Amazon Web Services ブログ
Amazon S3 オブジェクトロックによるデータの保護
Amazon S3 オブジェクトロックは、「Write Once Read Many」(WORM)モデルを使用したオブジェクトの保存を可能にする Amazon S3 の機能です。WORM による保護は、データが書き込まれた後変更または削除されないことが必須のシナリオに対して使用できます。ビジネスで財務またはヘルスケアの分野のコンプライアンス規制を満たすことが求められているか、後で行われる監査と調整のためにビジネス記録を最高の状態に整えておきたい場合でも、S3 オブジェクトロックはぴったりのツールです。
S3 オブジェクトロックは、Cohasset Associates により、SEC Rule 17a-4(f)、FINRA Rule 4511 および CFTC Regulation 1.31 により評価されています。Cohasset Associates Assessment report のコピーをダウンロードすることができます。その後、規制データに対して Amazon S3 を使用することを規制当局に通知するとき、規制当局に評価レポートを提供することができます。
この機能の使用に関する追加料金はありませんので、先に進み、S3 のオブジェクトに保持期間の日付をいくつか追加することができます。
S3 オブジェクトロックを使用するカスタマー
多くの AWS カスタマーが今日、AWS WORM ストレージ機能 (S3 Glacier ボールトロックおよび S3 オブジェクトロック) を使用しています。規制対象のブローカー-ディーラーは、AWS の WORM 機能を使用して米国証券取引委員会(SEC)および金融業界規制局(FINRA) の規則に従っています。
多くの AWS カスタマーは、情報が不可欠の会社資産であることを認め、貴重なデータの不変性と強力な制御を好みます。S3 オブジェクトロックは、このようなカスタマーに不変なストレージと削除からの保護を提供します。
Amazon S3 オブジェクトロックは、以下の点によって独自のものです…
Amazon S3 オブジェクトロックは、今日の市場において、S3 バケット内のすべてのオブジェクトにデフォルトの保持期間を設定するのに加えて、個々のオブジェクトに対する保持期間の設定を提供する柔軟性を与える唯一のオブジェクトストレージ WORM 機能です。不変の取引記録を保存する当社の財務サービスのカスタマーは頻繁に、取引記録の保持期間を取引期間に合わせることが必要になる場合があります。たとえば、財務サービス業界のカスタマーが一連の取引記録を 7 年間保存する必要があり、また別の一連の記録を 5 年間保存する必要がある場合、2 つのセットのレコードに、7 年間と 5 年間の保持期間を設定することができます。これらのカスタマーは、S3 の同じバケットの中の異なるオブジェクトの保持期間をこれらの取引の長さに合わせる上で、特に便利であると考えています。同じストレージリソースに大量のオブジェクトを保存する保存し、それらのサブセットのみにロックを適用したいと考えるほかのカスタマーもまた、この柔軟性の恩恵を受けています。
それでは、ベーシックから始めましょう
Amazon S3 オブジェクトロックには、オブジェクトの保持期間を管理する 2 つの方法があります。最初の方法は保持期間であり、2 番目の方法はLegal Hold (訴訟ホールド)です。
- 保持期間は、オブジェクトがロックされたままの状態になる固定期間を指定します。この期間中、オブジェクトは WORM 保護され、上書きや削除を行うことはできません。最短 1 日から最長制限なしの日数または年数のいずれかの保持期間を適用します。
- Legal Hold (訴訟ホールド) は、保持期間として同じ保護を行いますが、期限がありません。代わりに、Legal Hold は、明示的に削除するまでその場に置かれたままになります。
Amazon S3 オブジェクトロックを使用して、オブジェクトが固定期間、または Legal Hold が解除されるまで、削除または上書きされることを避けることができます。オブジェクトのバージョンは、保持期間および Legal Hold を組み合わせるか、またはその両方のいずれかを設定できます。たとえば、1 年間の保持時間プラス Legal Hold が設定されたオブジェクトをもつ場合があります。
ガバナンスモードまたはコンプライスモード?
オブジェクトまたはバケットの保持期間を設定するとき、オブジェクトに適用する保持モードを設定できます。オブジェクトに対して、ガバナンス モードまたは コンプライアンス モードのいずれかを選択できます。
あらかじめ定義された期間中にほとんどのユーザーが削除するオブジェクトを保護したいが、同時に、特別なアクセス許可をもつ一部のユーザーに、保持設定を変更するか、オブジェクトを削除する柔軟性を持たせたい場合には、ガバナンスモードを使用する必要があります。s3:BypassGovernanceRetention アクセス許可をもつユーザーは、ガバナンスモードの保持設定を上書きするか、削除することができます。ほとんどのカスタマーは、準拠したストレージ要件をもたないため、ガバナンス モードを使用します。
準拠したデータを保存する要件がある場合、コンプライアンスモードを使用する必要があります。AWS アカウントのルートユーザーを含む任意のユーザーが事前定義された保持期間中にオブジェクトを削除できない場合にのみ、コンプライアンスモードを使用することが必要です。
注意: 保持期間が期限切れとなる日付の前に、コンプライアンスモードの対象となるオブジェクトを削除する唯一の方法は、関連付けられた AWS アカウントを削除することです。
Legal Hold は次のようなときに使用する必要があります…
Legal Hold という名前を選択しましたが、これは実は、不変の状態に置かなければならない期間が不明である場合のためのものです。現在訴訟中のものがあるか、今後外部監査を受けるデータがある場合など、その他の理由のために、監査が完了するまで WORM 状態にオブジェクトを保持したい場合です。プロジェクトが完了するまで、WORM 状態に置きたいデータセットを利用する進行中のプロジェクトをもっている場合があります。
Legal Hold は無期限の保持期間として機能します。それが一度適用されると、保持が手動で解除されない限り、いかなるオブジェクトも削除できません。Legal Hold は特別なアクセス許可をもつユーザーのみが削除できます。
S3 オブジェクトロックでほかにできることは?
2019 年 4 月に、S3 オブジェクトロックはクロスリージョンのレプリケーション (CRR) のサポートを追加しました。これは、オブジェクトのロックに加えて、S3 バケットがロックしたオブジェト、および関連付けられた異なる AWS リージョンのメタデータへの自動的で非同期のコピーを可能にするように設定できることを意味します。しばしば、データが保持期間の日付を使用するのに十分である場合、別の AWS リージョンにそれをレプリケートすることも重要です。
わかりました。私は S3 オブジェクトロックが必要だと思います。セットアッププロセスを説明してください
オブジェクトをロックするにはまず、バケットが Amazon S3 オブジェクトロックを使用するように設定する必要があります。バケット「s3objectlockexample」を作成して、そのバケットのバージョニングをオンにします。Amazon S3 オブジェクトロックは、バージョニングを有効にしたバケットに対してのみ機能します。
注意: 新規バケットのみ Amazon S3 オブジェクトロックを有効にできます。既存のバケットに対して S3 オブジェクト六をオンにする場合は、AWS サポートに連絡してください。
次に、[アドバンス設定] タブを展開し、S3 オブジェクトロックをオンにします。
![新規バケットの作成中のプロセスで、[アドバンス設定] から S3 オブジェクトロックをオンにします。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2019/09/04/Activate-S3-Object-Lock-through-Advanced-Settings.png)
注意: デフォルトの暗号化と CloudTrail オブジェクトロギングは推奨設定であるためにオンにしてあります。
これで、S3 オブジェクトロックをオンにするバケットがあります。これまでに行ったことにより、バケットに入れたオブジェクトを自動的にロックすることはありません。そのため、バケットにデフォルトの保持モードと期間をセットアップします。これを行うために、バケットの [プロパティ] タブの [アドバンス設定] の下の [S3 オブジェクトロック設定] に移動します。
![バケットでデフォルトの保持モードと期間をセットアップします。これを行うために、バケットの [プロパティ] タブの [アドバンス設定] の下の [S3 オブジェクトロック設定] に移動します。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2019/09/04/Set-up-a-default-retention-mode-and-period-on-the-bucket-2-1024x638.png)
[オブジェクトロック] をクリックして、[ガバナンスモードを有効化する] を選択し、保持期間を日数で入力します。
次の画面で、選択肢を確認するための指示メッセージが表示されます。
注意: 作成されたばかりのデフォルト設定は、バケットに配置されたすべての新規オブジェクトに適用されます。ただし、オブジェクトがアップロードされたときに、異なる保持モードと期間が指定された場合は除きます。
いくつかのオブジェクトをアップロードし、すべてが期待通りに動作するかどうかを確かめてみましょう。S3 コンソールのアップロード機能を使用して、いくつかのテキストファイルを追加します。
アップロードしたばかりのオブジェクト「text-file1」の 1 つについて、[プロパティ] タブの下の [オブジェクトロック] プロパティを見ていきましょう。
![アップロードしたばかりのオブジェクト「text-file1」の 1 つについて、[プロパティ] タブの下の [オブジェクトロック] プロパティを見ていきましょう。このオブジェクトは、アップロードされてから 1000 日目にあたる 2022-05-01 の日付まで保持状態でロックされています。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2019/09/04/Object-Lock-properties.png)
このオブジェクトは、アップロードされてから 1000 日目にあたる 2022-05-01 の日付まで保持状態でロックされています。
プログラムを使用しても同じことを行うことができます。さらに、バケットですでにあるオブジェクトについて、Legal Hold を追加/削除して保持期間を修正できます。
追加情報
Amazon S3 オブジェクトロックは、SEC 17a-4、CTCC、および FINRA 規制の対象となる環境での使用について、Cohasset Associatesによって評価されています。Amazon S3 オブジェクトロックがこれらの規制と関係する方法については、「Cohasset Associates Compliance Assessment」を参照してください。
詳細はこちら
S3 オブジェクトロックおよびオブジェクトロックの管理の詳細をお読みください。