Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni su Object Lock
Amazon S3 Object Lock può impedire che gli oggetti vengano eliminati o sovrascritti per un determinato periodo di tempo o in modo indefinito.
Puoi utilizzare la console Amazon S3, AWS Command Line Interface (AWS CLI) o Amazon REST API S3 per visualizzare o impostare le informazioni di Object Lock. AWS SDKs Per informazioni generali sulle funzionalità S3 Object Lock, consulta Bloccare oggetti con Object Lock.
Importante
-
Dopo aver abilitato Object Lock su un bucket, non è possibile disabilitare Object Lock o sospendere il controllo delle versioni per tale bucket.
-
I bucket S3 con Object Lock non possono essere utilizzati come bucket di destinazione per i log di accesso al server. Per ulteriori informazioni, consulta Registrazione delle richieste con registrazione dell'accesso al server.
Argomenti
- Autorizzazioni per la visualizzazione di informazioni di blocco
- Bypassare la modalità Governance
- Utilizzo di Object Lock con la replica S3
- Utilizzo di Object Lock con crittografia
- Utilizzo di Object Lock con Inventario Amazon S3
- Gestione delle policy del ciclo di vita di S3 con Object Lock
- Gestione dei marker di eliminazione con Object Lock
- Utilizzo di S3 Storage Lens con Object Lock
- Caricamento di oggetti in un bucket abilitato a Object Lock
- Configurare eventi e notifiche
- Impostazione di limiti su periodi di conservazione con una policy di bucket
Autorizzazioni per la visualizzazione di informazioni di blocco
Puoi visualizzare a livello di codice lo stato di Object Lock di una versione di oggetto Amazon S3 utilizzando HeadObject o GetObjectoperazioni. Entrambe le operazioni restituiscono la modalità di conservazione, la data di fine conservazione e lo stato del blocco a fini legali per la versione dell'oggetto specificata. Inoltre, puoi visualizzare lo stato del blocco degli oggetti per più oggetti nel tuo bucket S3 utilizzando S3 Inventory.
Per visualizzare la modalità e il periodo di conservazione della versione di un oggetto, è necessaria l'autorizzazione s3:GetObjectRetention
. Per visualizzare lo stato di blocco per vincoli di legge di un oggetto, è necessaria l'autorizzazione s3:GetObjectLegalHold
. Per visualizzare la configurazione di conservazione predefinita di un bucket, occorre disporre dell'autorizzazione s3:GetBucketObjectLockConfiguration
. Se si esegue una richiesta per una configurazione Object Lock su un bucket che non dispone di S3 Object Lock abilitato, Amazon S3 restituisce un errore.
Bypassare la modalità Governance
Se si dispone dell'autorizzazione s3:BypassGovernanceRetention
, è possibile eseguire operazioni su versioni degli oggetti bloccate nella modalità governance come se non fossero protette. Queste operazioni includono l'eliminazione di una versione dell'oggetto, la riduzione del periodo di conservazione o la rimozione del periodo di conservazione di Object Lock tramite l'inserimento di una nuova richiesta PutObjectRetention
con parametri vuoti.
Per bypassare la modalità Governance, è necessario indicare esplicitamente nella richiesta che si desidera bypassare la modalità Governance. A tale scopo, includi l'x-amz-bypass-governance-retention:true
intestazione nella richiesta di PutObjectRetention
API operazione o utilizza il parametro equivalente con le richieste effettuate tramite o. AWS CLI AWS SDKs La console S3 applica automaticamente questa intestazione alle richieste effettuate tramite la console S3 se si dispone dell'autorizzazione s3:BypassGovernanceRetention
.
Nota
Bypassare la modalità Governance non modifica lo stato dei vincoli di legge della versione di un oggetto. Se nella versione di un oggetto è abilitato un blocco a fini legali, questo rimane in vigore e impedisce richieste di sovrascrittura o eliminazione della versione dell'oggetto.
Utilizzo di Object Lock con la replica S3
È possibile utilizzare Object Lock con la replica S3 per abilitare la copia asincrona e automatica di oggetti bloccati e dei relativi metadati di conservazione tra i bucket S3. Ciò significa che per gli oggetti replicati, Amazon S3 utilizza la configurazione di blocco degli oggetti del bucket di origine. In altre parole, se il bucket di origine ha Object Lock abilitato, anche i bucket di destinazione devono avere Object Lock abilitato. Se un oggetto viene caricato direttamente nel bucket di destinazione (al di fuori di S3 Replication), richiede l'Object Lock impostato sul bucket di destinazione. Quando si utilizza la replica, gli oggetti in un bucket di origine vengono replicati in uno o più bucket di destinazione.
Per configurare la replica su un bucket con Object Lock abilitato, puoi utilizzare la console S3, Amazon AWS CLI S3 o. REST API AWS SDKs
Nota
Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono s3:GetObjectRetention
e s3:GetObjectLegalHold
. Se il ruolo dispone di un'istruzione di autorizzazione s3:Get*
, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per la replica in tempo reale.
Per informazioni generali sulla replica S3, consulta Replica di oggetti all'interno e tra regioni.
Per esempi di configurazione della replica S3, consulta Esempi per la configurazione della replica in tempo reale.
Utilizzo di Object Lock con crittografia
Amazon S3 crittografa tutti i nuovi oggetti per impostazione predefinita. Puoi usare Object Lock con i tuoi oggetti crittografati. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia.
Sebbene Object Lock possa aiutare a prevenire l'eliminazione o la sovrascrittura degli oggetti Amazon S3, non protegge dalla perdita dell'accesso alle chiavi di crittografia o alle chiavi di crittografia che vengono eliminate. Ad esempio, se si crittografano gli oggetti con la crittografia AWS KMS lato server e la AWS KMS chiave viene eliminata, gli oggetti potrebbero diventare illeggibili.
Utilizzo di Object Lock con Inventario Amazon S3
È possibile configurare Inventario Amazon S3 per creare elenchi degli oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare Inventario Amazon S3 per includere i seguenti metadati Object Lock per gli oggetti:
-
La data di fine conservazione
-
La modalità di conservazione
-
Lo stato di blocco a fini legali
Per ulteriori informazioni, consulta Catalogazione e analisi dei dati con S3 Inventory.
Gestione delle policy del ciclo di vita di S3 con Object Lock
Le configurazioni di gestione del ciclo di vita di un oggetto continuano a funzionare normalmente sugli oggetti protetti, compresa l'applicazione del contrassegno di eliminazione. Tuttavia, una versione bloccata di un oggetto non può essere eliminata da una politica di scadenza di S3 Lifecycle. Object Lock viene mantenuto indipendentemente dalla classe di storage in cui risiede l'oggetto e durante le transizioni del ciclo di vita di S3 tra le classi di storage.
Per ulteriori informazioni sulla gestione della configurazione del ciclo di vita di un oggetto, consulta Gestione del ciclo di vita degli oggetti.
Gestione dei marker di eliminazione con Object Lock
Anche se non è possibile eliminare una versione protetta di un oggetto, puoi comunque creare un contrassegno di eliminazione per tale oggetto. L’inserimento di un contrassegno di eliminazione su un oggetto non elimina l'oggetto né alcuna sua versione. Tuttavia, fa sì che Amazon S3 si comporti per molti versi come se l'oggetto fosse stato eliminato. Per ulteriori informazioni, consulta Utilizzo dei contrassegni di eliminazione.
Nota
I marker di eliminazione non sono WORM protetti, indipendentemente dal periodo di conservazione o dal blocco legale in vigore sull'oggetto sottostante.
Utilizzo di S3 Storage Lens con Object Lock
Per visualizzare i parametri relativi ai byte di archiviazione abilitati per il blocco e il conteggio degli oggetti, puoi utilizzare Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti.
Per ulteriori informazioni, consulta Utilizzo di S3 Storage Lens per proteggere i tuoi dati.
Per un elenco completo di parametri, consulta Glossario dei parametri di Amazon S3 Storage Lens.
Caricamento di oggetti in un bucket abilitato a Object Lock
L'x-amz-sdk-checksum-algorithm
intestazione Content-MD5
or è necessaria per qualsiasi richiesta di caricamento di un oggetto con un periodo di conservazione configurato utilizzando Object Lock. Queste intestazioni servono a verificare l'integrità dell'oggetto durante il caricamento.
Quando si carica un oggetto con la console Amazon S3, S3 aggiunge automaticamente l'intestazione. Content-MD5
Facoltativamente, puoi specificare una funzione di checksum e un valore di checksum aggiuntivi tramite la console come intestazione. x-amz-sdk-checksum-algorithm
Se si utilizza il, PutObjectAPIè necessario specificare l'Content-MD5
intestazione, l'intestazione o entrambi per configurare il x-amz-sdk-checksum-algorithm
periodo di conservazione di Object Lock.
Per ulteriori informazioni, consulta Verifica dell'integrità degli oggetti.
Configurare eventi e notifiche
Puoi utilizzare Amazon S3 Event Notifications per tenere traccia degli accessi e delle modifiche alle configurazioni e ai dati di Object Lock utilizzando. AWS CloudTrail Per informazioni su CloudTrail, consulta What is? AWS CloudTrail nella Guida AWS CloudTrail per l'utente.
Puoi anche utilizzare Amazon CloudWatch per generare avvisi basati su questi dati. Per informazioni su CloudWatch, consulta What is Amazon CloudWatch? nella Amazon CloudWatch User Guide.
Impostazione di limiti su periodi di conservazione con una policy di bucket
Puoi impostare periodi di conservazione minimo e massimo per un bucket mediante una policy di bucket. Il periodo massimo di conservazione è 100 anni.
L'esempio seguente mostra una policy di bucket che utilizza la chiave di condizione s3:object-lock-remaining-retention-days
per impostare un periodo di conservazione massimo di 10 giorni.
{ "Version": "2012-10-17", "Id": "
SetRetentionLimits
", "Statement": [ { "Sid": "SetRetentionPeriod
", "Effect": "Deny", "Principal": "*", "Action": [ "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::/*", "Condition": { "NumericGreaterThan": { "s3:object-lock-remaining-retention-days": "10" } } } ] }
amzn-s3-demo-bucket1
Nota
Se il bucket è quello di destinazione per una configurazione di replica, puoi impostare i periodi di conservazione minimo e massimo per le repliche di oggetti creati mediante la replica. A questo scopo, occorre consentire l'operazione s3:ReplicateObject
nella policy di bucket. Per ulteriori informazioni sulle autorizzazioni di replica, consulta Impostazione delle autorizzazioni per la replica in tempo reale.
Per ulteriori informazioni sulle policy di bucket, consulta gli argomenti indicati di seguito:
-
Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference
Per ulteriori informazioni sulle autorizzazioni alle API operazioni S3 in base ai tipi di risorse S3, consulta. Autorizzazioni richieste per le operazioni di Amazon API S3