Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan Kunci Objek

Kunci Objek Amazon S3 dapat membantu mencegah penghapusan atau penimpaan objek selama jangka waktu tertentu atau tanpa batas waktu.

Anda dapat menggunakan konsol Amazon S3, AWS Command Line Interface (AWS CLI) AWS SDKs, atau Amazon REST API S3 untuk melihat atau menyetel informasi Kunci Objek. Untuk informasi umum tentang kemampuan Kunci Objek S3, lihat Mengunci objek dengan Object Lock.

Izin untuk melihat informasi kunci

Anda dapat secara terprogram melihat status Object Lock dari versi objek Amazon S3 dengan menggunakan HeadObject atau GetObjectoperasi. Kedua operasi tersebut akan mengembalikan mode retensi, simpan hingga tanggal, dan status penahanan legal untuk versi objek tertentu. Selain itu, Anda dapat melihat status Object Lock untuk beberapa objek di bucket S3 menggunakan S3 Inventory.

Untuk melihat mode retensi dan periode retensi versi objek, Anda harus memiliki izin s3:GetObjectRetention. Untuk melihat status kontrol legal versi objek, Anda harus memiliki izin s3:GetObjectLegalHold. Untuk melihat konfigurasi retensi default bucket, Anda harus memiliki izin s3:GetBucketObjectLockConfiguration. Jika Anda membuat permintaan untuk konfigurasi Kunci Objek pada bucket yang tidak memiliki Kunci Objek S3 yang aktif, Amazon S3 akan memberikan pesan kesalahan.

Melewati mode tata kelola

Jika Anda memiliki s3:BypassGovernanceRetention izin, Anda dapat melakukan operasi pada versi objek yang terkunci dalam mode tata kelola seolah-olah objek tersebut tidak dilindungi. Operasi ini termasuk menghapus versi objek, memperpendek periode retensi, atau menghapus periode retensi Kunci Objek dengan menempatkan permintaan PutObjectRetention baru dengan parameter kosong.

Untuk melewati mode tata kelola, Anda harus secara eksplisit menunjukkan permintaan bahwa Anda ingin melewati mode ini. Untuk melakukan ini, sertakan x-amz-bypass-governance-retention:true header dengan permintaan PutObjectRetention API operasi Anda, atau gunakan parameter yang setara dengan permintaan yang dibuat melalui AWS CLI atau AWS SDKs. Konsol S3 secara otomatis menerapkan header ini untuk permintaan yang dibuat melalui konsol S3 jika Anda memiliki izin s3:BypassGovernanceRetention.

Menggunakan Kunci Objek dengan Replikasi S3

Anda dapat menggunakan Kunci Objek dengan Replikasi S3 untuk mengaktifkan penyalinan otomatis dan asinkron dari objek terkunci dan metadata retensinya, di seluruh bucket S3. Ini berarti bahwa untuk objek yang direplikasi, Amazon S3 mengambil konfigurasi kunci objek dari bucket sumber. Dengan kata lain, jika bucket sumber mengaktifkan Object Lock, bucket tujuan juga harus mengaktifkan Object Lock. Jika objek langsung diunggah ke bucket tujuan (di luar S3 Replication), objek tersebut akan diatur Object Lock pada bucket tujuan. Saat Anda menggunakan replikasi, objek di bucket sumber direplikasi ke satu atau lebih bucket tujuan.

Untuk mengatur replikasi pada bucket dengan Object Lock diaktifkan, Anda dapat menggunakan konsol S3, Amazon REST API S3 AWS CLI, atau. AWS SDKs

Menggunakan Object Lock dengan enkripsi

Amazon S3 mengenkripsi semua objek baru secara default. Anda dapat menggunakan Object Lock dengan objek terenkripsi Anda. Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi.

Meskipun Object Lock dapat membantu mencegah objek Amazon S3 dihapus atau ditimpa, itu tidak melindungi dari kehilangan akses ke kunci enkripsi atau kunci enkripsi yang dihapus. Misalnya, jika Anda mengenkripsi objek Anda dengan enkripsi AWS KMS sisi server dan AWS KMS kunci Anda dihapus, objek Anda mungkin menjadi tidak dapat dibaca.

Menggunakan Kunci Objek dengan Inventaris Amazon S3

Anda dapat mengonfigurasi Inventaris Amazon S3 untuk membuat daftar objek di bucket S3 sesuai jadwal yang sudah ditentukan. Anda dapat mengonfigurasi Inventaris Amazon S3 untuk menyertakan metadata Kunci Objek berikut untuk objek Anda:

Untuk informasi selengkapnya, lihat Katalogisasi dan analisis data Anda dengan S3 Inventory.

Mengelola kebijakan Siklus Hidup S3 dengan Object Lock

Konfigurasi manajemen siklus aktif objek akan tetap berfungsi secara normal pada objek yang terlindungi, termasuk menempatkan penanda hapus. Namun, versi objek yang terkunci tidak dapat dihapus oleh kebijakan kedaluwarsa Siklus Hidup S3. Object Lock dipertahankan terlepas dari kelas penyimpanan mana objek berada di dan sepanjang transisi Siklus Hidup S3 antar kelas penyimpanan.

Untuk informasi selengkapnya tentang mengelola siklus hidup objek, lihat Mengelola siklus hidup objek.

Mengelola penanda hapus dengan Object Lock

Meskipun tidak dapat menghapus versi objek yang dilindungi, Anda tetap dapat membuat penanda hapus untuk objek tersebut. Memasang penanda hapus pada sebuah objek tidak akan menghapus objek atau versi objeknya. Namun, hal ini membuat Amazon S3 bertindak seolah-olah objek tersebut telah dihapus. Untuk informasi selengkapnya, lihat Bekerja dengan penanda hapus.

Menggunakan Lensa Penyimpanan S3 dengan Kunci Objek

untuk melihat metrik terkait jumlah byte penyimpanan yang diaktifkan oleh Kunci Objek dan jumlah objek, Anda dapat menggunakan Lensa Penyimpanan Amazon S3. Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek.

Untuk informasi selengkapnya, lihat Menggunakan Lensa Penyimpanan S3 untuk melindungi data.

Untuk daftar lengkap metrik, lihat Glosarium metrik Lensa Penyimpanan Amazon S3.

Mengunggah objek ke bucket yang diaktifkan Object Lock

x-amz-sdk-checksum-algorithmHeader Content-MD5 atau diperlukan untuk setiap permintaan untuk mengunggah objek dengan periode retensi yang dikonfigurasi menggunakan Object Lock. Header tesis adalah cara untuk memverifikasi integritas objek Anda selama upload.

Saat mengunggah objek dengan konsol Amazon S3, S3 secara otomatis menambahkan header. Content-MD5 Anda dapat secara opsional menentukan fungsi checksum tambahan dan nilai checksum melalui konsol sebagai header. x-amz-sdk-checksum-algorithm Jika Anda menggunakan, PutObjectAPIAnda harus menentukan Content-MD5 header, x-amz-sdk-checksum-algorithm header, atau keduanya untuk mengonfigurasi periode retensi Object Lock.

Untuk informasi selengkapnya, lihat Memeriksa integritas objek.

Mengonfigurasi peristiwa dan pemberitahuan

Anda dapat menggunakan Pemberitahuan Acara Amazon S3 untuk melacak akses dan perubahan pada konfigurasi dan data Object Lock Anda dengan menggunakan. AWS CloudTrail Untuk informasi tentang CloudTrail, lihat Apa itu AWS CloudTrail? dalam AWS CloudTrail User Guide.

Anda juga dapat menggunakan Amazon CloudWatch untuk menghasilkan peringatan berdasarkan data ini. Untuk informasi tentang CloudWatch, lihat Apa itu Amazon CloudWatch? di Panduan CloudWatch Pengguna Amazon.

Menetapkan batas periode retensi dengan kebijakan bucket

Anda dapat menetapkan periode retensi minimum dan maksimum yang diizinkan untuk bucket menggunakan kebijakan bucket. Periode retensi maksimum adalah 100 tahun.

Contoh berikut menunjukkan kebijakan bucket yang menggunakan kunci kondisi s3:object-lock-remaining-retention-days untuk menetapkan periode retensi maksimum selama 10 hari.

{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang kebijakan bucket, lihat topik berikut: