Autorizzazioni per la visualizzazione di informazioni di blocco Bypassare la modalità Governance Utilizzo di Object Lock con la replica S3 Utilizzo di Object Lock con crittografia Utilizzo di Object Lock con Inventario Amazon S3 Gestione delle policy del ciclo di vita di S3 con Object Lock Gestione dei marker di eliminazione con Object Lock Utilizzo di S3 Storage Lens con Object Lock Caricamento di oggetti in un bucket abilitato a Object Lock Configurare eventi e notifiche Impostazione di limiti su periodi di conservazione con una policy di bucket

Considerazioni su Object Lock

Amazon S3 Object Lock può impedire che gli oggetti vengano eliminati o sovrascritti per un determinato periodo di tempo o in modo indefinito.

Puoi utilizzare la console Amazon S3, AWS Command Line Interface (AWS CLI) o Amazon REST API S3 per visualizzare o impostare le informazioni di Object Lock. AWS SDKs Per informazioni generali sulle funzionalità S3 Object Lock, consulta Bloccare oggetti con Object Lock.

Importante

Dopo aver abilitato Object Lock su un bucket, non è possibile disabilitare Object Lock o sospendere il controllo delle versioni per tale bucket.
I bucket S3 con Object Lock non possono essere utilizzati come bucket di destinazione per i log di accesso al server. Per ulteriori informazioni, consulta Registrazione delle richieste con registrazione dell'accesso al server.

Argomenti

Autorizzazioni per la visualizzazione di informazioni di blocco
Bypassare la modalità Governance
Utilizzo di Object Lock con la replica S3
Utilizzo di Object Lock con crittografia
Utilizzo di Object Lock con Inventario Amazon S3
Gestione delle policy del ciclo di vita di S3 con Object Lock
Gestione dei marker di eliminazione con Object Lock
Utilizzo di S3 Storage Lens con Object Lock
Caricamento di oggetti in un bucket abilitato a Object Lock
Configurare eventi e notifiche
Impostazione di limiti su periodi di conservazione con una policy di bucket

Autorizzazioni per la visualizzazione di informazioni di blocco

Puoi visualizzare a livello di codice lo stato di Object Lock di una versione di oggetto Amazon S3 utilizzando HeadObject o GetObjectoperazioni. Entrambe le operazioni restituiscono la modalità di conservazione, la data di fine conservazione e lo stato del blocco a fini legali per la versione dell'oggetto specificata. Inoltre, puoi visualizzare lo stato del blocco degli oggetti per più oggetti nel tuo bucket S3 utilizzando S3 Inventory.

Per visualizzare la modalità e il periodo di conservazione della versione di un oggetto, è necessaria l'autorizzazione s3:GetObjectRetention. Per visualizzare lo stato di blocco per vincoli di legge di un oggetto, è necessaria l'autorizzazione s3:GetObjectLegalHold. Per visualizzare la configurazione di conservazione predefinita di un bucket, occorre disporre dell'autorizzazione s3:GetBucketObjectLockConfiguration. Se si esegue una richiesta per una configurazione Object Lock su un bucket che non dispone di S3 Object Lock abilitato, Amazon S3 restituisce un errore.

Bypassare la modalità Governance

Se si dispone dell'autorizzazione s3:BypassGovernanceRetention, è possibile eseguire operazioni su versioni degli oggetti bloccate nella modalità governance come se non fossero protette. Queste operazioni includono l'eliminazione di una versione dell'oggetto, la riduzione del periodo di conservazione o la rimozione del periodo di conservazione di Object Lock tramite l'inserimento di una nuova richiesta PutObjectRetention con parametri vuoti.

Per bypassare la modalità Governance, è necessario indicare esplicitamente nella richiesta che si desidera bypassare la modalità Governance. A tale scopo, includi l'x-amz-bypass-governance-retention:trueintestazione nella richiesta di PutObjectRetention API operazione o utilizza il parametro equivalente con le richieste effettuate tramite o. AWS CLI AWS SDKs La console S3 applica automaticamente questa intestazione alle richieste effettuate tramite la console S3 se si dispone dell'autorizzazione s3:BypassGovernanceRetention.

Nota

Bypassare la modalità Governance non modifica lo stato dei vincoli di legge della versione di un oggetto. Se nella versione di un oggetto è abilitato un blocco a fini legali, questo rimane in vigore e impedisce richieste di sovrascrittura o eliminazione della versione dell'oggetto.

Utilizzo di Object Lock con la replica S3

È possibile utilizzare Object Lock con la replica S3 per abilitare la copia asincrona e automatica di oggetti bloccati e dei relativi metadati di conservazione tra i bucket S3. Ciò significa che per gli oggetti replicati, Amazon S3 utilizza la configurazione di blocco degli oggetti del bucket di origine. In altre parole, se il bucket di origine ha Object Lock abilitato, anche i bucket di destinazione devono avere Object Lock abilitato. Se un oggetto viene caricato direttamente nel bucket di destinazione (al di fuori di S3 Replication), richiede l'Object Lock impostato sul bucket di destinazione. Quando si utilizza la replica, gli oggetti in un bucket di origine vengono replicati in uno o più bucket di destinazione.

Per configurare la replica su un bucket con Object Lock abilitato, puoi utilizzare la console S3, Amazon AWS CLI S3 o. REST API AWS SDKs

Nota

Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono s3:GetObjectRetention e s3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzazione s3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per la replica in tempo reale.

Per informazioni generali sulla replica S3, consulta Replica di oggetti all'interno e tra regioni.

Per esempi di configurazione della replica S3, consulta Esempi per la configurazione della replica in tempo reale.

Utilizzo di Object Lock con crittografia

Amazon S3 crittografa tutti i nuovi oggetti per impostazione predefinita. Puoi usare Object Lock con i tuoi oggetti crittografati. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia.

Sebbene Object Lock possa aiutare a prevenire l'eliminazione o la sovrascrittura degli oggetti Amazon S3, non protegge dalla perdita dell'accesso alle chiavi di crittografia o alle chiavi di crittografia che vengono eliminate. Ad esempio, se si crittografano gli oggetti con la crittografia AWS KMS lato server e la AWS KMS chiave viene eliminata, gli oggetti potrebbero diventare illeggibili.

Utilizzo di Object Lock con Inventario Amazon S3

È possibile configurare Inventario Amazon S3 per creare elenchi degli oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare Inventario Amazon S3 per includere i seguenti metadati Object Lock per gli oggetti:

La data di fine conservazione
La modalità di conservazione
Lo stato di blocco a fini legali

Per ulteriori informazioni, consulta Catalogazione e analisi dei dati con S3 Inventory.

Gestione delle policy del ciclo di vita di S3 con Object Lock

Le configurazioni di gestione del ciclo di vita di un oggetto continuano a funzionare normalmente sugli oggetti protetti, compresa l'applicazione del contrassegno di eliminazione. Tuttavia, una versione bloccata di un oggetto non può essere eliminata da una politica di scadenza di S3 Lifecycle. Object Lock viene mantenuto indipendentemente dalla classe di storage in cui risiede l'oggetto e durante le transizioni del ciclo di vita di S3 tra le classi di storage.

Per ulteriori informazioni sulla gestione della configurazione del ciclo di vita di un oggetto, consulta Gestione del ciclo di vita degli oggetti.

Gestione dei marker di eliminazione con Object Lock

Anche se non è possibile eliminare una versione protetta di un oggetto, puoi comunque creare un contrassegno di eliminazione per tale oggetto. L’inserimento di un contrassegno di eliminazione su un oggetto non elimina l'oggetto né alcuna sua versione. Tuttavia, fa sì che Amazon S3 si comporti per molti versi come se l'oggetto fosse stato eliminato. Per ulteriori informazioni, consulta Utilizzo dei contrassegni di eliminazione.

Nota

I marker di eliminazione non sono WORM protetti, indipendentemente dal periodo di conservazione o dal blocco legale in vigore sull'oggetto sottostante.

Utilizzo di S3 Storage Lens con Object Lock

Per visualizzare i parametri relativi ai byte di archiviazione abilitati per il blocco e il conteggio degli oggetti, puoi utilizzare Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti.

Per ulteriori informazioni, consulta Utilizzo di S3 Storage Lens per proteggere i tuoi dati.

Per un elenco completo di parametri, consulta Glossario dei parametri di Amazon S3 Storage Lens.

Caricamento di oggetti in un bucket abilitato a Object Lock

L'x-amz-sdk-checksum-algorithmintestazione Content-MD5 or è necessaria per qualsiasi richiesta di caricamento di un oggetto con un periodo di conservazione configurato utilizzando Object Lock. Queste intestazioni servono a verificare l'integrità dell'oggetto durante il caricamento.

Quando si carica un oggetto con la console Amazon S3, S3 aggiunge automaticamente l'intestazione. Content-MD5 Facoltativamente, puoi specificare una funzione di checksum e un valore di checksum aggiuntivi tramite la console come intestazione. x-amz-sdk-checksum-algorithm Se si utilizza il, PutObjectAPIè necessario specificare l'Content-MD5intestazione, l'intestazione o entrambi per configurare il x-amz-sdk-checksum-algorithm periodo di conservazione di Object Lock.

Per ulteriori informazioni, consulta Verifica dell'integrità degli oggetti.

Configurare eventi e notifiche

Puoi utilizzare Amazon S3 Event Notifications per tenere traccia degli accessi e delle modifiche alle configurazioni e ai dati di Object Lock utilizzando. AWS CloudTrail Per informazioni su CloudTrail, consulta What is? AWS CloudTrail nella Guida AWS CloudTrail per l'utente.

Puoi anche utilizzare Amazon CloudWatch per generare avvisi basati su questi dati. Per informazioni su CloudWatch, consulta What is Amazon CloudWatch? nella Amazon CloudWatch User Guide.

Impostazione di limiti su periodi di conservazione con una policy di bucket

Puoi impostare periodi di conservazione minimo e massimo per un bucket mediante una policy di bucket. Il periodo massimo di conservazione è 100 anni.

L'esempio seguente mostra una policy di bucket che utilizza la chiave di condizione s3:object-lock-remaining-retention-days per impostare un periodo di conservazione massimo di 10 giorni.


{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}

Nota

Se il bucket è quello di destinazione per una configurazione di replica, puoi impostare i periodi di conservazione minimo e massimo per le repliche di oggetti creati mediante la replica. A questo scopo, occorre consentire l'operazione s3:ReplicateObject nella policy di bucket. Per ulteriori informazioni sulle autorizzazioni di replica, consulta Impostazione delle autorizzazioni per la replica in tempo reale.

Per ulteriori informazioni sulle policy di bucket, consulta gli argomenti indicati di seguito:

Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference

Per ulteriori informazioni sulle autorizzazioni alle API operazioni S3 in base ai tipi di risorse S3, consulta. Autorizzazioni richieste per le operazioni di Amazon API S3
Operazioni sugli oggetti
Esempi di policy Bucket che utilizzano chiavi condizionali

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Blocco degli oggetti

Configurazione del blocco oggetti