S3-Replikation auch in einem Bucket aktivieren, für den die S3-Objektsperre aktiviert ist, um Objekte zusammen mit ihren Aufbewahrungseinstellungen zu replizieren. Wenn beim Replizieren von Objekten die S3-Objektsperre für den Quell-Bucket aktiviert ist, muss auch für den Ziel-Bucket die S3-Objektsperre aktiviert sein.
Verwaltung der Objektspeicherung mit der S3-Objektsperre
S3 Object Lock bietet zwei Möglichkeiten, die Aufbewahrung von Objekten zu verwalten: Aufbewahrungszeiträume und rechtliche Aufbewahrungen. Wenn S3 Object Lock für einen Bucket aktiviert ist, kann eine Objektversion sowohl einen Aufbewahrungszeitraum als auch eine rechtliche Aufbewahrung haben, das eine, aber nicht das andere, oder keines von beiden.
- Aufbewahrungszeitraum – Gibt einen festen Zeitraum an, während dem ein Objekt gesperrt bleibt. Während dieser Zeit ist Ihr Objekt WORM-geschützt und kann nicht überschrieben oder gelöscht werden. Wenn Sie einer Objektversion einen Aufbewahrungszeitraum zuweisen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzuzeigen, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden, sofern Sie die Objektversion nicht ebenfalls rechtlich sperren. Mithilfe einer Bucket-Richtlinie können Sie Mindest- und Höchstaufbewahrungszeiträume für einen Bucket festlegen, um eine Reihe zulässiger Aufbewahrungszeiträume festzulegen. Weitere Informationen finden Sie unter Aufbewahrungszeiträume.
- Rechtliche Aufbewahrung – Bietet denselben Schutz wie ein Aufbewahrungszeitraum, hat aber kein Ablaufdatum. Stattdessen bleibt eine gesetzliche Aufbewahrungsfrist bestehen, bis Sie sie ausdrücklich entfernen. Gesetzliche Aufbewahrungszeiträume sind unabhängig von Aufbewahrungsfristen. Weitere Informationen finden Sie unter rechtliche Aufbewahrungen.
Aufbewahrungszeiträume und Aufbewahrungsmodi werden immer zusammen konfiguriert, im Gegensatz zu rechtlichen Aufbewahrungen, die unabhängig voneinander konfiguriert werden. S3 Object Lock bietet zwei Aufbewahrungsmodi, die unterschiedliche Schutzstufen auf Ihre Objekte anwenden. Sie können beide Aufbewahrungsmodi auf jede Objektversion anwenden, die durch Object Lock geschützt ist.
- Governance-Modus – Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder deren Sperreinstellungen ändern, es sei denn, sie verfügen über spezielle Berechtigungen. Im Governance-Modus schützen Sie Objekte davor, von den meisten Benutzern gelöscht zu werden, aber Sie können einigen Benutzern dennoch die Erlaubnis erteilen, die Aufbewahrungseinstellungen zu ändern oder das Objekt bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für den Aufbewahrungszeitraum zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen.
- Compliance-Modus – Im Compliance-Modus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden, auch nicht vom Root-Benutzer in Ihrem AWS-Konto. Wenn ein Objekt im Konformitätsmodus gesperrt ist, können Sie den Aufbewahrungsmodus nicht ändern und Sie können den Aufbewahrungszeitraum nicht verkürzen. Der Konformitätsmodus stellt sicher, dass eine Objektversion für die Dauer des Aufbewahrungszeitraums nicht überschrieben oder gelöscht werden kann. S3 Object Lock wurde von Cohasset Associates in Bezug auf SEC-Regel 17a-4(f), FINRA-Regel 4511 und CFTC-Vorschrift 1.31 überprüft.
Skalierbare Verwendung von S3 Object Lock mit S3 Batch Operations
S3 Object Lock kann einfach im Bucket für alle neuen Objekte mit einer Standardsperre aktiviert werden. Für bestehende Objekte können Sie S3 Batch Operations mit S3 Object Lock verwenden, um eine Sperre zu setzen oder eine bestehende Aufbewahrung zu verlängern oder eine legale Sperre für Milliarden von Objekten gleichzeitig zu aktivieren oder aufzuheben. Sie geben die Liste der Zielobjekte in Ihrem Manifest an und senden sie zur Fertigstellung an Batch Operations.
Wie bei allen anderen S3-Object-Lock-Einstellungen gelten Aufbewahrungsfristen für einzelne Objektversionen. Verschiedene Versionen eines einzelnen Objekts können unterschiedliche Aufbewahrungsmodi und Zeiträume haben.
Nehmen wir zum Beispiel an, dass Sie ein Objekt haben, dessen Aufbewahrungsfrist von 30 Tagen bereits 15 Tage abgelaufen ist, und Sie laden ein neues Objekt mit demselben Namen und einer Aufbewahrungsfrist von 60 Tagen in Amazon S3 hoch. In diesem Fall ist Ihr Upload erfolgreich und Amazon S3 erstellt eine neue Version des Objekts mit einer Aufbewahrungsfrist von 60 Tagen. Die ältere Version behält ihre ursprüngliche Aufbewahrungsfrist bei und kann nach 15 Tagen gelöscht werden.
Sie können einen Aufbewahrungszeitraum verlängern, nachdem Sie eine Aufbewahrungseinstellung auf eine Objektversion angewendet haben. Senden Sie dazu mithilfe von S3 Batch Operations eine neue Sperranforderung für die Objektversion mit einem Aufbewahrungsdatum, das nach dem aktuell für die Objektversion konfigurierten Datum liegt. Amazon S3 ersetzt den bestehenden Aufbewahrungszeitraum durch den neuen, längeren Zeitraum. Weitere Informationen.
Partner
Beginnen Sie mit S3 für den Datenschutz
Für in Amazon S3 gespeicherte Daten beginnen die bewährten Methoden mit der Amazon-S3-Versionsverwaltung, mit der Sie jede Version jedes in einem Amazon-S3-Bucket gespeicherten Objekts aufbewahren, abrufen und wiederherstellen können. Anschließend können Sie Amazon S3 Object Lock hinzufügen, um zu verhindern, dass Daten für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Um zusätzliche Kopien Ihrer Daten in einer anderen AWS-Region für den Schutz mehrerer Regionen zu erstellen, können Sie die Amazon-S3-Replikation in einem Bucket mit aktivierter S3 Object Lock aktivieren. Anschließend können Sie die S3-Replikation sowohl mit der S3-Versionsverwaltung als auch mit der S3-Objektsperre verwenden, um Objekte automatisch zwischen AWS-Regionen und separaten AWS-Konten zu kopieren. Um S3 Object Lock mit vorhandenen Objekten zu verwenden oder den Sperrzeitraum für bestehende Objekte zu verlängern, die kurz vor dem Ablauf der Sperre stehen, können Sie S3 Batch Operations und S3 Inventory Reports verwenden. Schließlich können Sie mit Amazon S3 Storage Lens Ihre aktuellen Datenschutzstufen und die Nutzung dieser Features in einem einzigen Dashboard einsehen.
Weitere Informationen darüber, wie Sie Ihre Daten in Amazon S3 schützen können, finden Sie im Tutorial für Erste Schritte zum Datenschutz in S3.