Autorisations d’affichage des informations de verrouillage Ignorer le mode de gouvernance Utilisation du verrouillage d’objet avec la réplication S3 Utilisation du verrouillage d’objet avec l’inventaire Amazon S3 Gestion des politiques de cycle de vie S3 avec Object Lock Gestion des marqueurs de suppression avec Object Lock Utilisation de S3 Storage Lens avec le verrouillage d’objet Téléchargement d'objets vers un bucket activé par Object Lock Configuration d'événements et de notifications Définition de limites sur les périodes de rétention à l’aide d’une politique de compartiment

Considérations relatives au verrouillage d’objet

Le verrouillage d’objet Amazon S3 permet d’empêcher la suppression ou le remplacement d’objets sur une période déterminée ou indéfinie.

Vous pouvez utiliser la console Amazon S3, AWS Command Line Interface (AWS CLI), AWS les kits SDK ou l'API REST Amazon S3 pour afficher ou définir les informations de verrouillage des objets. Pour obtenir des informations générales sur les fonctionnalités de verrouillage d’objet S3, consultez Utilisation du verrouillage des objets S3.

Important

Après avoir activé le verrouillage d’objet sur un compartiment, vous ne pouvez pas désactiver le verrouillage d’objet ni interrompre la gestion des versions pour ce compartiment.
Les compartiments S3 avec verrouillage d’objet ne peuvent pas être utilisés comme compartiments de destination pour les journaux d’accès au serveur. Pour plus d’informations, consultez Enregistrement de demandes avec journalisation des accès au serveur.

Rubriques

Autorisations d’affichage des informations de verrouillage

Vous pouvez afficher par programmation le statut de verrouillage d’objet d’une version d’objet Amazon S3 à l’aide des opérations HeadObject ou GetObject. Les deux opérations renvoient le mode de rétention, Rétention jusqu’à la date, et le statut de mise en suspens juridique pour la version d’objet spécifiée. En outre, vous pouvez consulter l'état du verrouillage des objets pour plusieurs objets de votre compartiment S3 à l'aide de S3 Inventory.

Pour afficher le mode de conservation et la période de conservation d'une version d'objet, vous devez avoir l'autorisation s3:GetObjectRetention. Pour afficher le statut de suspension juridique d'une version d'objet, vous devez avoir l'autorisation s3:GetObjectLegalHold. Pour afficher la configuration de rétention par défaut d’un compartiment, vous devez disposer de l’autorisation s3:GetBucketObjectLockConfiguration. Si vous effectuez une demande pour une configuration de verrouillage d’objet sur un compartiment pour lequel le verrouillage d’objet S3 n’est pas activé, Amazon S3 renvoie une erreur.

Ignorer le mode de gouvernance

Si vous disposez de l’autorisation s3:BypassGovernanceRetention, vous pouvez effectuer des opérations sur les versions d’objet verrouillées en mode de gouvernance comme si elles n’étaient pas protégées. Ces opérations incluent la suppression d’une version d’objet, le raccourcissement de la période de rétention ou la suppression de la période de rétention de verrouillage d’objet en plaçant une nouvelle demande PutObjectRetention avec des paramètres vides.

Afin d'ignorer le mode de gouvernance, vous devez indiquer explicitement dans votre demande que vous voulez l'ignorer. Pour ce faire, incluez l'x-amz-bypass-governance-retention:trueen-tête dans votre demande d'opération d'PutObjectRetentionAPI ou utilisez le paramètre équivalent pour les demandes effectuées via les AWS SDK AWS CLI ou. La console S3 applique automatiquement cet en-tête pour les demandes effectuées via la console S3 si vous disposez de l’autorisation s3:BypassGovernanceRetention.

Note

L'ignorance du mode de gouvernance n'affecte pas le statut de suspension juridique d'une version d'objet. Si une mise en suspens juridique est activée pour une version d’objet, cette mise en suspens reste en vigueur et empêche que les demandes remplacent ou suppriment la version d’objet.

Utilisation du verrouillage d’objet avec la réplication S3

Vous pouvez utiliser le verrouillage d’objet avec la réplication S3 pour activer la copie automatique et asynchrone d’objets verrouillés et de leurs métadonnées de rétention entre des compartiments S3. Cela signifie que pour les objets répliqués, Amazon S3 utilise la configuration de verrouillage des objets du compartiment source. En d'autres termes, si le verrouillage d'objet est activé dans le compartiment source, le verrouillage d'objet doit également être activé dans les compartiments de destination. Si un objet est directement chargé dans le compartiment de destination (en dehors de S3 Replication), il utilise le verrouillage d'objet défini sur le compartiment de destination. Lorsque vous utilisez la réplication, les objets d’un compartiment source sont répliqués vers un ou plusieurs compartiments de destination.

Pour configurer la réplication sur un compartiment dans lequel Object Lock est activé, vous pouvez utiliser la console S3 AWS CLI, l'API REST Amazon S3 ou AWS les kits SDK.

Note

Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle AWS Identity and Access Management (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont s3:GetObjectRetention et s3:GetObjectLegalHold. Si le rôle dispose d’une déclaration d’autorisation s3:Get*, cette déclaration répond à l’exigence. Pour plus d’informations, consultez Configuration des autorisations pour la réplication en direct.

Pour obtenir des informations générales sur la réplication S3, consultez Vue d'ensemble de la réplication d'objets.

Pour examiner des exemples de configuration de la réplication S3, consultez Exemples de configuration de la réplication en direct.

Utilisation du verrouillage d’objet avec l’inventaire Amazon S3

Vous pouvez configurer l’inventaire Amazon S3 pour créer des listes d’objets dans un compartiment S3 selon une planification définie. Vous pouvez configurer l’inventaire Amazon S3 pour inclure les métadonnées de verrouillage d’objet suivantes pour vos objets :

Date limite de rétention
Mode de rétention
Statut de mise en suspens juridique

Pour plus d’informations, consultez Inventaire Simple Storage Service (Amazon S3).

Gestion des politiques de cycle de vie S3 avec Object Lock

Les configurations de gestion du cycle de vie des objets continuent à fonctionner normalement sur les objets protégés, y compris le placement des marqueurs de suppression. Cependant, une version verrouillée d'un objet ne peut pas être supprimée par une politique d'expiration du cycle de vie S3. Object Lock est maintenu quelle que soit la classe de stockage dans laquelle réside l'objet et tout au long des transitions entre les classes de stockage du cycle de vie S3.

Pour plus d’informations sur la gestion des cycles de vie d’objet, consultez Gestion du cycle de vie de votre stockage.

Gestion des marqueurs de suppression avec Object Lock

Même si vous ne pouvez pas supprimer une version d'objet protégée, vous pouvez continuer à créer un marqueur de suppression pour cet objet. Le placement d’un marqueur de suppression sur un objet n'a pas pour effet de supprimer l'objet ou des versions de celui-ci. Cependant, il conduit Amazon S3 à se comporter la plupart du temps comme si l'objet avait été supprimé. Pour plus d’informations, consultez Utilisation des marqueurs de suppression.

Note

Les marqueurs de suppression ne sont pas protégés par WORM, quelles que soient la période de conservation ou la suspension juridique en place sur l'objet sous-jacent.

Utilisation de S3 Storage Lens avec le verrouillage d’objet

Pour consulter les statistiques relatives aux nombres d'objets et d'octets de stockage avec verrouillage d'objets activé, vous pouvez utiliser Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets.

Pour plus d’informations, consultez Utiliser S3 Storage Lens pour protéger vos données.

Pour obtenir une liste complète des métriques, consultez Glossaire des métriques Amazon S3 Storage Lens.

Téléchargement d'objets vers un bucket activé par Object Lock

L'Content-MD5en-tête est obligatoire pour toute demande de téléchargement d'un objet dont la période de rétention est configurée à l'aide d'Object Lock. Le condensé MD5 permet de vérifier l'intégrité de votre objet après l'avoir chargé dans un bucket. Après avoir chargé l'objet, Amazon S3 calcule le récapitulatif MD5 de l'objet et le compare à la valeur que vous avez fournie. La requête n'aboutit que si les deux récapitulatifs correspondent. La console S3 ajoute automatiquement cet en-tête, mais vous devez le spécifier lorsque vous utilisez l'PutObjectAPI.

Pour plus d’informations, consultez Utilisation de Content-MD5 pour charger des objets.

Configuration d'événements et de notifications

Vous pouvez utiliser les notifications d'événements Amazon S3 pour suivre l'accès et les modifications apportées à vos configurations et données Object Lock en utilisant AWS CloudTrail. Pour plus d'informations CloudTrail, voir Qu'est-ce que c'est AWS CloudTrail ? dans le guide de AWS CloudTrail l'utilisateur.

Vous pouvez également utiliser Amazon CloudWatch pour générer des alertes sur la base de ces données. Pour plus d'informations CloudWatch, consultez le document Qu'est-ce qu'Amazon CloudWatch ? dans le guide de CloudWatch l'utilisateur Amazon.

Définition de limites sur les périodes de rétention à l’aide d’une politique de compartiment

Vous pouvez définir des périodes de rétention autorisées minimale et maximale pour un compartiment en utilisant une politique de compartiment. La période de conservation maximale est de 100 ans.

L'exemple suivant montre une stratégie de compartiment qui utilise la clé de condition s3:object-lock-remaining-retention-days pour définir une période de conservation maximale de 10 jours.


{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::example-s3-bucket1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}

Note

Si votre compartiment est le compartiment de destination d’une configuration de réplication, vous pouvez configurer des périodes de rétention minimale et maximale autorisées pour les réplicas d’objet créés à l’aide de la réplication. Pour ce faire, vous devez autoriser l’action s3:ReplicateObject dans votre politique de compartiment. Pour plus d’informations sur les autorisations de réplication, consultez Configuration des autorisations pour la réplication en direct.

Pour plus d’informations sur les politiques de compartiment, consultez les rubriques suivantes :

Actions, ressources et clés de condition pour Amazon S3 dans le Service Authorization Reference
Opérations sur les objets
Exemples de politiques relatives aux compartiments utilisant des clés de condition

Conventions de rédaction

Utilisation du verrouillage des objets

Configuration du verrouillage des objets