Amazon S3 Object Lock

È possibile utilizzare S3 Object Lock a livello di bucket o di oggetto e abilitarlo per la creazione di un nuovo bucket o su bucket esistenti. Per utilizzare S3 Object Lock con un bucket (o oggetti all'interno di un bucket), devi prima abilitare S3 Versioning per il bucket. I periodi di conservazione e i blocchi legali si applicano alle versioni dei singoli oggetti. Quando blocchi la versione di un oggetto, Amazon S3 archivia le informazioni sul blocco nei metadati per quella versione dell'oggetto. L'imposizione di un periodo di conservazione o di blocco legale su un oggetto protegge solo la versione specificata nella richiesta. Non impedisce la creazione di nuove versioni dell'oggetto o l'eliminazione dei marker posizionati sopra le versioni bloccate dell'oggetto. 

La protezione S3 Object Lock viene mantenuta indipendentemente dalla classe di storage in cui risiede l'oggetto e durante le transizioni del ciclo di vita di S3 tra le classi di archiviazione. Insieme al controllo delle versioni S3, che protegge gli oggetti dalla sovrascrittura, puoi assicurarti che gli oggetti rimangano immutabili per tutto il tempo durante il quale la protezione S3 Object Lock è in uso. È possibile migrare i carichi di lavoro da sistemi di archiviazione WORM esistenti ad Amazon S3 e configurare S3 Object Lock a livello di oggetto e di bucket per impedire l'eliminazione di versioni di oggetti prima di date predefinite o di date di blocco legale. 

Inoltre, è possibile abilitare S3 Replication su un bucket in cui S3 Object Lock è abilitato per replicare gli oggetti insieme alle relative impostazioni di conservazione. Durante la replica degli oggetti, se S3 Object Lock è abilitato nel bucket di origine, dovrà essere abilitato anche nel bucket di destinazione.

S3 Object Lock offre due modi per gestire la conservazione degli oggetti: i periodi di conservazione e i blocchi legali. Con S3 Object Lock abilitato su un bucket, la versione di un oggetto può avere sia un periodo di conservazione che un blocco legale, l'uno ma non l'altro o nessuno dei due.

• Periodo di conservazione: specifica un periodo di tempo fisso durante il quale un oggetto rimane bloccato. Durante questo periodo, l'oggetto è protetto da WORM e non può essere sovrascritto o eliminato. Quando si imposta un periodo di conservazione su una versione dell'oggetto, Amazon S3 memorizza un timestamp nei metadati della versione dell'oggetto per mostrare quando scade il periodo di conservazione. Dopo la scadenza del periodo di conservazione, la versione dell'oggetto può essere sovrascritta o eliminata, a meno che non si ponga anche un blocco legale sulla versione dell'oggetto. Utilizzando una policy bucket, puoi impostare i periodi di conservazione minimi e massimi consentiti per un bucket per aiutarti a stabilire un intervallo di periodi di conservazione consentiti. Per ulteriori informazioni, consulta Periodi di conservazione.
• Blocco legale: fornisce la stessa protezione di un periodo di conservazione, ma non ha una data di scadenza. Invece, un blocco legale rimane in vigore fino a quando non lo rimuovi esplicitamente. I blocchi legali sono indipendenti dai periodi di conservazione. Per ulteriori informazioni, consulta Blocchi legali.

I periodi di conservazione e le modalità di conservazione sono sempre configurati in tandem, a differenza dei dispositivi di conservazione legali, che sono configurati in modo indipendente. S3 Object Lock offre due modalità di conservazione, che applicano diversi livelli di protezione agli oggetti. È possibile applicare entrambe le modalità di conservazione a qualsiasi versione dell'oggetto protetta da Object Lock.

• Modalità governance: in modalità governance, gli utenti non possono sovrascrivere o eliminare la versione di un oggetto o modificarne le impostazioni di blocco a meno che non dispongano di autorizzazioni speciali. Con la modalità governance, proteggi gli oggetti dall'eliminazione da parte della maggior parte degli utenti, ma puoi comunque concedere ad alcuni di essi l'autorizzazione alla modifica delle impostazioni di conservazione o all'eliminazione dell'oggetto, se necessario. È inoltre possibile utilizzare la modalità governance per testare le impostazioni del periodo di conservazione prima di creare un periodo di conservazione in modalità conformità.
• Modalità di conformità: in modalità conformità, la versione di un oggetto protetto non può essere sovrascritta o eliminata da nessun utente, incluso l'utente root del tuo account AWS. Quando un oggetto è bloccato in modalità di conformità, non è possibile modificare la modalità di conservazione, né abbreviare il periodo di conservazione. La modalità di conformità contribuisce a garantire che la versione di un oggetto non possa essere sovrascritta o eliminata per la durata del periodo di conservazione.  S3 Object Lock è stato valutato per Rule 17a-4(f) della SEC, Rule 4511 della FINRA e Regulation 1.31 della CFTC da parte di Cohasset Associates. 

Puoi abilitare S3 Object Lock su un bucket per tutti i nuovi oggetti con le impostazioni predefinite di S3 Object Lock. Per gli oggetti esistenti, puoi utilizzare Operazioni in batch S3 per applicare le impostazioni S3 Object Lock a miliardi di oggetti contemporaneamente specificando un intero bucket, prefisso, suffisso, data di creazione o classe di archiviazione. In alternativa, puoi specificare l'elenco degli oggetti di destinazione nel tuo manifesto e invialo a Operazioni in batch S3 per il completamento.

Come tutte le altre impostazioni di S3 Object Lock, i periodi di conservazione si applicano alle versioni dei singoli oggetti. Versioni diverse di un singolo oggetto possono avere modalità e periodi di conservazione diversi.

Ad esempio, supponiamo di avere un oggetto conservato da 15 giorni su un periodo di conservazione totale di 30 e di caricare un nuovo oggetto in Amazon S3 con lo stesso nome e un periodo di conservazione di 60 giorni. In questo caso, il caricamento ha esito positivo e Amazon S3 crea una nuova versione dell'oggetto con un periodo di conservazione di 60 giorni. La versione precedente mantiene il periodo di conservazione originale e diventa eliminabile dopo 15 giorni.

Dopo aver applicato i periodi di conservazione alle versioni degli oggetti, è possibile estendere i periodi di conservazione. A tale scopo, invia una nuova richiesta S3 Object Lock utilizzando Operazioni in batch S3 per la versione dell'oggetto con una data di conservazione che arriva a quella attualmente configurata. Amazon S3 sostituisce il periodo di conservazione esistente con il nuovo periodo più lungo. Ulteriori informazioni.

Per i dati archiviati in Amazon S3, le best practice iniziano con il controllo delle versioni Amazon S3, che consente di conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato in un bucket Amazon S3. È quindi possibile aggiungere Amazon S3 Object Lock per impedire che i dati vengano eliminati o sovrascritti per un periodo di tempo fisso o anche a tempo indeterminato. Per creare copie aggiuntive dei dati in un'altra Regione AWS per la protezione di più Regioni, è possibile abilitare la Replica Amazon S3 su un bucket con S3 Object Lock attivato. A questo punto, è possibile utilizzare la Replica S3 con il controllo delle versioni S3 ed S3 Object Lock per copiare automaticamente gli oggetti tra le Regioni AWS e separare gli account AWS. Per utilizzare S3 Object Lock con oggetti esistenti o per prolungare il periodo di blocco su oggetti esistenti prossimi alla scadenza del blocco, puoi utilizzare S3 Batch Operations e S3 Inventory Reports. Infine, puoi riunire la visibilità dei tuoi attuali livelli di protezione dei dati e dell'utilizzo di queste funzionalità in un'unica dashboard con Amazon S3 Storage Lens.

Per ulteriori informazioni su come proteggere i tuoi dati su Amazon S3, consulta il tutorial introduttivo sulla protezione dei dati di S3.