Présentation
Amazon S3 est le moyen de stockage principal de confiance pour des millions de clients du monde entier. Avec une durabilité des données de 99,999999999 % (11 9), les clients peuvent stocker et protéger les données critiques de leur entreprise pour pratiquement tous les cas d'utilisation, y compris les applications natives cloud, les résultats d'analyse des lacs de données et les fichiers multimédia. Comme pour n'importe quel type de données, la bonne pratique en vigueur est de conserver une sauvegarde et de mettre en place des protections contre les suppressions accidentelles ou malveillantes.
Amazon S3 Object Lock bloque la suppression définitive de l'objet pendant une période de rétention définie par le client afin que vous puissiez appliquer des politiques de rétention en tant que couche supplémentaire de protection des données ou à des fins de conformité réglementaire. Avec S3 Object Lock, la gestion des versions de S3 est automatiquement activé, et ces fonctionnalités fonctionnent ensemble pour empêcher que les versions d'objets verrouillées ne soient définitivement supprimées (accidentellement ou intentionnellement) ou remplacées à l'aide d'un modèle WORM (write-once-read-many). S3 Object Lock est la norme industrielle en matière d'immuabilité du stockage d'objets pour la protection contre les rançongiciels. Il est utilisé dans les solutions de stockage, de sauvegarde et de protection des données dans le cloud par les partenaires d'AWS Storage tels que Cohesity, Commvault, Rubrik, Veeam et Veritas.
Avantages
Comment fonctionne le verrouillage d’objet S3 ?
Vous pouvez utiliser S3 Object Lock au niveau du compartiment ou de l'objet et vous devez l'activer lors de la création d'un nouveau compartiment ou sur des compartiments existants. Pour utiliser S3 Object Lock avec un compartiment (ou des objets au sein d'un compartiment), vous devez d'abord activer la gestion des versions pour le compartiment, car vous ne pourrez pas activer la gestion des versions ultérieurement. Les périodes de rétention et les conservations légales s'appliquent aux versions individuelles des objets. Lorsque vous verrouillez une version d'objet, Amazon S3 stocke les informations de verrouillage dans les métadonnées de cette version d'objet. L'attribution d'une période de rétention ou d'une conservation légale à un objet protège uniquement la version spécifiée dans la demande. Cela n'empêche pas la création de nouvelles versions de l'objet.
La protection S3 Object Lock est conservée quelle que soit la classe de stockage de l'objet lors des transitions de cycle de vie S3 entre les classes de stockage. En l'utilisant avec la gestion des versions S3 qui empêche les objets d'être écrasés, vous pouvez vous assurer que les objets restent immuables tant que la protection S3 Object Lock est appliquée. Vous pouvez migrer des charges de travail depuis des systèmes de stockage WORM existants vers Amazon S3 et configurer S3 Object Lock aux niveaux de l'objet et du compartiment pour empêcher les suppressions de versions d'objets avant une date prédéfinie ou une date de conservation légale.
Vous pouvez également activer la réplication S3 sur un compartiment sur lequel S3 Object Lock est activé pour répliquer des objets ainsi que leurs paramètres de rétention. Lors de la réplication d'objets, si le verrouillage d’objet S3 est activé dans le compartiment source, le verrouillage d’objet S3 doit également être activé dans le compartiment de destination.
Gestion de la conservation des objets avec S3 Object Lock
S3 Object Lock propose deux méthodes pour gérer la conservation des objets : les périodes de conservation et les blocages légaux. Lorsque S3 Object Lock est activé sur un compartiment, Une version d'objet peut comporter à la fois une période de conservation et une suspension légale, l'une mais pas l'autre, ou aucune des deux.
- Période de conservation : spécifie une période fixe pendant laquelle un objet reste verrouillé. Pendant cette période, votre objet est soumis à une protection WORM et ne peut être ni écrasé ni supprimé. Lorsque vous attribuez une période de conservation à une version d'objet, Amazon S3 enregistre un horodatage dans les métadonnées de la version de l'objet pour indiquer la date d'expiration de la période de conservation. Une fois la période de conservation expirée, la version de l'objet peut être écrasée ou supprimée, à moins que vous n'ayez attribué une suspension légale à la version de l'objet. À l'aide d'une politique de compartiment, vous pouvez définir des périodes de rétention minimales et maximales autorisées pour un compartiment afin de vous aider à établir une plage de périodes de rétention autorisées. Pour plus d'informations, voir Périodes de conservation.
- Conservation légale : fournit la même protection qu'une période de rétention, mais n'a pas de date d'expiration. À l'inverse, une conservation légale reste en place jusqu'à ce que vous la supprimiez explicitement. Les conservations légales sont indépendantes des périodes de rétention. Pour plus d'informations, voir Suspensions légales.
Les périodes de conservation et les modes de conservation sont toujours configurés en tandem, contrairement aux suspensions légales, qui sont configurés indépendamment. S3 Object Lock propose deux modes de conservation qui appliquent différents niveaux de protection à vos objets. Vous pouvez appliquer l'un ou l'autre mode de rétention à n'importe quelle version d'objet protégée par Object Lock.
- Mode gouvernance : en mode gouvernance, les utilisateurs ne peuvent pas écraser ou supprimer la version d'un objet ni modifier ses paramètres de verrouillage à moins de disposer d'autorisations spéciales. Le mode gouvernance vous permet d'empêcher la plupart des utilisateurs de supprimer les objets. Vous pouvez cependant toujours autoriser certains utilisateurs à modifier les paramètres de rétention ou à supprimer l'objet si nécessaire. Vous pouvez également utiliser le mode gouvernance pour tester les paramètres de période de rétention avant de créer une période de rétention en mode conformité.
- Mode conformité : en mode conformité, aucune version d'objet protégée ne peut être écrasée ni supprimée par un utilisateur, y compris par l'utilisateur root de votre compte AWS. Lorsqu'un objet est verrouillé en mode conformité, vous ne pouvez pas modifier le mode rétention ni raccourcir la période de rétention. Le mode conformité permet de vous assurer qu'une version d'objet ne peut pas être écrasée ni supprimée pendant la durée de la période de conservation. La conformité de S3 Object Lock aux règles SEC 17a-4(f), FINRA 4511 et CFTC 1.31 a été évaluée par Cohasset Associates.
Utilisation de S3 Object Lock à grande échelle avec S3 Batch Operations
S3 Object Lock peut être activé facilement sur le compartiment pour tous les nouveaux objets dotés d'un verrouillage par défaut. Pour les objets existants, vous pouvez utiliser S3 Batch Operations avec S3 Object Lock pour verrouiller ou prolonger toute rétention existante, ou encore activer ou supprimer une conservation légale pour des milliards d'objets à la fois. Spécifiez la liste des objets cibles dans votre manifeste et envoyez-la à Batch Operations pour qu'elle soit achevée.
Comme tous les autres paramètres de S3 Object Lock, les périodes de rétention s'appliquent aux versions individuelles des objets. Les différentes versions d'un même objet peuvent avoir différents modes et périodes de rétention.
Supposons, par exemple, que vous ayez un objet dont la période de rétention est comprise entre 15 jours et 30 jours et que vous importez un nouvel objet dans Amazon S3 avec le même nom et une période de rétention de 60 jours. Dans ce cas, votre chargement aboutit et Amazon S3 crée une nouvelle version de l'objet avec une période de rétention de 60 jours. L'ancienne version conserve sa période de rétention initiale et peut être supprimée au bout de 15 jours.
Vous pouvez prolonger une période de rétention après avoir appliqué un paramètre de rétention à une version d'objet. Pour ce faire, envoyez une nouvelle demande de verrouillage à l'aide de S3 Batch Operations pour la version de l'objet avec une date de fin de conservation ultérieure à celle actuellement configurée pour la version de l'objet. Amazon S3 remplace la période de rétention existante par la nouvelle période plus longue. En savoir plus.
Partenaires
Commencez à utiliser S3 pour la protection des données
Pour les données stockées dans Amazon S3, les bonnes pratiques commencent par la Gestion des versions Amazon S3, qui vous permet de préserver, de récupérer et de restaurer toutes les versions de chacun des objets stockés dans un compartiment Amazon S3. Vous pouvez ensuite ajouter Amazon S3 Object Lock pour empêcher la suppression ou l'écrasement des données pendant une durée déterminée ou indéfinie. Pour créer des copies supplémentaires de vos données dans une autre région AWS pour une protection multirégionale, vous pouvez activer la Réplication Amazon S3 dans un compartiment avec S3 Object Lock activé. Vous pouvez ensuite utiliser la Réplication S3 avec la Gestion des versions S3 et S3 Object Lock pour copier automatiquement des objets entre des régions AWS et des comptes AWS distincts. Pour utiliser S3 Object Lock avec des objets existants ou pour prolonger la période de verrouillage d'objets existants à l'approche de l'expiration de leur verrouillage, vous pouvez utiliser S3 Batch Operations et les Rapports S3 Inventory. Enfin, vous pouvez rassembler la visibilité de vos niveaux actuels de protection des données et de l'utilisation de ces fonctions dans un tableau de bord unique avec Amazon S3 Storage Lens.
Pour en savoir plus sur la façon dont vous pouvez protéger vos données sur Amazon S3, consultez le Tutoriel de mise en route sur la protection des données S3.