Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sperren von Objekten mit Object Lock
Mit S3 Object Lock können Sie für einen bestimmten Zeitraum oder auf unbestimmte Zeit verhindern, dass Amazon-S3-Objekte gelöscht oder überschrieben werden. Object Lock verwendet ein *write-once-read-many*(WORM) -Modell zum Speichern von Objekten. Sie können Object Lock verwenden, um regulatorische Anforderungen einzuhalten, die die WORM-Speicherung verlangen, oder um einfach eine zusätzliche Schutzebene gegen Objektänderungen und -löschungen einzurichten.
**Anmerkung**
S3 Object Lock wurde von Cohasset Associates in Bezug auf die Verwendung in Umgebungen bewertet, die den Bestimmungen von SEC 17a-4, CFTC und FINRA unterliegen. Weitere Informationen zu Object Lock im Zusammenhang mit diesen Bestimmungen finden Sie unter [Cohasset AssociatesCompliance-Bewertung](https://d1.awsstatic.com/r2018/b/S3-Object-Lock/Amazon-S3-Compliance-Assessment.pdf).
Die Objektsperre stellt zwei Optionen für die Verwaltung der Aufbewahrung von Objekten bereit: *Aufbewahrungszeiträume* und *rechtliche Aufbewahrungsfristen*. Für eine Objektversion kann es sowohl einen Aufbewahrungszeitraum als auch eine rechtliche Aufbewahrungsfrist geben oder beides geben.
+ **Aufbewahrungszeitraum** – Ein Aufbewahrungszeitraum gibt einen festen Zeitraum an, für den ein Objekt gesperrt bleibt. Sie können einen eindeutigen Aufbewahrungszeitraum für einzelne Objekte festlegen. Sie können zusätzlich einen Standardaufbewahrungszeitraum für einen S3-Bucket festlegen. Mit dem Bedingungsschlüssel `s3:object-lock-remaining-retention-days` in der Bucket-Richtlinie können Sie auch den minimal und maximal zulässigen Aufbewahrungszeitraum einschränken. Mit diesem Bedingungsschlüssel können Sie den zulässigen Aufbewahrungszeitraum festlegen. Weitere Informationen finden Sie unter [Festlegen von Aufbewahrungsfristen mit einer Bucket-Richtlinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-managing.html#object-lock-managing-retention-limits).
+ **Gesetzliche Aufbewahrungsfrist** – Eine gesetzliche Aufbewahrungsfrist bietet denselben Schutz wie ein Aufbewahrungszeitraum, hat jedoch kein Ablaufdatum. Stattdessen bleibt eine rechtliche Aufbewahrungsfrist gültig, bis Sie diese ausdrücklich entfernen. Gesetzliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig und gelten für einzelne Objektversionen.
Object Lock funktioniert nur in Buckets, für die S3 Versioning aktiviert ist. Wenn Sie eine Objektversion sperren, speichert Amazon S3 die Sperrinformationen in den Metadaten für diese Objektversion. Die Platzierung eines Aufbewahrungszeitraums oder einer rechtlichen Aufbewahrungsfrist für ein Objekt schützt ausschließlich die in der Anforderung angegebene Version. Aufbewahrungszeitraum und gesetzliche Aufbewahrungsfristen verhindern nicht die Erstellung neuer Versionen des Objekts oder das Hinzufügen von Löschmarkierungen zu dem Objekt. Weitere Informationen über S3 Versioning finden Sie unter [Beibehalten mehrerer Versionen von Objekten mit der S3-Versionsverwaltung](Versioning.md).
Wenn Sie ein Objekt in einem Bucket platzieren, der bereits ein vorhandenes, geschütztes Objekt mit demselben Objektschlüsselnamen enthält, erstellt Amazon S3 eine neue Version dieses Objekts. Die vorhandene, geschützte Version des Objekts bleibt entsprechend seiner Aufbewahrungskonfiguration gesperrt.
## So funktioniert die S3-Objektsperre
**Topics**
+ [Aufbewahrungszeiträume](#object-lock-retention-periods)
+ [Aufbewahrungsmodi](#object-lock-retention-modes)
+ [Rechtliche Aufbewahrungsfristen](#object-lock-legal-holds)
+ [So funktioniert der S3-Object-Lock](#object-lock-how-deletes-work)
+ [Bewährte Methoden für die Verwendung von S3 Object Lock](#object-lock-best-practices)
+ [Erforderliche Berechtigungen](#object-lock-permissions)
### Aufbewahrungszeiträume
Ein *Aufbewahrungszeitraum* schützt eine Objektversion für einen festen Zeitraum. Wenn Sie für eine Objektversion einen Aufbewahrungszeitraum festlegen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzugeben, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden.
Sie können eine Aufbewahrungsfrist explizit für eine einzelne Objektversion oder für die Eigenschaften eines Buckets festlegen, so dass sie automatisch für alle Objekte in dem Bucket gilt. Wenn Sie einen Aufbewahrungszeitraum explizit auf eine Objektversion anwenden, geben Sie ein *Retain Until Date (Bis-Aufbewahrungsdatum)* für die Objektversion an. Amazon S3 speichert dieses Datum in den Metadaten der Objektversion.
Sie können auch eine Aufbewahrungsfrist in den Eigenschaften eines Buckets festlegen. Wenn Sie eine Aufbewahrungsfrist für einen Bucket festlegen, geben Sie eine Dauer in Tagen oder Jahren an, für die jede im Bucket platzierte Objektversion geschützt werden soll. Wenn Sie ein Objekt in den Bucket legen, berechnet Amazon S3 ein *Bis-Aufbewahrungsdatum* für die Objektversion, indem es die angegebene Dauer dem Zeitstempel der Erstellung der Objektversion hinzufügt. Die Objektversion wird anschließend so geschützt, als ob Sie für die Objektversion ausdrücklich eine individuelle Sperre mit diesem Aufbewahrungszeitraum angegeben hätten.
**Anmerkung**
Wenn Sie `PUT` für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.
Wie alle anderen Einstellungen für die Objektsperre gelten Aufbewahrungszeiträume für einzelne Objektversionen. Für verschiedene Versionen desselben Objekts können verschiedene Aufbewahrungsmodi und -zeiträume gelten.
z. B.: Angenommen, Sie haben ein Objekt, von dessen 30-tägigem Aufbewahrungszeitraum 15 Tage abgelaufen sind, und Sie führen die Aktion `PUT` für ein Objekt in Amazon S3 mit demselben Namen und einem 60-tägigen Aufbewahrungszeitraum durch. In diesem Fall ist die `PUT`-Anforderung erfolgreich und Amazon S3 erstellt eine neue Version des Objekts mit einem 60-tägigen Aufbewahrungszeitraum. Die ältere Version behält den ursprünglichen Aufbewahrungszeitraum und kann in 15 Tagen gelöscht werden.
Sie können einen Aufbewahrungszeitraum verlängern, nachdem Sie eine Aufbewahrungseinstellung auf eine Objektversion angewendet haben. Senden Sie dazu eine neue Object-Lock-Anforderung für die Objektversion mit einem *Aufbewahren bis*-Datum, das später liegt als das derzeit für die Objektversion konfigurierte Datum. Amazon S3 ersetzt die bestehende Aufbewahrungsfrist durch den neuen, längeren Zeitraum. Alle Benutzer, die die Berechtigung zur Festlegung von Aufbewahrungszeiträumen für Objekte besitzen, können Aufbewahrungszeiträume für Objektversionen verlängern. Um Aufbewahrungszeitraum festzulegen, müssen Sie die `s3:PutObjectRetention`-Berechtigung besitzen.
Wenn Sie einen Aufbewahrungszeitraum für ein Objekt oder einen S3-Bucket festlegen, müssen Sie einen von zwei Aufbewahrungsmodi auswählen: *Compliance* oder *Governance*.
### Aufbewahrungsmodi
S3 Object Lock bietet zwei Aufbewahrungsmodi mit unterschiedlichen Schutzebenen für Ihre Objekte:
+ Compliance-Modus
+ Governance-Modus
Im *Compliance*-Modus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden. Dies schließt den Stammbenutzer in Ihrem AWS-Konto ein. Wenn ein Objekt im Compliance-Modus gesperrt wurde, können der Aufbewahrungsmodus nicht geändert und der Aufbewahrungszeitraum nicht verkürzt werden. Der Compliance-Modus stellt sicher, dass eine Objektversion während des Aufbewahrungszeitraums weder überschrieben noch gelöscht werden.
**Anmerkung**
Die einzige Möglichkeit, ein Objekt im Kompatibilitätsmodus vor Ablauf seines Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige Objekt zu löschen AWS-Konto.
Im *Governance*-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder ihre Sperreinstellungen ändern, wenn sie keine speziellen Berechtigungen besitzen. Mit dem Governance-Modus schützen Sie Objekte dagegen, von den meisten Benutzern gelöscht zu werden, Sie können jedoch weiterhin einigen Benutzern die Berechtigung geben, die Aufbewahrungseinstellungen zu ändern oder die Objekte bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für Aufbewahrungszeiträume zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen.
Um Aufbewahrungseinstellungen im Governance-Modus zu überschreiben oder zu entfernen, müssen Sie die Berechtigung `s3:BypassGovernanceRetention` besitzen und in jede Anfrage, die ein Überschreiben des Governance-Modus erfordert, ausdrücklich `x-amz-bypass-governance-retention:true` als Anfrage-Header einfügen.
**Anmerkung**
Die Amazon-S3-Konsole enthält standardmäßig den `x-amz-bypass-governance-retention:true`-Header. Wenn Sie versuchen, Objekte zu löschen, die durch den *Governance*-Modus geschützt sind und über die `s3:BypassGovernanceRetention`-Berechtigung verfügen, verläuft der Vorgang erfolgreich.
### Rechtliche Aufbewahrungsfristen
Mit Object Lock können Sie auch eine *gesetzliche Aufbewahrungsfrist* für eine Objektversion festlegen. Wie Aufbewahrungszeiträume verhindern auch rechtliche Aufbewahrungsfristen das Überschreiben oder Löschen von Objektversionen. Mit gesetzlichen Aufbewahrungsfristen sind jedoch keine Aufbewahrungszeiträume verknüpft. Sie sind gültig, bis sie entfernt werden. Alle Benutzer mit der Berechtigung `s3:PutObjectLegalHold` können rechtliche Aufbewahrungsfristen festlegen und entfernen.
Rechtliche Aufbewahrungsfristen sind von Aufbewahrungszeiträumen unabhängig. Die Festlegung einer rechtlichen Aufbewahrungsfrist für eine Objektversion hat keine Auswirkungen auf den Aufbewahrungsmodus oder -zeitraum für die betreffende Objektversion.
Angenommen, Sie setzen eine gesetzliche Aufbewahrungsfrist für eine Objektversion fest, während diese Objektversion gleichzeitig durch einen Aufbewahrungszeitraum geschützt ist. Wenn der Aufbewahrungszeitraum abläuft, verliert das Objekt seinen WORM-Schutz nicht. Stattdessen wird das Objekt durch die gesetzliche Aufbewahrungsfrist weiter geschützt, bis ein autorisierter Benutzer diese ausdrücklich entfernt. Wenn Sie eine rechtliche Aufbewahrungsfrist entfernen, während für eine Objektversion ein Aufbewahrungszeitraum gilt, bleibt die Objektversion geschützt, bis der Aufbewahrungszeitraum abläuft.
### So funktioniert der S3-Object-Lock
Wenn in Ihrem Bucket der S3-Object-Lock aktiviert ist und das Objekt durch einen Aufbewahrungszeitraum oder eine rechtliche Aufbewahrungspflicht geschützt ist und Sie versuchen, ein Objekt zu löschen, gibt Amazon S3 je nach dem, wie Sie versucht haben, das Objekt zu löschen, eine der folgenden Antworten zurück:
+ **Permanente `DELETE`-Anfrage** – Wenn Sie eine permanente `DELETE` Anfrage gestellt haben (eine Anfrage, die eine Versions-ID angibt), gibt Amazon S3 den Fehler „Zugriff verweigert“ (`403 Forbidden`) zurück, wenn Sie versuchen, das Objekt zu löschen. Ausführliche Informationen zur Behebung von „Zugriff verweigert“-Fehlern mit Object Lock finden Sie unter [S3-Einstellungen für die Objektsperre](troubleshoot-403-errors.md#troubleshoot-403-object-lock).
+ **Einfache `DELETE` Anfrage** – Wenn Sie eine einfache `DELETE` Anfrage gestellt haben (eine Anfrage, die keine Versions-ID enthält), gibt Amazon S3 eine `200 OK` Antwort zurück und fügt eine [Löschmarkierung](DeleteMarker.md) in den Bucket ein, und diese Markierung wird zur aktuellen Objektversion mit einer neuen ID. Weitere Informationen zur Verwaltung von Löschmarkierungen mit Object Lock finden Sie unter [Verwalten von Löschmarkierungen mit Object Lock](object-lock-managing.md#object-lock-managing-delete-markers).
### Bewährte Methoden für die Verwendung von S3 Object Lock
Ziehen Sie den *Governance-Modus* in Betracht, wenn Sie verhindern möchten, dass Objekte während eines vordefinierten Aufbewahrungszeitraums von gewöhnlichen Benutzern gelöscht werden, aber gleichzeitig möchten, dass einige Benutzer mit speziellen Berechtigungen die Flexibilität haben, die Aufbewahrungseinstellungen zu ändern oder die Objekte zu löschen.
Ziehen Sie den *Compliance-Modus* in Betracht, wenn Sie nie möchten, dass irgendein Benutzer, einschließlich des Root-Benutzers in Ihrem AWS-Konto, die Objekte während eines vordefinierten Aufbewahrungszeitraums löschen kann. Sie können diesen Modus verwenden, falls Sie Konformitätsdaten speichern müssen.
Sie können *Gesetzliche Aufbewahrungsfrist* verwenden, wenn Sie sich nicht sicher sind, wie lange Ihre Objekte nicht verändert werden sollten. Dies kann vorkommen, wenn beispielsweise eine externe Prüfung Ihrer Daten bevorsteht und Sie Ihre Objekte bis zum Abschluss der Prüfung unverändert lassen möchten. Oder wenn in einem laufenden Projekt ein Datensatz verwendet wird, den Sie bis zum Abschluss des Projekts unverändert lassen möchten.
### Erforderliche Berechtigungen
Object-Lock-Vorgänge erfordern bestimmte Berechtigungen. Abhängig von dem genauen Vorgang, den Sie versuchen, benötigen Sie möglicherweise eine der folgenden Berechtigungen:
+ `s3:BypassGovernanceRetention`
+ `s3:GetBucketObjectLockConfiguration`
+ `s3:GetObjectLegalHold`
+ `s3:GetObjectRetention`
+ `s3:PutBucketObjectLockConfiguration`
+ `s3:PutObjectLegalHold`
+ `s3:PutObjectRetention`
Eine vollständige Liste der Berechtigungen für Amazon S3 finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Referenz zur Serviceautorisierung*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
Informationen zur Verwendung von Bedingungen mit Berechtigungen finden Sie unter [Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln](amazon-s3-policy-keys.md).
# Überlegungen zu Object Lock
Amazon S3 Object Lock kann verhindern, dass Objekte für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden.
Sie können die Amazon S3 S3-Konsole AWS Command Line Interface (AWS CLI) oder die Amazon S3 S3-REST-API verwenden AWS SDKs, um Object Lock-Informationen anzuzeigen oder festzulegen. Weitere Informationen zu den Funktionen von S3 Object Lock finden Sie unter [Sperren von Objekten mit Object Lock](object-lock.md).
**Wichtig**
Wenn Sie Object Lock für einen Bucket aktiviert haben, können Sie Object Lock nicht deaktivieren oder die Versionsverwaltung für diesen Bucket aussetzen.
S3-Buckets mit Object Lock können nicht als Ziel-Buckets für Server-Zugriffsprotokolle verwendet werden. Weitere Informationen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md).
**Topics**
+ [Berechtigungen zum Anzeigen von Sperrinformationen](#object-lock-managing-view)
+ [Umgehen des Governance-Modus](#object-lock-managing-bypass)
+ [Verwenden von Object Lock mit der S3-Replikation](#object-lock-managing-replication)
+ [Verwenden von Object Lock mit Verschlüsselung](#object-lock-managing-encryption)
+ [Verwenden von Object Lock mit Amazon S3 Inventory](#object-lock-inv-report)
+ [Verwalten von S3-Lebenszyklusrichtlinien mit Object Lock](#object-lock-managing-lifecycle)
+ [Verwalten von Löschmarkierungen mit Object Lock](#object-lock-managing-delete-markers)
+ [Verwenden von S3 Storage Lens mit Object Lock](#object-lock-storage-lens)
+ [Hochladen von Objekten in einen Bucket mit aktivierter Object Lock](#object-lock-put-object)
+ [Konfigurieren von Ereignissen und Benachrichtigungen](#object-lock-managing-events)
+ [Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie](#object-lock-managing-retention-limits)
## Berechtigungen zum Anzeigen von Sperrinformationen
Sie können den Object-Lock-Status einer Amazon-S3-Objektversion mithilfe der Vorgänge [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html) und [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) anzeigen. Beide Vorgänge geben den Aufbewahrungsmodus, die Aufbewahrungsfrist und den Status in Bezug auf eine rechtliche Aufbewahrungsfrist für die angegebene Objektversion an. Darüber hinaus können Sie mithilfe von S3 Inventory den Status von Object Lock für mehrere Objekte in Ihrem S3-Bucket anzeigen.
Um Aufbewahrungsmodus und Aufbewahrungszeitraum für eine Objektversion anzuzeigen, müssen Sie die Berechtigung `s3:GetObjectRetention` besitzen. Um den Status eines Objekts in Bezug auf rechtliche Aufbewahrungsfristen anzuzeigen, müssen Sie die Berechtigung `s3:GetObjectLegalHold` besitzen. Um die Standardaufbewahrungskonfiguration eines Buckets anzuzeigen, benötigen Sie die `s3:GetBucketObjectLockConfiguration`-Berechtigung. Wenn Sie eine Object-Lock-Konfiguration für einen Bucket anfordern, für den S3 Object Lock nicht aktiviert ist, gibt Amazon S3 einen Fehler zurück.
## Umgehen des Governance-Modus
Sie können für im Governance-Modus gesperrte Objektversionen, Vorgänge ausführen, als ob sie nicht geschützt wären, wenn Sie die `s3:BypassGovernanceRetention`-Berechtigung besitzen. Zu diesen Vorgängen gehören das Löschen einer Objektversion, das Verkürzen des Aufbewahrungszeitraums oder das Entfernen des Object-Lock-Aufbewahrungszeitraums durch die Platzierung einer neuen `PutObjectRetention`-Anforderung mit leeren Parametern.
Um den Governance-Modus umgehen zu können, müssen Sie in Ihrer Anforderung ausdrücklich angeben, dass Sie den Governance-Modus umgehen möchten. Fügen Sie dazu den `x-amz-bypass-governance-retention:true` Header Ihrer `PutObjectRetention` API-Operationsanforderung hinzu oder verwenden Sie den entsprechenden Parameter bei Anfragen, die über AWS CLI oder gestellt werden AWS SDKs. Die S3-Konsole übernimmt diesen Header automatisch für über die S3-Konsole gestellte Anforderungen, wenn Sie über die `s3:BypassGovernanceRetention`-Berechtigung verfügen, den Governance-Modus zu umgehen.
**Anmerkung**
Die Umgehung des Governance-Modus hat keine Auswirkungen auf den Status einer Objektversion in Bezug auf rechtliche Aufbewahrungsfristen. Wenn für eine Objektversion eine rechtliche Aufbewahrungsfrist aktiviert ist, bleibt diese in Kraft und verhindert, dass die Objektversion durch Anforderungen überschrieben oder gelöscht wird.
## Verwenden von Object Lock mit der S3-Replikation
Sie können Object Lock mit S3-Replikation verwenden, um automatisches asynchrones Kopieren von gesperrten Objekten und deren Aufbewahrungs-Metadaten über S3-Buckets hinweg zu aktivieren. Das bedeutet, dass Amazon S3 für replizierte Objekte die Object-Lock-Konfiguration des Quell-Buckets verwendet. In anderen Worten: Wenn für den Quell-Bucket Object Lock aktiviert ist, muss es für den Ziel-Bucket ebenfalls aktiviert sein. Wenn ein Objekt direkt in den Ziel-Bucket hochgeladen wird (außerhalb der S3-Replikation), verwendet es die im Ziel-Bucket festgelegte Object Lock. Wenn Sie Replikation verwenden, werden Objekte aus einem *Quell-Bucket* in einen oder mehrere *Ziel-Bucket(s)* repliziert.
Um die Replikation für einen Bucket mit aktivierter Objektsperre einzurichten, können Sie die S3-Konsole AWS CLI, die Amazon S3 S3-REST-API oder verwenden AWS SDKs.
**Anmerkung**
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).
Allgemeine Informationen zur S3-Replikation finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
Beispiele für die Einrichtung der S3-Replikation finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md).
## Verwenden von Object Lock mit Verschlüsselung
Amazon S3 verschlüsselt standardmäßig alle neuen Objekte. Sie können Object Lock mit Ihren verschlüsselten Objekten verwenden. Weitere Informationen finden Sie unter [Datenschutz durch Verschlüsselung](UsingEncryption.md).
Mit Object Lock können Sie zwar für einen bestimmten Zeitraum verhindern, dass Amazon-S3-Objekte gelöscht oder überschrieben werden. Es schützt jedoch nicht vor dem Verlust des Zugriffs auf die Verschlüsselungsschlüssel oder vor dem Löschen der Verschlüsselungsschlüssel. Wenn Sie beispielsweise Ihre Objekte mit AWS KMS serverseitiger Verschlüsselung verschlüsseln und Ihr AWS KMS Schlüssel gelöscht wird, können Ihre Objekte unlesbar werden.
## Verwenden von Object Lock mit Amazon S3 Inventory
Sie können Amazon S3 Inventory so konfigurieren, dass Listen der Objekte in einem S3-Bucket nach einem definierten Zeitplan erstellt werden. Sie können Amazon S3 Inventory so konfigurieren, dass es die folgenden Object-Lock-Metadaten für Ihre Objekte enthält:
+ Das Aufbewahrungsdatum
+ Der Aufbewahrungsmodus
+ Die gesetzliche Aufbewahrungsfrist
Weitere Informationen finden Sie unter [Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory](storage-inventory.md).
## Verwalten von S3-Lebenszyklusrichtlinien mit Object Lock
Konfigurationen für die Verwaltung des Objektlebenszyklus funktionieren für geschützte Objekte weiterhin normal. Dies schließt die Platzierung von Löschmarkierungen ein. Eine gesperrte Version eines Objekts kann jedoch nicht durch eine Ablaufrichtlinie von S3-Lebenszyklus gelöscht werden. Object Lock wird unabhängig davon beibehalten, in welcher Speicherklasse sich das Objekt befindet, selbst wenn es im Laufe seines S3-Lebenszyklus auf andere Speicherklassen übertragen wird.
Weitere Informationen zur Verwaltung von Objektlebenszyklen finden Sie unter [Verwalten des Lebenszyklus von Objekten](object-lifecycle-mgmt.md).
## Verwalten von Löschmarkierungen mit Object Lock
Sie können eine geschützte Objektversion zwar nicht löschen, aber eine Löschmarkierung für das betreffende Objekt erstellen. Durch das Setzen einer Löschmarkierung auf einem Objekt wird keine Objektversion gelöscht. Amazon S3 verhält sich dadurch aber zumeist so, als ob das Objekt gelöscht worden wäre. Weitere Informationen finden Sie unter [Arbeiten mit Löschmarkierungen](DeleteMarker.md).
**Anmerkung**
Löschmarkierungen sind nicht WORM-geschützt, unabhängig vom Aufbewahrungszeitraum oder der rechtlichen Aufbewahrungsfrist für das zugrunde liegende Objekt.
## Verwenden von S3 Storage Lens mit Object Lock
Wenn Sie Metriken für Object-Lock-fähige Speicherbytes und die Anzahl der Objekte sehen möchten, können Sie Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können.
Weitere Informationen finden Sie unter [Verwenden von S3 Storage Lens zum Schutz Ihrer Daten](storage-lens-data-protection.md).
Eine vollständige Liste der Metriken finden Sie unter [Amazon S3-Storage-Lens-Metrikglossar](storage_lens_metrics_glossary.md).
## Hochladen von Objekten in einen Bucket mit aktivierter Object Lock
Der Header `Content-MD5` oder `x-amz-sdk-checksum-algorithm` ist für jede Anforderung erforderlich, bei der es darum geht, mit Object Lock ein Objekt mit einem konfigurierten Aufbewahrungszeitraum hochzuladen. Diese Header bieten die Möglichkeit, die Integrität Ihres Objekts während des Uploads zu überprüfen.
Beim Hochladen eines Objekts über die Amazon-S3-Konsole fügt S3 automatisch den Header `Content-MD5` hinzu. Sie können optional über die Konsole eine zusätzliche Prüfsummenfunktion und einen Prüfsummenwert als Header `x-amz-sdk-checksum-algorithm` angeben. Wenn Sie die [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)API verwenden, müssen Sie den Header, den `Content-MD5` Header oder beide angeben, um den `x-amz-sdk-checksum-algorithm` Aufbewahrungszeitraum für Object Lock zu konfigurieren.
Weitere Informationen finden Sie unter [Überprüfen der Objektintegrität in Amazon S3](checking-object-integrity.md).
## Konfigurieren von Ereignissen und Benachrichtigungen
Sie können Amazon S3 Event Notifications verwenden, um den Zugriff und die Änderungen an Ihren Object Lock-Konfigurationen und -Daten nachzuverfolgen, indem Sie AWS CloudTrail Weitere Informationen dazu CloudTrail finden Sie unter [Was ist AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) im *AWS CloudTrail Benutzerhandbuch*.
Sie können Amazon auch verwenden CloudWatch , um Benachrichtigungen auf der Grundlage dieser Daten zu generieren. Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie
Sie können mittels einer Bucket-Richtlinie mindestens erforderliche und maximal zulässige Aufbewahrungszeiträume für einen Bucket festlegen. Die maximale Aufbewahrungsfrist beträgt 100 Jahre.
Das folgende Beispiel zeigt eine Bucket-Richtlinie, die den Bedingungsschlüssel `s3:object-lock-remaining-retention-days` verwendet, um einen maximalen Aufbewahrungszeitraum von 10 Tagen festzulegen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SetRetentionLimits",
"Statement": [
{
"Sid": "SetRetentionPeriod",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:PutObjectRetention"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"NumericGreaterThan": {
"s3:object-lock-remaining-retention-days": "10"
}
}
}
]
}
```
------
**Anmerkung**
Wenn es sich bei Ihrem Bucket um den Ziel-Bucket einer Replikationsrichtlinie handelt, können Sie minimal und maximal zulässige Aufbewahrungszeiträume für Objektreplikate einrichten, die mittels Replikation erstellt werden. Hierzu müssen Sie die `s3:ReplicateObject`-Aktion in Ihrer Bucket-Richtlinie zulassen. Weitere Informationen zur Verwendung von Replikationsberechtigungen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).
Weitere Informationen zu Bucket-Richtlinien finden Sie in den folgenden Themen:
+ [ Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Referenz zur Serviceautorisierung*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
+ [Objektoperationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects)
+ [Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln](amazon-s3-policy-keys.md)
# Konfigurieren von S3 Object Lock
Mit Amazon S3 Object Lock können Sie Objekte mithilfe eines *write-once-read-many*(WORM) -Modells in Amazon S3 S3-Allzweck-Buckets speichern. Mit der S3-Objektsperre können Sie für einen festen Zeitraum oder auf unbegrenzte Zeit verhindern, dass ein Objekt gelöscht oder überschrieben wird. Allgemeine Informationen zu den Funktionen von Object Lock finden Sie unter [Sperren von Objekten mit Object Lock](object-lock.md).
Bevor Sie Objekte sperren können, müssen Sie die S3-Versionsverwaltung und Object Lock für einen Allzweck-Bucket aktivieren. Anschließend können Sie einen Aufbewahrungszeitraum, eine gesetzliche Aufbewahrungsfrist oder beides festlegen.
Um mit Object Lock zu arbeiten, müssen Sie über bestimmte Berechtigungen verfügen. Eine Liste der Berechtigungen für verschiedene Object-Lock-Vorgänge finden Sie unter [Erforderliche Berechtigungen](object-lock.md#object-lock-permissions).
**Wichtig**
Wenn Sie Object Lock für einen Bucket aktiviert haben, können Sie Object Lock nicht deaktivieren oder die Versionsverwaltung für diesen Bucket aussetzen.
S3-Buckets mit Object Lock können nicht als Ziel-Buckets für Server-Zugriffsprotokolle verwendet werden. Weitere Informationen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md).
**Topics**
+ [Aktivieren von Object Lock beim Erstellen eines neuen S3-Allzweck-Buckets](#object-lock-configure-new-bucket)
+ [Aktivieren von Object Lock für einen vorhandenen S3-Bucket](#object-lock-configure-existing-bucket)
+ [Einrichten oder Ändern einer gesetzlichen Aufbewahrungsfrist für ein S3-Objekt](#object-lock-configure-set-legal-hold)
+ [Einrichten oder Ändern eines Aufbewahrungszeitraums für ein S3-Objekt](#object-lock-configure-set-retention-period-object)
+ [Einrichten oder Ändern eines Standard-Aufbewahrungszeitraums für einen S3-Bucket](#object-lock-configure-set-retention-period-bucket)
## Aktivieren von Object Lock beim Erstellen eines neuen S3-Allzweck-Buckets
Sie können Object Lock aktivieren, wenn Sie einen neuen S3-Allzweck-Bucket mithilfe der Amazon S3 S3-Konsole AWS Command Line Interface (AWS CLI) oder der Amazon S3 S3-REST-API erstellen. AWS SDKs
### Verwenden der S3-Konsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Allzweck-Buckets** aus.
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
Anschließend wird die Seite **Bucket erstellen** geöffnet.
1. Geben Sie unter **Bucket Name (Bucket-Name)** einen Namen für den Bucket ein.
**Anmerkung**
Der Name eines einmal erstellten Buckets kann nicht nachträglich geändert werden. Weitere Informationen zur Benennung von Buckets finden Sie unter [Benennungsregeln für Allzweck-Buckets](bucketnamingrules.md).
1. Wählen Sie **unter Region** den AWS-Region Ort aus, an dem sich der Bucket befinden soll.
1. Wählen Sie unter **Objekteigentümer** aus, ob Sie Zugriffskontrolllisten (ACLs) deaktivieren oder aktivieren und den Besitz von Objekten kontrollieren möchten, die in Ihren Bucket hochgeladen wurden.
1. Wählen Sie unter **Einstellungen "Öffentlichen Zugriff beschränken" für diesen Bucket** die Einstellungen zum Beschränken des öffentlichen Zugriffs aus, die Sie auf den Bucket anwenden möchten.
1. Wählen Sie unter **Bucket-Versionsverwaltung** die Option **Aktiviert**.
Object Lock funktioniert nur mit versionsgesteuerten Buckets.
1. (Optional) Unter **Tags** können Sie auswählen, ob Sie Ihrem Bucket Tags hinzufügen möchten. Tags sind Schlüssel-Wert-Paare, die zur Kategorisierung von Speicher und zur Zuweisung von Kosten verwendet werden.
1. Suchen Sie unter **Erweiterte Einstellungen** nach **Object Lock** und wählen Sie **Aktivieren** aus.
Sie müssen sich darüber im Klaren sein, dass durch die Aktivierung von Object Lock Objekte in diesem Bucket dauerhaft gesperrt werden können.
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
### Verwenden Sie den AWS CLI
Im folgenden `create-bucket`-Beispiel wird ein neuer S3-Bucket mit dem Namen `amzn-s3-demo-bucket1` und aktiviertem Object Lock erstellt:
```
aws s3api create-bucket --bucket amzn-s3-demo-bucket1 --object-lock-enabled-for-bucket
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html) in der *Referenz zum AWS CLI -Befehl*.
**Anmerkung**
Sie können AWS CLI Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell AWS CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole[Weitere Informationen finden Sie unter Was ist? CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) im *AWS CloudShell Benutzerhandbuch*.
### Verwenden der REST-API
Sie können die REST-API verwenden, um einen neuen S3-Bucket mit aktiviertem Object Lock zu erstellen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html) in der *API-Referenz zu Amazon Simple Storage Service*.
### Mit dem AWS SDKs
Beispiele dafür, wie Sie Object Lock aktivieren können, wenn Sie einen neuen S3-Bucket mit dem erstellen AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_LCreateBucket_section.html) in der *Amazon S3 S3-API-Referenz*.
Beispiele dafür, wie Sie die aktuelle Object Lock-Konfiguration mit dem abrufen können AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_GetObjectLockConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Ein interaktives Szenario, das verschiedene Object Lock-Funktionen mithilfe von demonstriert AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_Scenario_ObjectLock_section.html) in der *Amazon S3 S3-API-Referenz*.
Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter [Entwickeln mit Amazon S3 unter Verwendung von AWS SDKs in der](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) *Amazon S3 S3-API-Referenz*.
## Aktivieren von Object Lock für einen vorhandenen S3-Bucket
Sie können Object Lock für einen vorhandenen S3-Bucket aktivieren, indem Sie die Amazon S3 S3-Konsole, die AWS CLI AWS SDKs, oder die Amazon S3 S3-REST-API verwenden.
### Verwenden der S3-Konsole
**Anmerkung**
Object Lock funktioniert nur mit versionsgesteuerten Buckets.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, für den Sie Object Lock aktivieren möchten.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Scrollen Sie unter **Eigenschaften** nach unten zum Bereich **Object Lock** und wählen Sie **Bearbeiten** aus.
1. Wählen Sie unter **Object Lock** die Option **Aktivieren** aus.
Sie müssen sich darüber im Klaren sein, dass durch die Aktivierung von Object Lock Objekte in diesem Bucket dauerhaft gesperrt werden können.
1. Wählen Sie **Änderungen speichern ** aus.
### Verwenden Sie den AWS CLI
Mit dem folgenden `put-object-lock-configuration`-Beispielbefehl wird eine Aufbewahrungsfrist von 50 Tagen für Object Lock für einen Bucket mit dem Namen `amzn-s3-demo-bucket1` festgelegt:
```
aws s3api put-object-lock-configuration --bucket amzn-s3-demo-bucket1 --object-lock-configuration='{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 50 }}}'
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-lock-configuration.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-lock-configuration.html) in der *Referenz zum AWS CLI -Befehl*.
**Anmerkung**
Sie können AWS CLI Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell AWS CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole[Weitere Informationen finden Sie unter Was ist? CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) im *AWS CloudShell Benutzerhandbuch*.
### Verwenden der REST-API
Sie können die Amazon-S3-REST-API verwenden, um Object Lock für einen vorhandenen S3-Bucket zu aktivieren. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html) in der *API-Referenz zu Amazon Simple Storage Service*.
### Mit dem AWS SDKs
Beispiele dafür, wie Sie Object Lock für einen vorhandenen S3-Bucket mit dem aktivieren AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutObjectLockConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Beispiele dafür, wie Sie die aktuelle Object Lock-Konfiguration mit dem abrufen können AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_GetObjectLockConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Ein interaktives Szenario, das verschiedene Object Lock-Funktionen mithilfe von demonstriert AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_Scenario_ObjectLock_section.html) in der *Amazon S3 S3-API-Referenz*.
Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter [Entwickeln mit Amazon S3 unter Verwendung von AWS SDKs in der](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) *Amazon S3 S3-API-Referenz*.
## Einrichten oder Ändern einer gesetzlichen Aufbewahrungsfrist für ein S3-Objekt
Sie können eine gesetzliche Sperre für ein S3-Objekt mithilfe der Amazon S3-Konsole, AWS CLI AWS SDKs, oder der Amazon S3-REST-API einrichten oder entfernen.
**Wichtig**
Wenn Sie eine gesetzliche Aufbewahrungsfrist für ein Objekt festlegen möchten, muss Object Lock für den Bucket des Objekts bereits aktiviert sein.
Wenn Sie `PUT` für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.
Weitere Informationen finden Sie unter [Rechtliche Aufbewahrungsfristen](object-lock.md#object-lock-legal-holds).
### Verwenden der S3-Konsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, der das Objekt enthält, für das Sie eine gesetzliche Aufbewahrungsfrist einrichten oder ändern möchten.
1. Wähle Sie in der Liste **Objekte** das Objekt aus, für das Sie eine gesetzliche Aufbewahrungsfrist festlegen oder ändern möchten.
1. Suchen Sie auf der Seite mit den **Objekteigenschaften** den Bereich **Object Lock – Gesetzliche Aufbewahrungsfristen** und wählen Sie **Bearbeiten**.
1. Wählen Sie **Aktivieren**, um eine gesetzliche Aufbewahrungsfrist festzulegen, oder **Deaktivieren**, um eine gesetzliche Aufbewahrungsfrist zu entfernen.
1. Wählen Sie **Änderungen speichern ** aus.
### Verwenden Sie den AWS CLI
Im folgenden `put-object-legal-hold`-Beispiel wird für das Objekt *`my-image.fs`* im Bucket mit dem Namen `amzn-s3-demo-bucket1` eine gesetzliche Aufbewahrungsfrist eingerichtet:
```
aws s3api put-object-legal-hold --bucket amzn-s3-demo-bucket1 --key my-image.fs --legal-hold="Status=ON"
```
Im folgenden `put-object-legal-hold`-Beispiel wird für das Objekt *`my-image.fs`* im Bucket mit dem Namen `amzn-s3-demo-bucket1` eine gesetzliche Aufbewahrungsfrist entfernt:
```
aws s3api put-object-legal-hold --bucket amzn-s3-demo-bucket1 --key my-image.fs --legal-hold="Status=OFF"
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-legal-hold.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-legal-hold.html) in der *Referenz zum AWS CLI -Befehl*.
**Anmerkung**
Sie können AWS CLI Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell AWS CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole[Weitere Informationen finden Sie unter Was ist? CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) im *AWS CloudShell Benutzerhandbuch*.
### Verwenden der REST-API
Sie können die REST-API verwenden, um einen gesetzlichen Aufbewahrungszeitraum für ein Objekt festzulegen oder zu ändern. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html) in der *API-Referenz zu Amazon Simple Storage Service*.
### Mit dem AWS SDKs
Beispiele dafür, wie Sie mit dem eine gesetzliche Aufbewahrungsfrist für ein Objekt einrichten können AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutObjectLegalHold_section.html) in der *Amazon S3 S3-API-Referenz*.
Beispiele dafür, wie Sie den aktuellen gesetzlichen Aufbewahrungsstatus mit dem abrufen können AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_GetObjectLegalHoldConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Ein interaktives Szenario, das verschiedene Object Lock-Funktionen mithilfe von demonstriert AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_Scenario_ObjectLock_section.html) in der *Amazon S3 S3-API-Referenz*.
Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter [Entwickeln mit Amazon S3 unter Verwendung von AWS SDKs in der](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) *Amazon S3 S3-API-Referenz*.
## Einrichten oder Ändern eines Aufbewahrungszeitraums für ein S3-Objekt
Sie können einen Aufbewahrungszeitraum für ein S3-Objekt mithilfe der Amazon S3-Konsole, AWS CLI AWS SDKs, oder der Amazon S3-REST-API festlegen oder ändern.
**Wichtig**
Wenn Sie einen Aufbewahrungszeitraum für ein Objekt festlegen möchten, muss Object Lock für den Bucket des Objekts bereits aktiviert sein.
Wenn Sie `PUT` für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket verwenden, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.
Die einzige Möglichkeit, ein Objekt im Compliance-Modus vor Ablauf seines Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige Objekt zu löschen AWS-Konto.
Weitere Informationen finden Sie unter [Aufbewahrungszeiträume](object-lock.md#object-lock-retention-periods).
### Verwenden der S3-Konsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, der das Objekt enthält, für das Sie einen Aufbewahrungszeitraum einrichten oder ändern möchten.
1. Wähle Sie in der Liste **Objekte** das Objekt aus, für das Sie einen Aufbewahrungszeitraum festlegen oder ändern möchten.
1. Suchen Sie auf der Seite mit den **Objekteigenschaften** den Bereich **Object Lock – Aufbewahrungszeitraum** und wählen Sie **Bearbeiten**.
1. Wählen Sie unter **Aufbewahrung** die Option **Aktivieren** aus, um einen Aufbewahrungszeitraum festzulegen, oder **Deaktivieren**, um einen Aufbewahrungszeitraum zu entfernen.
1. Wenn Sie **Aktivieren** unter **Aufbewahrungsmodus** ausgewählt haben, wählen Sie entweder **Governance-Modus** oder **Compliance-Modus**. Weitere Informationen finden Sie unter [Aufbewahrungsmodi](object-lock.md#object-lock-retention-modes).
1. Wählen Sie unter **Aufbewahren bis** das Datum aus, an dem der Aufbewahrungszeitraum enden soll. Während dieses Zeitraums ist Ihr Objekt WORM-geschützt und kann weder überschrieben noch gelöscht werden. Weitere Informationen finden Sie unter [Aufbewahrungszeiträume](object-lock.md#object-lock-retention-periods).
1. Wählen Sie **Änderungen speichern ** aus.
### Verwenden Sie den AWS CLI
Im folgenden `put-object-retention`-Beispiel wird für das Objekt *`my-image.fs`* in dem Bucket mit dem Namen `amzn-s3-demo-bucket1` ein Aufbewahrungszeitraum bis zum 1. Januar 2025 festgelegt:
```
aws s3api put-object-retention --bucket amzn-s3-demo-bucket1 --key my-image.fs --retention='{ "Mode": "GOVERNANCE", "RetainUntilDate": "2025-01-01T00:00:00" }'
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-retention.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-retention.html) in der *Referenz zum AWS CLI -Befehl*.
**Anmerkung**
Sie können AWS CLI Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell AWS CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole[Weitere Informationen finden Sie unter Was ist? CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) im *AWS CloudShell Benutzerhandbuch*.
### Verwenden der REST-API
Sie können die REST-API verwenden, um einen Aufbewahrungszeitraum für ein Objekt festzulegen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html) in der *API-Referenz zu Amazon Simple Storage Service*.
### Mit dem AWS SDKs
Beispiele dafür, wie Sie mit dem eine Aufbewahrungsfrist für ein Objekt festlegen AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutObjectRetention_section.html) in der *Amazon S3 S3-API-Referenz*.
Beispiele dafür, wie Sie die Aufbewahrungsdauer für ein Objekt mit dem ermitteln können AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_GetObjectLockConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Ein interaktives Szenario, das verschiedene Object Lock-Funktionen mithilfe von demonstriert AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_GetObjectLockConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter [Entwickeln mit Amazon S3 unter Verwendung von AWS SDKs in der](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) *Amazon S3 S3-API-Referenz*.
## Einrichten oder Ändern eines Standard-Aufbewahrungszeitraums für einen S3-Bucket
Sie können eine standardmäßige Aufbewahrungsfrist für einen S3-Bucket mithilfe der Amazon S3-Konsole, AWS CLI AWS SDKs, oder der Amazon S3-REST-API festlegen oder ändern. Sie geben eine Dauer in Tagen oder Jahren an, für die jede in dem Bucket befindliche Objektversion geschützt werden soll.
**Wichtig**
Wenn Sie einen Standard-Aufbewahrungszeitraum für einen Bucket festlegen möchten, muss Object Lock für den Bucket bereits aktiviert sein.
Wenn Sie für eine Objektversion mit einem expliziten individuellen Aufbewahrungsmodus und Zeitraum in einem Bucket `PUT` durchführen, haben die individuellen Object-Lock-Einstellungen der Objektversion Vorrang vor allen Aufbewahrungseinstellungen für Bucket-Eigenschaften.
Die einzige Möglichkeit, ein Objekt im Compliance-Modus vor Ablauf seines Aufbewahrungsdatums zu löschen, besteht darin, das zugehörige Objekt zu löschen AWS-Konto.
Weitere Informationen finden Sie unter [Aufbewahrungszeiträume](object-lock.md#object-lock-retention-periods).
### Verwenden der S3-Konsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus.
1. Wählen Sie in der Liste **Buckets** den Namen des Buckets aus, für den Sie einen Aufbewahrungszeitraum einrichten oder ändern möchten.
1. Wählen Sie die Registerkarte **Eigenschaften** aus.
1. Scrollen Sie unter **Eigenschaften** nach unten zum Bereich **Object Lock** und wählen Sie **Bearbeiten** aus.
1. Wählen Sie unter **Standard-Aufbewahrung** die Option **Aktivieren** aus, um einen Standard-Aufbewahrungszeitraum festzulegen, oder **Deaktivieren**, um einen Standard-Aufbewahrungszeitraum zu entfernen.
1. Wenn Sie **Aktivieren** unter **Aufbewahrungsmodus** ausgewählt haben, wählen Sie entweder **Governance-Modus** oder **Compliance-Modus**. Weitere Informationen finden Sie unter [Aufbewahrungsmodi](object-lock.md#object-lock-retention-modes).
1. Wählen Sie unter **Standard-Aufbewahrungszeitraum** die Anzahl der Tage oder Jahre aus, für die der Aufbewahrungszeitraum gelten soll. Objekte, die sich in diesem Bucket befinden, werden für diese Anzahl von Tagen oder Jahren gesperrt. Weitere Informationen finden Sie unter [Aufbewahrungszeiträume](object-lock.md#object-lock-retention-periods).
1. Wählen Sie **Änderungen speichern ** aus.
### Verwenden Sie den AWS CLI
Mit dem folgenden `put-object-lock-configuration`-Beispielbefehl wird eine Object-Lock-Aufbewahrungsfrist von 50 Tag für einen Bucket mit dem Namen `amzn-s3-demo-bucket1` unter Verwendung des Compliance-Modus festgelegt:
```
aws s3api put-object-lock-configuration --bucket amzn-s3-demo-bucket1 --object-lock-configuration='{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 50 }}}'
```
Im folgenden `put-object-lock-configuration`-Beispiel wird die Standard-Aufbewahrungskonfiguration für einen Bucket entfernt:
```
aws s3api put-object-lock-configuration --bucket amzn-s3-demo-bucket1 --object-lock-configuration='{ "ObjectLockEnabled": "Enabled"}'
```
Weitere Informationen und Beispiele finden Sie unter [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-lock-configuration.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-lock-configuration.html) in der *Referenz zum AWS CLI -Befehl*.
**Anmerkung**
Sie können AWS CLI Befehle von der Konsole aus ausführen, indem Sie AWS CloudShell AWS CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole[Weitere Informationen finden Sie unter Was ist? CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) im *AWS CloudShell Benutzerhandbuch*.
### Verwenden der REST-API
Sie können die REST-API nutzen, um einen Standardaufbewahrungszeitraum für einen bestehenden S3-Bucket festzulegen. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html) in der *API-Referenz zu Amazon Simple Storage Service*.
### Mit dem AWS SDKs
Beispiele dafür, wie Sie mit dem eine standardmäßige Aufbewahrungsfrist für einen vorhandenen S3-Bucket festlegen AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutObjectLockConfiguration_section.html) in der *Amazon S3 S3-API-Referenz*.
Ein interaktives Szenario, das verschiedene Object Lock-Funktionen mithilfe von demonstriert AWS SDKs, finden Sie in den [Codebeispielen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_Scenario_ObjectLock_section.html) in der *Amazon S3 S3-API-Referenz*.
Allgemeine Informationen zur Verwendung verschiedener AWS SDKs finden Sie unter [Entwickeln mit Amazon S3 unter Verwendung von AWS SDKs in der](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) *Amazon S3 S3-API-Referenz*.