Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Considérations relatives au verrouillage d’objet

PDF
RSS
Mode de mise au point
Considérations relatives au verrouillage d’objet - Amazon Simple Storage Service
Autorisations d’affichage des informations de verrouillageIgnorer le mode de gouvernanceUtilisation du verrouillage d’objet avec la réplication S3Utilisation du verrouillage d’objet avec un chiffrementUtilisation du verrouillage d’objet avec l’inventaire Amazon S3Gestion des politiques de cycle de vie S3 avec le verrouillage d’objetGestion des marqueurs de suppression avec le verrouillage d’objetUtilisation de S3 Storage Lens avec le verrouillage d’objetChargement d’objets dans un compartiment avec le verrouillage d’objet activéConfiguration d’événements et de notificationsDéfinition de limites sur les périodes de rétention à l’aide d’une politique de compartiment

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le verrouillage d’objet Amazon S3 permet d’empêcher la suppression ou le remplacement d’objets sur une période déterminée ou indéfinie.

Vous pouvez utiliser la console Amazon S3, AWS Command Line Interface (AWS CLI) ou l'API REST Amazon S3 pour afficher ou définir les informations de verrouillage des objets. AWS SDKs Pour obtenir des informations générales sur les fonctionnalités de verrouillage d’objet S3, consultez Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet.

Important

  • Après avoir activé le verrouillage d’objet sur un compartiment, vous ne pouvez pas désactiver le verrouillage d’objet ni interrompre la gestion des versions pour ce compartiment.

  • Les compartiments S3 avec verrouillage d’objet ne peuvent pas être utilisés comme compartiments de destination pour les journaux d’accès au serveur. Pour plus d’informations, consultez Enregistrement de demandes avec journalisation des accès au serveur.

Autorisations d’affichage des informations de verrouillage

Vous pouvez consulter par programmation l'état de verrouillage des objets d'une version d'objet Amazon S3 à l'aide du HeadObject ou GetObjectopérations. Les deux opérations renvoient le mode de rétention, Rétention jusqu’à la date, et le statut de conservation légale pour la version d’objet spécifiée. En outre, vous pouvez consulter le statut du verrouillage d’objet pour plusieurs objets de votre compartiment S3 à l’aide de l’inventaire S3.

Pour afficher le mode de conservation et la période de conservation d’une version d’objet, vous devez avoir l’autorisation s3:GetObjectRetention. Pour afficher le statut de conservation légale d’une version d’objet, vous devez avoir l’autorisation s3:GetObjectLegalHold. Pour afficher la configuration de rétention par défaut d’un compartiment, vous devez disposer de l’autorisation s3:GetBucketObjectLockConfiguration. Si vous effectuez une demande pour une configuration de verrouillage d’objet sur un compartiment pour lequel le verrouillage d’objet S3 n’est pas activé, Amazon S3 renvoie une erreur.

Ignorer le mode de gouvernance

Si vous disposez de l’autorisation s3:BypassGovernanceRetention, vous pouvez effectuer des opérations sur les versions d’objet verrouillées en mode de gouvernance comme si elles n’étaient pas protégées. Ces opérations incluent la suppression d’une version d’objet, le raccourcissement de la période de rétention ou la suppression de la période de rétention de verrouillage d’objet en plaçant une nouvelle demande PutObjectRetention avec des paramètres vides.

Afin d’ignorer le mode de gouvernance, vous devez indiquer explicitement dans votre demande que vous voulez l’ignorer. Pour ce faire, incluez l'x-amz-bypass-governance-retention:trueen-tête dans votre demande d'opération d'PutObjectRetentionAPI ou utilisez le paramètre équivalent avec les demandes effectuées via le AWS CLI ou AWS SDKs. La console S3 applique automatiquement cet en-tête pour les demandes effectuées via la console S3 si vous disposez de l’autorisation s3:BypassGovernanceRetention.

Note

L’ignorance du mode de gouvernance n’affecte pas le statut de conservation légale d’une version d’objet. Si une conservation légale est activée pour une version d’objet, cette conservation légale reste en vigueur et empêche que les demandes remplacent ou suppriment la version d’objet.

Utilisation du verrouillage d’objet avec la réplication S3

Vous pouvez utiliser le verrouillage d’objet avec la réplication S3 pour activer la copie automatique et asynchrone d’objets verrouillés et de leurs métadonnées de rétention entre des compartiments S3. Cela signifie que pour les objets répliqués, Amazon S3 utilise la configuration de verrouillage d’objet du compartiment source. En d’autres termes, si le verrouillage d’objet est activé sur le compartiment source, il doit également être activé sur les compartiments de destination. Si vous chargez un objet directement dans le compartiment de destination (en dehors de la réplication S3), il hérite du verrouillage d’objet du compartiment de destination. Lorsque vous utilisez la réplication, les objets d’un compartiment source sont répliqués vers un ou plusieurs compartiments de destination.

Pour configurer la réplication sur un compartiment avec Object Lock activé, vous pouvez utiliser la console S3 AWS CLI, l'API REST Amazon S3 ou AWS SDKs.

Note

Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle AWS Identity and Access Management (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont s3:GetObjectRetention et s3:GetObjectLegalHold. Si le rôle dispose d’une déclaration d’autorisation s3:Get*, cette déclaration répond à l’exigence. Pour plus d’informations, consultez Configuration des autorisations pour la réplication en direct.

Pour obtenir des informations générales sur la réplication S3, consultez Réplication d’objets au sein des régions et entre elles.

Pour examiner des exemples de configuration de la réplication S3, consultez Exemples de configuration de la réplication en direct.

Utilisation du verrouillage d’objet avec un chiffrement

Amazon S3 chiffre par défaut tous les nouveaux objets. Vous pouvez utiliser le verrouillage d’objet avec vos objets chiffrés. Pour de plus amples informations, veuillez consulter Protection des données à l’aide du chiffrement.

Le verrouillage d’objet contribue à empêcher la suppression et le remplacement d’objets Amazon S3, mais il ne protège pas contre la perte d’accès aux clés de chiffrement ni contre leur suppression. Par exemple, si vous chiffrez vos objets à l'aide d'un chiffrement AWS KMS côté serveur et que votre AWS KMS clé est supprimée, vos objets risquent de devenir illisibles.

Utilisation du verrouillage d’objet avec l’inventaire Amazon S3

Vous pouvez configurer l’inventaire Amazon S3 pour créer des listes d’objets dans un compartiment S3 selon une planification définie. Vous pouvez configurer l’inventaire Amazon S3 pour inclure les métadonnées de verrouillage d’objet suivantes pour vos objets :

  • Date limite de rétention

  • Mode de rétention

  • Statut de conservation légale

Pour de plus amples informations, veuillez consulter Catalogage et analyse de vos données avec l’inventaire S3.

Gestion des politiques de cycle de vie S3 avec le verrouillage d’objet

Les configurations de gestion du cycle de vie des objets continuent à fonctionner normalement sur les objets protégés, y compris le placement des marqueurs de suppression. Toutefois, une version verrouillée d’un objet ne peut pas être supprimée par une politique d’expiration du cycle de vie S3. Le verrouillage d’objet est maintenu quelle que soit la classe de stockage dans laquelle réside l’objet et tout au long des transitions du cycle de vie S3 entre les classes de stockage.

Pour plus d’informations sur la gestion des cycles de vie d’objet, consultez Gestion du cycle de vie des objets.

Gestion des marqueurs de suppression avec le verrouillage d’objet

Même si vous ne pouvez pas supprimer une version d’objet protégée, vous pouvez continuer à créer un marqueur de suppression pour cet objet. Le placement d’un marqueur de suppression sur un objet n’a pas pour effet de supprimer l’objet ou des versions de celui-ci. Cependant, il conduit Amazon S3 à se comporter la plupart du temps comme si l’objet avait été supprimé. Pour plus d’informations, consultez Utilisation des marqueurs de suppression.

Note

Les marqueurs de suppression ne sont pas protégés par WORM, quelles que soient la période de rétention ou la conservation légale en place sur l’objet sous-jacent.

Utilisation de S3 Storage Lens avec le verrouillage d’objet

Pour consulter les statistiques relatives aux nombres d’objets et d’octets de stockage avec verrouillage d’objets activé, vous pouvez utiliser Amazon S3 Storage Lens. S3 Storage Lens est une fonction d’analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l’échelle de l’organisation sur l’utilisation et l’activité du stockage d’objets.

Pour plus d’informations, consultez Utilisation de S3 Storage Lens pour protéger vos données.

Pour obtenir une liste complète des métriques, consultez Glossaire des métriques Amazon S3 Storage Lens.

Chargement d’objets dans un compartiment avec le verrouillage d’objet activé

L’en-tête Content-MD5 ou x-amz-sdk-checksum-algorithm est requis pour toute demande de chargement d’un objet dont la période de conservation est configurée à l’aide du verrouillage d’objet. Ces en-têtes permettent de vérifier l’intégrité de votre objet lors du chargement.

Lorsque vous chargez un objet à l’aide de la console Amazon S3, S3 ajoute automatiquement l’en-tête Content-MD5. Vous pouvez éventuellement spécifier une fonction de somme de contrôle supplémentaire et une valeur de somme de contrôle via la console en tant qu’en-tête x-amz-sdk-checksum-algorithm. Si vous utilisez l'PutObjectAPI, vous devez spécifier l'Content-MD5en-tête, l'x-amz-sdk-checksum-algorithmen-tête ou les deux pour configurer la période de rétention d'Object Lock.

Pour de plus amples informations, veuillez consulter Vérification de l’intégrité des objets dans Amazon S3.

Configuration d’événements et de notifications

Vous pouvez utiliser les notifications d'événements Amazon S3 pour suivre l'accès et les modifications apportées à vos configurations et données Object Lock en utilisant AWS CloudTrail. Pour plus d'informations CloudTrail, voir Qu'est-ce que c'est AWS CloudTrail ? dans le guide de AWS CloudTrail l'utilisateur.

Vous pouvez également utiliser Amazon CloudWatch pour générer des alertes sur la base de ces données. Pour plus d'informations CloudWatch, consultez le document Qu'est-ce qu'Amazon CloudWatch ? dans le guide de CloudWatch l'utilisateur Amazon.

Définition de limites sur les périodes de rétention à l’aide d’une politique de compartiment

Vous pouvez définir des périodes de rétention autorisées minimale et maximale pour un compartiment en utilisant une politique de compartiment. La période de conservation maximale est de 100 ans.

L’exemple suivant montre une politique de compartiment qui utilise la clé de condition s3:object-lock-remaining-retention-days pour définir une période de conservation maximale de 10 jours.

{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}
Note

Si votre compartiment est le compartiment de destination d’une configuration de réplication, vous pouvez configurer des périodes de rétention minimale et maximale autorisées pour les réplicas d’objet créés à l’aide de la réplication. Pour ce faire, vous devez autoriser l’action s3:ReplicateObject dans votre politique de compartiment. Pour plus d’informations sur les autorisations de réplication, consultez Configuration des autorisations pour la réplication en direct.

Pour plus d’informations sur les politiques de compartiment, consultez les rubriques suivantes :

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.