Bloqueio de objetos do Amazon S3

Proteção de dados contra eventos de ransomware com imutabilidade em nível de objeto para proteger objetos de exclusões e substituições acidentais ou mal-intencionadas

O Amazon S3 é o armazenamento primário de confiança para milhões de clientes em todo o mundo. Com 99,999999999% (11 9s) de durabilidade de dados, os clientes podem armazenar e proteger dados essenciais aos negócios para praticamente qualquer caso de uso, incluindo aplicações nativas da nuvem, saída de análise de data lake e arquivos de mídia. Como acontece com qualquer dado, a melhor prática é ter um backup e implementar proteções contra a exclusão mal-intencionada ou acidental.

O bloqueio de objetos do S3 impede a exclusão permanente de objetos durante um período de retenção definido pelo cliente. Dessa forma, é possível estabelecer políticas de retenção como uma camada adicional de proteção de dados ou para conformidade regulatória. Com o bloqueio de objetos do S3, o versionamento do S3 é habilitado automaticamente e esses atributos trabalham juntos para evitar que as versões de objetos bloqueados sejam permanentemente excluídas (acidental ou intencionalmente) ou substituídas usando um modelo write-once-read-many (WORM) (gravação única e várias leituras (WORM)). O bloqueio de objetos do S3 corresponde ao padrão do setor para a imutabilidade de armazenamento de objetos para a proteção contra ransomware e é usado em soluções de armazenamento em nuvem, backup e proteção de dados por parceiros de armazenamento da AWS, como Veeam, Veritas, Rubrik, Cohesity e Commvault Clumio.

Como usar o Amazon Bloqueio de Objetos S3 (12:54)

Benefícios

Proteção de dados contra eventos de ransomware e alterações acidentais

A imutabilidade dos dados é um aspecto central do planejamento da proteção dos dados porque evita alterações ou exclusões não intencionais por usuários autorizados e alterações feitas por usuários não autorizados. Isso ajuda a evitar que eventos de ransomware excluam ou alterem seus dados. O Bloqueio de objetos do S3 impede que os dados sejam alterados ou excluídos por qualquer pessoa ou processo, seja de forma não intencional ou devido a atividades mal-intencionadas.

Ajude a cumprir com requisitos regulatórios e de conformidade

Você pode usar o Bloqueio de objetos do S3 para ajudar a atender a requisitos regulatórios que exigem armazenamento WORM ou para adicionar outra camada de proteção contra alterações e exclusões de objetos. A Cohasset Associates avaliou o Bloqueio de objetos do S3 para ambientes sujeitos às regulamentações SEC 17a-4, CFTC e FINRA. Você pode usar o modo de conformidade, que não pode ser substituído, para ajudar seus dados a atender aos requisitos de monitoramento de conformidade regulamentado. Para obter mais informações sobre como o Bloqueio de objetos se relaciona a esses regulamentos, consulte o whitepaper Avaliação de conformidade da Cohasset Associates.

Restaurar versões de objetos

Você pode usar o recurso de Versionamento do S3 para preservar, recuperar e restaurar todas as versões de cada objeto armazenado nos seus buckets. Com o versionamento, você pode se recuperar com mais facilidade de ações não intencionais do usuário e de falhas de aplicações. O Versionamento do S3, que é habilitado automaticamente com o Bloqueio de objetos do S3, fornece resiliência de dados com a capacidade de retornar a uma versão anterior. Saiba mais aqui.

Como funciona o Bloqueio de Objetos do S3?

Diagrama de como funciona o Bloqueio de Objetos do S3

É possível usar o bloqueio de objetos do S3 no bucket ou no nível do objeto, e ele pode ser habilitado ao criar um novo bucket ou em buckets existentes. Para usar o Bloqueio de Objetos S3 com um bucket (ou objetos dentro de um bucket), primeiro ative o versionamento do S3 para o bucket. Períodos de retenção e suspensões legais são aplicáveis a versões de objetos individuais. Quando você bloqueia uma versão de objeto, o Amazon S3 armazena as informações de bloqueio nos metadados dessa versão. Aplicar um período de retenção ou suspensão legal em um objeto protege somente a versão especificada na solicitação. Isso não impede que novas versões do objeto sejam criadas nem que marcadores de exclusão sejam colocados sobre as versões do objeto bloqueado. 

A proteção do Bloqueio de objetos do S3 é mantida independentemente da classe de armazenamento em que o objeto reside e durante as transições do ciclo de vida do S3 entre as classes de armazenamento. Usado em conjunto com o versionamento do S3, que protege os objetos de serem substituídos, é possível garantir que os objetos permaneçam imutáveis enquanto a proteção do bloqueio de objetos do S3 estiver aplicada. É possível migrar workloads de sistemas de armazenamento WORM existentes para o Amazon S3 e configurar o bloqueio de objetos do S3 nos níveis de objeto e de bucket para evitar exclusões de versões de objetos antes de datas predefinidas ou datas de retenções legais. 

Você também pode ativar a replicação do S3 em um bucket que tenha o S3 Object Lock ativado para replicar objetos junto com suas configurações de retenção. Durante a replicação dos objetos, se o bucket de origem tiver o bloqueio de objetos do S3 ativado, o bucket de destino também deverá ter o bloqueio de objetos do S3 ativado.

Gerenciamento da retenção de objetos com o bloqueio de objetos do S3

O bloqueio de objetos do S3 disponibiliza duas maneiras de gerenciar a retenção de objetos: períodos de retenção e retenções legais. Com o bloqueio de objetos do S3 habilitado em um bucket, uma versão de objeto pode ter um período de retenção e uma retenção legal, ou um deles, mas não o outro, ou nenhum deles. 

  • Período de retenção: especifica um período fixo durante o qual um objeto permanece bloqueado. Durante esse período, o objeto é protegido por WORM e não pode ser substituído ou excluído. Quando você estabelece um período de retenção em uma versão do objeto, o Amazon S3 armazena um carimbo de data/hora nos metadados da versão do objeto para mostrar quando o período de retenção expira. Após o período de retenção expirar, a versão do objeto poderá ser substituída ou excluída, a menos que você também tenha estabelecido uma retenção legal na versão do objeto. Usando uma política de bucket, é possível definir períodos de retenção mínimos e máximos permitidos para um bucket para ajudá-lo a estabelecer uma variedade de períodos de retenção permitidos. Para obter mais informações, consulte períodos de retenção.
  • Suspensão legal: oferece a mesma proteção de um período de retenção, mas não tem data de validade. Em vez disso, uma suspensão legal permanece em vigor até que você a remova explicitamente. Suspensões legais são independentes de períodos de retenção. Para obter mais informações, consulte retenções legais.

Os períodos de retenção e os modos de retenção são sempre configurados em conjunto, ao contrário das retenções legais, que são configuradas de forma independente. O bloqueio de objetos do S3 disponibiliza dois modos de retenção que aplicam diferentes níveis de proteção aos objetos. Você pode aplicar qualquer um dos modos de retenção a qualquer versão do objeto protegida pelo Bloqueio de objetos.

  • Modo de governança: no modo de governança, os usuários não podem sobrescrever ou excluir uma versão do objeto ou alterar suas configurações de bloqueio, a menos que tenham permissões especiais. Com o modo de governança, você impede que os objetos sejam excluídos pela maioria dos usuários, mas ainda pode conceder permissão a alguns deles para alterar as configurações de retenção ou excluir o objeto, se necessário. Você também pode usar o modo de governança para testar as configurações do período de retenção antes de criar um período de retenção no modo de conformidade.
  • Modo de conformidade: no modo de conformidade, uma versão do objeto protegido não pode ser substituída ou excluída por nenhum usuário, incluindo o usuário raiz na sua conta da AWS. Quando um objeto está bloqueado no modo de conformidade, você não pode alterar o modo de retenção e não pode encurtar o período de retenção. O modo de conformidade ajuda a garantir que uma versão de objeto não possa ser substituída ou excluída durante o período de retenção.  O bloqueio de objetos do S3 foi avaliado para a Regra SEC 17a-4(f), a Regra FINRA 4511 e a Norma 1.31 da CFTC pela Cohasset Associates. 

Uso do bloqueio de objetos do S3 em grande escala com as Operações em Lote do S3

É possível ativar o Bloqueio de Objetos S3 em um bucket para todos os novos objetos com as configurações padrão do Bloqueio de Objetos S3. Para objetos existentes, é possível usar as operações em lote do S3 para aplicar as configurações do Bloqueio de Objetos S3 a bilhões de objetos ao mesmo tempo, especificando um bucket inteiro, prefixo, sufixo, data de criação ou classe de armazenamento. Como alternativa, é possível especificar uma lista de objetos de destino em seu manifesto e enviá-la para o S3 Batch Operations para conclusão.

Como todas as outras configurações do Bloqueio de objetos do S3, períodos de retenção são aplicáveis a versões de objetos individuais. Versões diferentes de um único objeto podem ter modos e períodos de retenção diferentes.

Por exemplo, suponha que você tenha um objeto de 15 dias em um período de retenção de 30 dias e carregue um novo objeto no Amazon S3 com o mesmo nome e um período de retenção de 60 dias. Nesse caso, seu upload é bem-sucedido e o Amazon S3 cria uma nova versão do objeto com um período de retenção de 60 dias. A versão mais antiga mantém seu período de retenção original e pode ser excluída em 15 dias.

Depois de aplicar os períodos de retenção às versões do objeto, é possível estender os períodos de retenção. Para fazer isso, envie uma nova solicitação de Bloqueio de Objetos S3 usando operações em lote do S3 para a versão do objeto com uma data de retenção posterior à atualmente configurada. O Amazon S3 substitui o período de retenção existente pelo novo período mais longo. Saiba mais.

Parceiros

Comece a usar o S3 para proteção de dados

Para dados armazenados no Amazon S3, as práticas comerciais começam com o Versionamento do S3, que permite preservar, recuperar e restaurar todas as versões de cada objeto armazenado em um bucket do Amazon S3. Em seguida, você pode adicionar o Bloqueio de objetos do Amazon S3 para evitar que os dados sejam excluídos ou sobrescritos por um período fixo ou indefinidamente. Para criar cópias adicionais dos seus dados em outra região da AWS para proteção entre várias regiões, é possível ativar a replicação do Amazon S3 em um bucket com o Bloqueio de objetos do S3 ativado. Em seguida, você pode usar a Replicação do S3 com o Versionamento do S3 e o Bloqueio de objetos do S3 para copiar automaticamente os objetos em todas as regiões da AWS e entre contas separadas da AWS. Para usar o Bloqueio de objetos do S3 com objetos existentes ou estender o período de bloqueio em objetos existentes que estão se aproximando da expiração do bloqueio, você pode usar Operações em lote do S3 e Relatórios de inventário do S3. Por último, você pode trazer visibilidade dos seus níveis atuais de proteção de dados e do uso desses recursos em um único painel com a Lente de Armazenamento do Amazon S3.

Para saber mais sobre como você pode proteger seus dados no Amazon S3, acesse o Tutorial de conceitos básicos sobre proteção de dados do S3.

Perguntas frequentes sobre o Amazon S3
Leia o guia de usuário do Bloqueio de objetos do S3

Saiba mais sobre o Bloqueio de objetos do S3 ao ler o guia de usuário.

Saiba mais 
Cadastre-se para obter uma conta da AWS
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastre-se 
Comece a criar com o Amazon S3
Comece a criar no console

Comece a criar com o Amazon S3 no Console de Gerenciamento da AWS.

Faça login