Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Amazon S3 Object Lock può impedire che gli oggetti vengano eliminati o sovrascritti per un determinato periodo di tempo o in modo indefinito.
Puoi utilizzare la console Amazon S3, AWS Command Line Interface (AWS CLI) o l'API REST di Amazon S3 per visualizzare o impostare le informazioni di Object Lock. AWS SDKs Per informazioni generali sulle funzionalità S3 Object Lock, consulta Blocco di oggetti con Object Lock.
Importante
-
Dopo aver abilitato Object Lock su un bucket, non è possibile disabilitare Object Lock o sospendere il controllo delle versioni per tale bucket.
-
I bucket S3 con Object Lock non possono essere utilizzati come bucket di destinazione per i log di accesso al server. Per ulteriori informazioni, consulta Registrazione delle richieste con registrazione dell'accesso al server.
Argomenti
Autorizzazioni per la visualizzazione di informazioni di blocco
Puoi visualizzare a livello di codice lo stato di Object Lock di una versione di oggetto Amazon S3 utilizzando HeadObject o GetObjectoperazioni. Entrambe le operazioni restituiscono la modalità di conservazione, la data di fine conservazione e lo stato del blocco a fini legali per la versione dell'oggetto specificata. Inoltre, è possibile visualizzare lo stato di Object Lock per più oggetti nel bucket S3 utilizzando l'Inventario S3.
Per visualizzare la modalità e il periodo di conservazione della versione di un oggetto, è necessaria l'autorizzazione s3:GetObjectRetention. Per visualizzare lo stato di blocco per vincoli di legge di un oggetto, è necessaria l'autorizzazione s3:GetObjectLegalHold. Per visualizzare la configurazione di conservazione predefinita di un bucket, occorre disporre dell'autorizzazione s3:GetBucketObjectLockConfiguration. Se si esegue una richiesta per una configurazione Object Lock su un bucket che non dispone di S3 Object Lock abilitato, Amazon S3 restituisce un errore.
Bypassare la modalità Governance
Se si dispone dell'autorizzazione s3:BypassGovernanceRetention, è possibile eseguire operazioni su versioni degli oggetti bloccate nella modalità governance come se non fossero protette. Queste operazioni includono l'eliminazione di una versione dell'oggetto, la riduzione del periodo di conservazione o la rimozione del periodo di conservazione di Object Lock tramite l'inserimento di una nuova richiesta PutObjectRetention con parametri vuoti.
Per bypassare la modalità Governance, è necessario indicare esplicitamente nella richiesta che si desidera bypassare la modalità Governance. A tale scopo, includi l'x-amz-bypass-governance-retention:trueintestazione nella richiesta di operazione PutObjectRetention API o utilizza il parametro equivalente con le richieste effettuate tramite AWS CLI o AWS SDKs. La console S3 applica automaticamente questa intestazione alle richieste effettuate tramite la console S3 se si dispone dell'autorizzazione s3:BypassGovernanceRetention.
Nota
Bypassare la modalità Governance non modifica lo stato dei vincoli di legge della versione di un oggetto. Se nella versione di un oggetto è abilitato un blocco a fini legali, questo rimane in vigore e impedisce richieste di sovrascrittura o eliminazione della versione dell'oggetto.
Utilizzo di Object Lock con la replica S3
È possibile utilizzare Object Lock con la replica S3 per abilitare la copia asincrona e automatica di oggetti bloccati e dei relativi metadati di conservazione tra i bucket S3. Ciò significa che per gli oggetti replicati, Amazon S3 utilizza la configurazione Object Lock del bucket di origine. In altre parole, se Object Lock è abilitato nel bucket di origine, sarà abilitato anche nel bucket di destinazione. Se un oggetto viene caricato direttamente nel bucket di destinazione (all'esterno della Replica S3), utilizza l'Object Lock impostato sul bucket di destinazione. Quando si utilizza la replica, gli oggetti in un bucket di origine vengono replicati in uno o più bucket di destinazione.
Per configurare la replica su un bucket con Object Lock abilitato, puoi utilizzare la console S3, l'API REST di Amazon AWS CLI S3 oppure. AWS SDKs
Nota
Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) che usi per configurare la replica. Le due nuove autorizzazioni aggiuntive sono s3:GetObjectRetention e s3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzazione s3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Configurazione delle autorizzazioni per la replica in tempo reale.
Per informazioni generali sulla replica S3, consulta Replica di oggetti all'interno e tra le Regioni.
Per esempi di configurazione della replica S3, consulta Esempi di configurazione della replica in tempo reale.
Utilizzo di Object Lock con la crittografia
Amazon S3 esegue la crittografia di tutti i nuovi oggetti per impostazione predefinita. È possibile usare Object Lock con gli oggetti crittografati. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia.
Sebbene Object Lock possa aiutare a impedire l'eliminazione o la sovrascrittura degli oggetti Amazon S3, non protegge dalla perdita dell'accesso alle chiavi di crittografia o dall'eliminazione delle chiavi di crittografia. Ad esempio, se si crittografano gli oggetti con la crittografia AWS KMS lato server e la AWS KMS chiave viene eliminata, gli oggetti potrebbero diventare illeggibili.
Utilizzo di Object Lock con Inventario Amazon S3
È possibile configurare Inventario Amazon S3 per creare elenchi degli oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare Inventario Amazon S3 per includere i seguenti metadati Object Lock per gli oggetti:
-
La data di fine conservazione
-
La modalità di conservazione
-
Lo stato di blocco a fini legali
Per ulteriori informazioni, consulta Catalogazione e analisi dei dati con Inventario S3.
Gestione delle policy del ciclo di vita S3 con Object Lock
Le configurazioni di gestione del ciclo di vita di un oggetto continuano a funzionare normalmente sugli oggetti protetti, compresa l'applicazione del contrassegno di eliminazione. Tuttavia, una versione bloccata di un oggetto non può essere eliminata da una policy di scadenza del ciclo di vita S3. Object Lock viene mantenuto indipendentemente dalla classe di storage in cui risiede l'oggetto e durante le transizioni del ciclo di vita S3 tra le classi di storage.
Per ulteriori informazioni sulla gestione della configurazione del ciclo di vita di un oggetto, consulta Gestione del ciclo di vita degli oggetti.
Gestione dei contrassegni di eliminazione con Object Lock
Anche se non è possibile eliminare una versione protetta di un oggetto, puoi comunque creare un contrassegno di eliminazione per tale oggetto. L'inserimento di un contrassegno di eliminazione su un oggetto non elimina l'oggetto né alcuna sua versione. Tuttavia, fa sì che Amazon S3 si comporti per molti versi come se l'oggetto fosse stato eliminato. Per ulteriori informazioni, consulta Utilizzo dei contrassegni di eliminazione.
Nota
I contrassegni di eliminazione non sono protetti contro i WORM, indipendentemente dal periodo di conservazione o dal blocco per vincoli di legge dell'oggetto a cui si riferiscono.
Utilizzo di S3 Storage Lens con Object Lock
Per visualizzare i parametri relativi ai byte di archiviazione abilitati per il blocco e il conteggio degli oggetti, puoi utilizzare Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti.
Per ulteriori informazioni, consulta Utilizzo di S3 Storage Lens per proteggere i tuoi dati.
Per un elenco completo di parametri, consulta Glossario dei parametri di Amazon S3 Storage Lens.
Caricamento di oggetti in un bucket con Object Lock abilitato
L'intestazione Content-MD5 o x-amz-sdk-checksum-algorithm è necessaria per qualsiasi richiesta di caricamento di un oggetto con un periodo di conservazione configurato con Object Lock. Queste intestazioni servono a verificare l'integrità dell'oggetto durante il caricamento.
Quando si carica un oggetto con la console Amazon S3, S3 aggiunge automaticamente l'intestazione Content-MD5. Facoltativamente, è possibile specificare una funzione di checksum e un valore di checksum aggiuntivi tramite la console come intestazione x-amz-sdk-checksum-algorithm. Se utilizzi l'PutObjectAPI, devi specificare l'Content-MD5intestazione, l'intestazione o entrambi per configurare il x-amz-sdk-checksum-algorithm periodo di conservazione di Object Lock.
Per ulteriori informazioni, consulta Verifica dell'integrità degli oggetti in Amazon S3.
Configurare eventi e notifiche
Puoi utilizzare Amazon S3 Event Notifications per tenere traccia degli accessi e delle modifiche alle configurazioni e ai dati di Object Lock utilizzando. AWS CloudTrail Per informazioni su CloudTrail, consulta What is? AWS CloudTrail nella Guida AWS CloudTrail per l'utente.
Puoi anche utilizzare Amazon CloudWatch per generare avvisi basati su questi dati. Per informazioni su CloudWatch, consulta What is Amazon CloudWatch? nella Amazon CloudWatch User Guide.
Impostazione di limiti su periodi di conservazione con una policy di bucket
Puoi impostare periodi di conservazione minimo e massimo per un bucket mediante una policy di bucket. Il periodo massimo di conservazione è 100 anni.
L'esempio seguente mostra una policy di bucket che utilizza la chiave di condizione s3:object-lock-remaining-retention-days per impostare un periodo di conservazione massimo di 10 giorni.
{
"Version": "2012-10-17",
"Id": "SetRetentionLimits",
"Statement": [
{
"Sid": "SetRetentionPeriod",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:PutObjectRetention"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1Nota
Se il bucket è quello di destinazione per una configurazione di replica, puoi impostare i periodi di conservazione minimo e massimo per le repliche di oggetti creati mediante la replica. A questo scopo, occorre consentire l'operazione s3:ReplicateObject nella policy di bucket. Per ulteriori informazioni sulle autorizzazioni di replica, consulta Configurazione delle autorizzazioni per la replica in tempo reale.
Per ulteriori informazioni sulle policy di bucket, consulta gli argomenti indicati di seguito:
-
Operazioni, risorse e chiavi di condizione per Amazon S3 nella Guida di riferimento per l'autorizzazione del servizio
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.
-
Esempi di policy per i bucket che utilizzano le chiavi di condizione
