Amazon S3 Object Lock

Sie können S3 Object Lock auf Bucket- oder Objektebene verwenden. Zudem kann sie beim Erstellen eines neuen Buckets oder für vorhandene Buckets aktiviert werden. Um S3 Object Lock mit einem Bucket (oder Objekten innerhalb eines Buckets) zu verwenden, müssen Sie zuerst die S3-Versionsverwaltung für den Bucket aktivieren. Für einzelne Objektversionen gelten Aufbewahrungsfristen und gesetzliche Sperrfristen. Wenn Sie eine Objektversion sperren, speichert Amazon S3 die Sperrinformationen in den Metadaten für diese Objektversion. Durch die Festlegung einer Aufbewahrungsfrist oder einer gesetzlichen Sperrfrist für ein Objekt wird nur die im Antrag angegebene Version geschützt. Sie verhindert nicht, dass neue Versionen des Objekts erstellt oder Löschmarkierungen über die gesperrten Objektversionen gelegt werden. 

Der S3-Object-Lock-Schutz wird unabhängig von der Speicherklasse, in der sich das Objekt befindet, und während der Übergänge zwischen den Speicherklassen im S3-Lebenszyklus beibehalten. In Verbindung mit S3 Versioning, das Objekte vor dem Überschreiben schützt, können Sie sicherstellen, dass Objekte so lange unveränderlich bleiben, wie der S3-Object-Lock-Schutz angewendet wird. Sie können Workloads von bestehenden WORM-Speichersystemen in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebene konfigurieren, um das Löschen von Objektversionen vor vordefinierten Daten oder rechtlichen Sperrdaten zu verhindern. 

Sie können die S3-Replikation auch in einem Bucket aktivieren, für den die S3-Objektsperre aktiviert ist, um Objekte zusammen mit ihren Aufbewahrungseinstellungen zu replizieren. Wenn beim Replizieren von Objekten die S3-Objektsperre für den Quell-Bucket aktiviert ist, muss auch für den Ziel-Bucket die S3-Objektsperre aktiviert sein.

S3 Object Lock bietet zwei Möglichkeiten, die Aufbewahrung von Objekten zu verwalten: Aufbewahrungsfristen und gesetzliche Aufbewahrungsfristen. Wenn die S3-Objektsperre für einen Bucket aktiviert ist, kann eine Objektversion sowohl eine Aufbewahrungsfrist als auch eine gesetzliche Aufbewahrungsfrist haben, das eine, aber nicht das andere, oder keines von beiden. 

• Aufbewahrungszeitraum – Gibt einen festen Zeitraum an, während dem ein Objekt gesperrt bleibt. Während dieser Zeit ist Ihr Objekt WORM-geschützt und kann nicht überschrieben oder gelöscht werden. Wenn Sie einer Objektversion einen Aufbewahrungszeitraum zuweisen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzuzeigen, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden, sofern Sie die Objektversion nicht ebenfalls rechtlich sperren. Mithilfe einer Bucket-Richtlinie können Sie Mindest- und Höchstaufbewahrungszeiträume für einen Bucket festlegen, um eine Reihe zulässiger Aufbewahrungszeiträume festzulegen. Weitere Informationen finden Sie unter Aufbewahrungszeiträume.
• Gesetzlicher Aufbewahrungszeitraum - Bietet denselben Schutz wie eine Aufbewahrungsfrist, hat aber kein Ablaufdatum. Stattdessen bleibt eine gesetzliche Aufbewahrungsfrist bestehen, bis Sie sie ausdrücklich entfernen. Gesetzliche Aufbewahrungszeiträume sind unabhängig von Aufbewahrungsfristen. Weitere Informationen finden Sie unter Aufbewahrungsfristen.

Aufbewahrungsfristen und Aufbewahrungsmodi werden immer zusammen konfiguriert, im Gegensatz zu gesetzlichen Aufbewahrungsfristen, die unabhängig voneinander konfiguriert werden. S3 Object Lock bietet zwei Aufbewahrungsmodi, die unterschiedliche Schutzstufen auf Ihre Objekte anwenden. Sie können beide Aufbewahrungsmodi auf jede Objektversion anwenden, die durch Object Lock geschützt ist.

• Governance-Modus – Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder deren Sperreinstellungen ändern, es sei denn, sie verfügen über spezielle Berechtigungen. Im Governance-Modus schützen Sie Objekte davor, von den meisten Benutzern gelöscht zu werden, aber Sie können einigen Benutzern dennoch die Erlaubnis erteilen, die Aufbewahrungseinstellungen zu ändern oder das Objekt bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für den Aufbewahrungszeitraum zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen.
• Konformitätsmodus – Im Konformitätsmodus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden, auch nicht vom Root-Benutzer in Ihrem AWS-Konto. Wenn ein Objekt im Konformitätsmodus gesperrt ist, können Sie den Aufbewahrungsmodus nicht ändern und Sie können den Aufbewahrungszeitraum nicht verkürzen. Der Konformitätsmodus stellt sicher, dass eine Objektversion für die Dauer des Aufbewahrungszeitraums nicht überschrieben oder gelöscht werden kann.  S3 Object Lock wurde von Cohasset Associates in Bezug auf SEC-Regel 17a-4(f), FINRA-Regel 4511 und CFTC-Vorschrift 1.31 überprüft. 

Sie können S3 Object Lock für einen Bucket für alle neuen Objekte mit den Standardeinstellungen von S3 Object Lock aktivieren. Für vorhandene Objekte können Sie S3 Batch Operations verwenden, um S3-Object-Lock-Einstellungen auf Milliarden von Objekten gleichzeitig anzuwenden, indem Sie einen ganzen Bucket, ein Präfix, ein Suffix, ein Erstellungsdatum oder eine Speicherklasse angeben. Alternativ können Sie eine Liste von Zielobjekten in Ihrem Manifest angeben und sie zur Fertigstellung an S3 Batch Operations senden.

Wie bei allen anderen S3-Object-Lock-Einstellungen gelten Aufbewahrungsfristen für einzelne Objektversionen. Verschiedene Versionen eines einzelnen Objekts können unterschiedliche Aufbewahrungsmodi und Zeiträume haben.

Nehmen wir zum Beispiel an, dass Sie ein Objekt haben, dessen Aufbewahrungsfrist von 30 Tagen bereits 15 Tage abgelaufen ist, und Sie laden ein neues Objekt mit demselben Namen und einer Aufbewahrungsfrist von 60 Tagen in Amazon S3 hoch. In diesem Fall ist Ihr Upload erfolgreich und Amazon S3 erstellt eine neue Version des Objekts mit einer Aufbewahrungsfrist von 60 Tagen. Die ältere Version behält ihre ursprüngliche Aufbewahrungsfrist bei und kann nach 15 Tagen gelöscht werden.

Nachdem Sie Aufbewahrungsfristen auf Objektversionen angewendet haben, können Sie die Aufbewahrungsfristen verlängern. Dazu übermitteln Sie eine neue S3-Object-Lock-Anfrage unter Verwendung von S3 Batch Operations für die Objektversion mit einem Aufbewahrungsort, das nach dem aktuell konfigurierten liegt. Amazon S3 ersetzt den bestehenden Aufbewahrungszeitraum durch den neuen, längeren Zeitraum. Erfahren Sie mehr.

Für in Amazon S3 gespeicherte Daten beginnen die bewährten Methoden mit der Amazon-S3-Versionsverwaltung, mit der Sie jede Version jedes in einem Amazon-S3-Bucket gespeicherten Objekts aufbewahren, abrufen und wiederherstellen können. Anschließend können Sie die Amazon-S3-Objektsperre hinzufügen, um zu verhindern, dass Daten für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Um zusätzliche Kopien Ihrer Daten in einer anderen AWS-Region für den Schutz mehrerer Regionen zu erstellen, können Sie die Amazon-S3-Replikation in einem Bucket mit aktivierter S3-Objektsperre aktivieren. Anschließend können Sie die S3-Replikation sowohl mit der S3-Versionsverwaltung als auch mit der S3-Objektsperre verwenden, um Objekte automatisch zwischen AWS-Regionen und separaten AWS-Konten zu kopieren. Um S3 Object Lock mit vorhandenen Objekten zu verwenden oder den Sperrzeitraum für bestehende Objekte zu verlängern, die kurz vor dem Ablauf der Sperre stehen, können Sie S3 Batch Operations und S3 Inventory Reports verwenden. Schließlich können Sie mit Amazon S3 Storage Lens Ihre aktuellen Datenschutzstufen und die Nutzung dieser Funktionen in einem einzigen Dashboard einsehen.

Weitere Informationen darüber, wie Sie Ihre Daten auf Amazon S3 schützen können, finden Sie im Tutorial für Erste Schritte zum Datenschutz in S3.