Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Verrouiller des objets avec Object Lock
Le verrouillage d’objet S3 permet d’empêcher la suppression ou le remplacement d’objets Amazon S3 sur une période déterminée ou indéfinie. Object Lock utilise un modèle write-once-read-many(WORM) pour stocker des objets. Vous pouvez utiliser Object Lock pour répondre aux exigences réglementaires en matière de WORM stockage ou pour ajouter un niveau de protection supplémentaire contre la modification ou la suppression d'objets.
Note
S3 Object Lock a été évalué par Cohasset Associates pour une utilisation dans des environnements soumis aux normes SEC 17a-4 et FINRA aux CFTC réglementations. Pour plus d'informations sur le lien entre Object Lock et ces réglementations, consultez le Cohasset Associates Évaluation de la conformité
Le verrouillage des objets propose deux façons de gérer la rétention des objets : les périodes de rétention et les conservations à des fins juridiques. Une version d’un objet peut être assortie d’une période de rétention, d’une mise en suspens juridique ou des deux.
-
Période de rétention : la période de rétention est une période fixe au cours de la laquelle un objet reste verrouillé. Vous pouvez définir une période de conservation unique pour des objets individuels. En outre, vous pouvez définir une période de rétention par défaut pour un compartiment S3. Vous pouvez également limiter les périodes de conservation minimale et maximale autorisées en utilisant la clé de
s3:object-lock-remaining-retention-days
condition figurant dans la politique de compartiment. Cela vous permet d'établir une plage de périodes de conservation et de limiter les périodes de conservation qui peuvent être plus ou moins longues que cette plage. -
Mise en suspens juridique : une mise en suspens juridique assure la même protection que la période de rétention, mais n’a pas de date d’expiration. La mise en suspens juridique reste en vigueur tant que vous ne la retirez pas explicitement. Les blocages légaux sont indépendants des périodes de conservation et sont placés sur des versions d'objets individuelles.
Le verrouillage d’objet fonctionne uniquement dans les compartiments pour lesquels la gestion des versions S3 est activée. Lorsque vous verrouillez une version d'objet, Amazon S3 stocke les informations de verrouillage dans les métadonnées de cette version d'objet. Le fait de définir une période de rétention ou une mise en suspens juridique sur un objet a pour effet de protéger uniquement la version spécifiée dans la demande. Les périodes de conservation et les blocages légaux n'empêchent pas la création de nouvelles versions de l'objet, ni ne suppriment les marqueurs à ajouter au-dessus de l'objet. Pour en savoir plus sur la gestion des versions S3, veuillez consulter Conservation de plusieurs versions d'objets grâce au versionnement S3.
Si vous placez un objet dans un compartiment qui contient déjà un objet protégé existant doté du même nom de clé d’objet, Amazon S3 crée une nouvelle version de cet objet. La version protégée existante de l'objet reste verrouillée conformément à sa configuration de rétention.
Fonctionnement du verrouillage d'objets S3
Rubriques
Périodes de rétention
Une période de rétention protège une version d'objet pendant une durée fixe. Lorsque vous mettez en place une période de rétention sur une version d'objet, Amazon S3 stocke un horodatage dans les métadonnées de la version d'objet pour indiquer la date à laquelle la période de rétention expire. Après l’expiration de la période de rétention, la version de l’objet peut être remplacée ou supprimée.
Vous pouvez définir une période de rétention de manière explicite sur une version d’objet individuelle ou sur les propriétés d’un compartiment afin qu’elle s’applique automatiquement à tous les objets du compartiment. Lorsque vous appliquez explicitement une période de rétention à une version d'objet, vous spécifiez une Retain Until Date (Date de fin de conservation) pour la version de l'objet. Amazon S3 stocke cette date dans les métadonnées de la version de l’objet.
Vous pouvez également définir une période de rétention dans les propriétés d’un compartiment. Lorsque vous définissez une période de rétention sur un compartiment, vous spécifiez une durée, en jours ou en années, pendant laquelle chaque version d’objet placée dans le compartiment sera protégée. Lorsque vous placez un objet dans le compartiment, Amazon S3 calcule une échéance de rétention pour la version de l’objet en ajoutant la durée spécifiée à l’horodatage de création de la version de l’objet. La version de l’objet est ensuite protégée exactement comme si vous aviez mis en place un verrouillage individuel de manière explicite avec la même période de rétention sur la version de l’objet.
Note
Lorsque vous placez (PUT
) une version d’objet dotée d’un mode et d’une période de rétention individuels explicites dans un compartiment, les paramètres individuels de verrouillage d’objet de la version de l’objet remplacent tous les paramètres de rétention des propriétés du compartiment.
À l'instar de tous les autres paramètres de la fonctionnalité de verrouillage des objets, les périodes de rétention s'appliquent aux versions d'objet individuelles. Les différentes versions d'un seul objet peuvent avoir des modes et des périodes de rétention différents.
Par exemple, supposons que vous ayez un objet qui en est à 15 jours sur une période de conservation de 30 jours, et que vous PUT
un objet dans Amazon S3 ayant le même nom et une période de rétention de 60 jours. Dans ce cas, votre demande PUT
aboutit et Amazon S3 crée une nouvelle version de l’objet avec une période de rétention de 60 jours. L'ancienne version conservera sa période de rétention originale et pourra être supprimée dans 15 jours.
Après avoir appliqué un paramètre de rétention à une version d’objet, vous pouvez prolonger la période de rétention. Pour ce faire, envoyez une nouvelle demande de verrouillage d’objet pour la version d’objet avec une échéance de rétention postérieure à celle actuellement configurée pour la version d’objet. Amazon S3 remplace la période de rétention existante par la nouvelle période plus longue. Tout utilisateur disposant d’autorisations pour définir une période de rétention d’objet peut prolonger cette période pour une version d’objet. Pour définir une période de rétention, vous devez avoir l’autorisation s3:PutObjectRetention
.
Lorsque vous définissez une période de rétention sur un objet ou un compartiment S3, vous devez sélectionner l’un des deux modes de rétention : conformité ou gouvernance.
Modes de conservation
Le verrouillage d’objet S3 fournit deux modes de rétention qui appliquent différents niveaux de protection à vos objets :
-
Mode conformité
-
Mode gouvernance
En mode Conformité, une version d'objet protégée ne peut pas être remplacée ou supprimée par n'importe quel utilisateur, notamment l'utilisateur racine de votre Compte AWS. Lorsqu'un objet est verrouillé en mode Conformité, son mode de rétention ne pas être modifié et sa période de rétention ne peut pas être raccourcie. Le mode Conformité garantit qu'une version d'objet ne peut pas être écrasée ou supprimée pendant la durée de la période de rétention.
Note
Le seul moyen de supprimer un objet en mode de conformité avant l'expiration de sa date de conservation est de supprimer l'objet associé Compte AWS.
Dans le mode Gouvernance, les utilisateurs ne peuvent pas remplacer ou supprimer une version d'objet ou en modifier les paramètres de verrouillage, sauf s'ils disposent d'autorisations spéciales. Avec le mode de gouvernance, vous protégez les objets contre leur suppression par la plupart des utilisateurs, mais vous pouvez toujours accorder à certains utilisateurs l’autorisation de modifier les paramètres de rétention ou de supprimer les objets si nécessaire. Vous pouvez également utiliser le mode Gouvernance pour tester les paramètres de la période de rétention, avant de créer une période de rétention en mode Conformité.
Pour remplacer ou supprimer des paramètres de rétention en mode de gouvernance, vous devez disposer de l’autorisation s3:BypassGovernanceRetention
et explicitement inclure x-amz-bypass-governance-retention:true
en tant qu’en-tête de toute demande nécessitant un remplacement dans le mode de gouvernance.
Note
Par défaut, la console Amazon S3 inclut l’en-tête x-amz-bypass-governance-retention:true
. Si vous tentez de supprimer des objets protégés par le mode de gouvernance et que vous disposez de l’autorisation s3:BypassGovernanceRetention
, l’opération aboutit.
Détentions légales
Avec le verrouillage d’objet, vous pouvez également définir une mise en suspens juridique sur une version d’objet. À l'instar d'une période de rétention, une détention légale empêche une version d'objet d'être remplacée ou supprimée. Toutefois, une mise en suspens juridique n’a pas de période de rétention associée et reste en vigueur jusqu’à sa suppression. Les détentions légales peuvent être librement mises en place et supprimées par tous les utilisateurs disposant de l'autorisation s3:PutObjectLegalHold
.
Les détentions légales sont indépendantes des périodes de rétention. La mise en place d'une détention légale sur une version d'objet n'affecte pas le mode ou la période de rétention pour cette version d'objet.
Par exemple, supposons que vous placiez une mise en suspens juridique sur une version d’objet, alors que cette version d’objet est également protégée par une période de rétention. Si la période de conservation expire, l'objet ne perd pas sa WORM protection. À la place, la mise en suspens juridique continue de protéger l’objet jusqu’à ce qu’un utilisateur autorisé la supprime de manière explicite. De la même façon, si vous supprimez une détention légale alors qu'une période de rétention est en vigueur pour une version d'objet, cette dernière reste protégée jusqu'à l'expiration de la période de rétention.
Bonnes pratiques d'utilisation de S3 Object Lock
Envisagez d'utiliser le mode Gouvernance si vous souhaitez empêcher la plupart des utilisateurs de supprimer des objets pendant une période de rétention prédéfinie, tout en laissant à certains utilisateurs disposant d'autorisations spéciales la possibilité de modifier les paramètres de rétention ou de supprimer les objets.
Envisagez d'utiliser le mode Conformité si vous ne souhaitez jamais qu'un utilisateur Compte AWS, y compris l'utilisateur root, puisse supprimer les objets pendant une période de rétention prédéfinie. Vous pouvez utiliser ce mode au cas où vous auriez besoin de stocker des données conformes.
Vous pouvez utiliser Legal Hold lorsque vous ne savez pas pendant combien de temps vous souhaitez que vos objets restent immuables. Cela peut être dû au fait que vous avez un audit externe de vos données à venir et que vous souhaitez que les objets restent immuables jusqu'à ce que l'audit soit terminé. Vous pouvez également avoir un projet en cours utilisant un ensemble de données que vous souhaitez conserver immuable jusqu'à ce que le projet soit terminé.
Autorisations nécessaires
Les opérations de verrouillage des objets nécessitent des autorisations spécifiques. En fonction de l’opération exacte que vous tentez de réaliser, vous aurez peut-être besoin de l’une des autorisations suivantes :
-
s3:BypassGovernanceRetention
-
s3:GetBucketObjectLockConfiguration
-
s3:GetObjectLegalHold
-
s3:GetObjectRetention
-
s3:PutBucketObjectLockConfiguration
-
s3:PutObjectLegalHold
-
s3:PutObjectRetention
Pour obtenir la liste complète des autorisations Amazon S3 avec leurs descriptions, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans le Service Authorization Reference.
Pour plus d'informations sur les autorisations relatives aux API opérations S3 par type de ressource S3, consultezAutorisations requises pour les API opérations Amazon S3.
Pour en savoir plus sur l’utilisation de conditions avec les autorisations, consultez Exemples de politiques relatives aux compartiments utilisant des clés de condition.