Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet

PDF
RSS
Mode de mise au point
Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet - Amazon Simple Storage Service
Fonctionnement du verrouillage d’objets S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le verrouillage d’objet S3 permet d’empêcher la suppression ou le remplacement d’objets Amazon S3 sur une période déterminée ou indéfinie. Object Lock utilise un modèle write-once-read-many(WORM) pour stocker des objets. Le verrouillage d’objet vous permet de satisfaire aux exigences réglementaires qui nécessitent le stockage WORM, ou bien d’ajouter une couche de protection supplémentaire contre la suppression et les modifications d’objets.

Note

S3 Object Lock a été évalué par Cohasset Associates pour une utilisation dans des environnements soumis aux réglementations SEC 17a-4, CFTC et FINRA. Pour plus d'informations sur le lien entre Object Lock et ces réglementations, consultez le Cohasset Associates Évaluation de la conformité.

Le verrouillage d’objet propose deux façons de gérer la rétention des objets : les périodes de rétention et les conservations légales. Une version d’un objet peut être assortie d’une période de rétention, d’une conservation légale ou des deux.

  • Période de conservation : une période de rétention indique une période fixe pendant laquelle une version d'objet reste verrouillée. Vous pouvez définir une période de conservation unique pour des objets individuels. En outre, vous pouvez définir une période de conservation par défaut sur un compartiment S3. Vous pouvez également limiter les périodes de conservation autorisées minimale et maximale en utilisant la clé de condition s3:object-lock-remaining-retention-days figurant dans la politique de compartiment. Cela vous permet d’établir une plage de périodes de conservation et de restreindre les périodes de conservation plus courtes ou plus longues que cette plage.

  • Conservation légale : une conservation légale assure la même protection que la période de rétention, mais n’a pas de date d’expiration. La conservation légale reste en vigueur tant que vous ne la retirez pas explicitement. Les conservations légales sont indépendantes des périodes de rétention et sont mises en place sur des versions d’objet individuelles.

Le verrouillage d’objet fonctionne uniquement dans les compartiments pour lesquels la gestion des versions S3 est activée. Lorsque vous verrouillez une version d’objet, Amazon S3 stocke les informations de verrouillage dans les métadonnées de cette version d’objet. Le fait de définir une période de rétention ou une conservation légale sur un objet a pour effet de protéger uniquement la version spécifiée dans la demande. Les périodes de rétention et les conservation légales n’empêchent pas la création de nouvelles versions de l’objet, ni l’ajout de marqueurs de suppression sur l’objet. Pour en savoir plus sur la gestion des versions S3, consultez Conservation de plusieurs versions d’objets grâce à la gestion des versions S3.

Si vous placez un objet dans un compartiment qui contient déjà un objet protégé existant doté du même nom de clé d’objet, Amazon S3 crée une nouvelle version de cet objet. La version protégée existante de l’objet reste verrouillée conformément à sa configuration de rétention.

Fonctionnement du verrouillage d’objets S3

Périodes de rétention

Une période de rétention protège une version d’objet pendant une durée fixe. Lorsque vous mettez en place une période de rétention sur une version d’objet, Amazon S3 stocke un horodatage dans les métadonnées de la version d’objet pour indiquer la date à laquelle la période de rétention expire. Après l’expiration de la période de rétention, la version de l’objet peut être remplacée ou supprimée.

Vous pouvez définir une période de rétention de manière explicite sur une version d’objet individuelle ou sur les propriétés d’un compartiment afin qu’elle s’applique automatiquement à tous les objets du compartiment. Lorsque vous appliquez explicitement une période de rétention à une version d’objet, vous spécifiez une Date de fin de conservation pour la version de l’objet. Amazon S3 stocke cette date dans les métadonnées de la version de l’objet.

Vous pouvez également définir une période de rétention dans les propriétés d’un compartiment. Lorsque vous définissez une période de rétention sur un compartiment, vous spécifiez une durée, en jours ou en années, pendant laquelle chaque version d’objet placée dans le compartiment sera protégée. Lorsque vous placez un objet dans le compartiment, Amazon S3 calcule une échéance de rétention pour la version de l’objet en ajoutant la durée spécifiée à l’horodatage de création de la version de l’objet. La version de l’objet est ensuite protégée exactement comme si vous aviez mis en place un verrouillage individuel de manière explicite avec la même période de rétention sur la version de l’objet.

Note

Lorsque vous placez (PUT) une version d’objet dotée d’un mode et d’une période de rétention individuels explicites dans un compartiment, les paramètres individuels de verrouillage d’objet de la version de l’objet remplacent tous les paramètres de rétention des propriétés du compartiment.

À l’instar de tous les autres paramètres de la fonctionnalité de verrouillage des objets, les périodes de rétention s’appliquent aux versions d’objet individuelles. Les différentes versions d’un seul objet peuvent avoir des modes et des périodes de rétention différents.

Par exemple, supposons que vous ayez un objet qui en est à 15 jours sur une période de conservation de 30 jours, et que vous PUT un objet dans Amazon S3 ayant le même nom et une période de rétention de 60 jours. Dans ce cas, votre demande PUT aboutit et Amazon S3 crée une nouvelle version de l’objet avec une période de rétention de 60 jours. L’ancienne version conservera sa période de rétention originale et pourra être supprimée dans 15 jours.

Après avoir appliqué un paramètre de rétention à une version d’objet, vous pouvez prolonger la période de rétention. Pour ce faire, envoyez une nouvelle demande de verrouillage d’objet pour la version d’objet avec une échéance de rétention postérieure à celle actuellement configurée pour la version d’objet. Amazon S3 remplace la période de rétention existante par la nouvelle période plus longue. Tout utilisateur disposant d’autorisations pour définir une période de rétention d’objet peut prolonger cette période pour une version d’objet. Pour définir une période de rétention, vous devez avoir l’autorisation s3:PutObjectRetention.

Lorsque vous définissez une période de rétention sur un objet ou un compartiment S3, vous devez sélectionner l’un des deux modes de rétention : conformité ou gouvernance.

Modes de conservation

Le verrouillage d’objet S3 fournit deux modes de rétention qui appliquent différents niveaux de protection à vos objets :

  • Mode conformité

  • Mode gouvernance

En mode Conformité, une version d’objet protégée ne peut pas être remplacée ou supprimée par n’importe quel utilisateur, notamment l’utilisateur racine de votre Compte AWS. Lorsqu’un objet est verrouillé en mode Conformité, son mode de rétention ne pas être modifié et sa période de rétention ne peut pas être raccourcie. Le mode Conformité garantit qu’une version d’objet ne peut pas être écrasée ou supprimée pendant la durée de la période de rétention.

Note

Le seul moyen de supprimer un objet en mode de conformité avant l'expiration de sa date de conservation est de supprimer l'objet associé Compte AWS.

Dans le mode Gouvernance, les utilisateurs ne peuvent pas remplacer ou supprimer une version d’objet ou en modifier les paramètres de verrouillage, sauf s’ils disposent d’autorisations spéciales. Avec le mode de gouvernance, vous protégez les objets contre leur suppression par la plupart des utilisateurs, mais vous pouvez toujours accorder à certains utilisateurs l’autorisation de modifier les paramètres de rétention ou de supprimer les objets si nécessaire. Vous pouvez également utiliser le mode Gouvernance pour tester les paramètres de la période de rétention, avant de créer une période de rétention en mode Conformité.

Pour remplacer ou supprimer des paramètres de rétention en mode de gouvernance, vous devez disposer de l’autorisation s3:BypassGovernanceRetention et explicitement inclure x-amz-bypass-governance-retention:true en tant qu’en-tête de toute demande nécessitant un remplacement dans le mode de gouvernance.

Note

Par défaut, la console Amazon S3 inclut l’en-tête x-amz-bypass-governance-retention:true. Si vous tentez de supprimer des objets protégés par le mode de gouvernance et que vous disposez de l’autorisation s3:BypassGovernanceRetention, l’opération aboutit.

Avec le verrouillage d’objet, vous pouvez également définir une conservation légale sur une version d’objet. À l’instar d’une période de rétention, une conservation légale empêche une version d’objet d’être remplacée ou supprimée. Toutefois, une conservation légale n’a pas de période de rétention associée et reste en vigueur jusqu’à sa suppression. Les conservations légales peuvent être librement mises en place et supprimées par tous les utilisateurs disposant de l’autorisation s3:PutObjectLegalHold.

Les conservations légales sont indépendantes des périodes de rétention. La mise en place d’une conservation légale sur une version d’objet n’affecte pas le mode ou la période de rétention pour cette version d’objet.

Par exemple, supposons que vous définissiez une conservation légale sur une version d’objet, alors que cette version d’objet est également protégée par une période de rétention. Si la période de rétention expire, l’objet ne perd pas sa protection WORM. À la place, la conservation légale continue de protéger l’objet jusqu’à ce qu’un utilisateur autorisé la supprime de manière explicite. De la même façon, si vous supprimez une conservation légale alors qu’une période de rétention est en vigueur pour une version d’objet, cette dernière reste protégée jusqu’à l’expiration de la période de rétention.

Bonnes pratiques pour l’utilisation du verrouillage d’objet S3

Envisagez d’utiliser le Mode de gouvernance si vous souhaitez empêcher la suppression d’objets par la plupart des utilisateurs pendant une période de conservation prédéfinie, tout en permettant à certains utilisateurs disposant d’autorisations spéciales de modifier les paramètres de conservation ou de supprimer les objets.

Envisagez d’utiliser le Mode de conformité si vous ne voulez pas qu’un utilisateur, y compris l’utilisateur racine de votre Compte AWS, puisse supprimer les objets pendant une période de conservation prédéfinie. Vous pouvez utiliser ce mode au cas où vous auriez besoin de stocker des données conformes.

Vous pouvez utiliser la Conservation légale lorsque vous ne savez pas pendant combien de temps vous souhaitez que vos objets restent immuables. Cela peut être utile si un audit de externe vos données approche et que vous souhaitez que les objets restent immuables jusqu’à la fin de l’audit. Cela peut également servir si vous travaillez sur un projet qui utilise un jeu de données qui doit rester immuable jusqu’à la fin du projet.

Autorisations requises

Les opérations de verrouillage des objets nécessitent des autorisations spécifiques. En fonction de l’opération exacte que vous tentez de réaliser, vous aurez peut-être besoin de l’une des autorisations suivantes :

  • s3:BypassGovernanceRetention

  • s3:GetBucketObjectLockConfiguration

  • s3:GetObjectLegalHold

  • s3:GetObjectRetention

  • s3:PutBucketObjectLockConfiguration

  • s3:PutObjectLegalHold

  • s3:PutObjectRetention

Pour obtenir la liste complète des autorisations Amazon S3 avec leurs descriptions, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Pour en savoir plus sur l’utilisation de conditions avec les autorisations, consultez Exemples de politiques de compartiment utilisant des clés de condition.

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.