Izin untuk melihat informasi kunci Melewati mode tata kelola Menggunakan Kunci Objek dengan Replikasi S3 Menggunakan Kunci Objek dengan Inventaris Amazon S3 Mengelola kebijakan Siklus Hidup S3 dengan Object Lock Mengelola penanda hapus dengan Object Lock Menggunakan Lensa Penyimpanan S3 dengan Kunci Objek Mengunggah objek ke bucket yang diaktifkan Object Lock Mengonfigurasi peristiwa dan pemberitahuan Menetapkan batas periode retensi dengan kebijakan bucket

Pertimbangan Kunci Objek

Kunci Objek Amazon S3 dapat membantu mencegah penghapusan atau penimpaan objek selama jangka waktu tertentu atau tanpa batas waktu.

Anda dapat menggunakan konsol Amazon S3, AWS Command Line Interface (AWS CLI), AWS SDK, atau Amazon S3 REST API untuk melihat atau menyetel informasi Kunci Objek. Untuk informasi umum tentang kemampuan Kunci Objek S3, lihat Menggunakan Kunci Objek S3.

penting

Setelah mengaktifkan Kunci Objek pada bucket, Anda tidak dapat menonaktifkan Kunci Objek atau menangguhkan Penentuan Versi untuk bucket tersebut.
Bucket S3 dengan Kunci Objek tidak dapat digunakan sebagai bucket tujuan untuk log akses server. Untuk informasi selengkapnya, lihat Pencatatan permintaan dengan pencatatan akses server.

Topik

Izin untuk melihat informasi kunci

Anda dapat melihat status Kunci Objek dari versi objek Amazon S3 secara terprogram dengan menggunakan operasi HeadObject atau GetObject. Kedua operasi tersebut akan mengembalikan mode retensi, simpan hingga tanggal, dan status penahanan legal untuk versi objek tertentu. Selain itu, Anda dapat melihat status Object Lock untuk beberapa objek di bucket S3 menggunakan S3 Inventory.

Untuk melihat mode retensi dan periode retensi versi objek, Anda harus memiliki izin s3:GetObjectRetention. Untuk melihat status kontrol legal versi objek, Anda harus memiliki izin s3:GetObjectLegalHold. Untuk melihat konfigurasi retensi default bucket, Anda harus memiliki izin s3:GetBucketObjectLockConfiguration. Jika Anda membuat permintaan untuk konfigurasi Kunci Objek pada bucket yang tidak memiliki Kunci Objek S3 yang aktif, Amazon S3 akan memberikan pesan kesalahan.

Melewati mode tata kelola

Jika Anda memiliki s3:BypassGovernanceRetention izin, Anda dapat melakukan operasi pada versi objek yang terkunci dalam mode tata kelola seolah-olah objek tersebut tidak dilindungi. Operasi ini termasuk menghapus versi objek, memperpendek periode retensi, atau menghapus periode retensi Kunci Objek dengan menempatkan permintaan PutObjectRetention baru dengan parameter kosong.

Untuk melewati mode tata kelola, Anda harus secara eksplisit menunjukkan permintaan bahwa Anda ingin melewati mode ini. Untuk melakukannya, sertakan x-amz-bypass-governance-retention:true header dengan permintaan operasi PutObjectRetention API Anda, atau gunakan parameter yang setara dengan permintaan yang dibuat melalui AWS CLI atau AWS SDK. Konsol S3 secara otomatis menerapkan header ini untuk permintaan yang dibuat melalui konsol S3 jika Anda memiliki izin s3:BypassGovernanceRetention.

catatan

Melewati mode tata kelola tidak akan memengaruhi status penahanan legal versi objek. Jika versi objek memiliki penahanan legal yang aktif, penahanan legal tersebut tetap berlaku dan mencegah permintaan untuk menimpa atau menghapus versi objek.

Menggunakan Kunci Objek dengan Replikasi S3

Anda dapat menggunakan Kunci Objek dengan Replikasi S3 untuk mengaktifkan penyalinan otomatis dan asinkron dari objek terkunci dan metadata retensinya, di seluruh bucket S3. Ini berarti bahwa untuk objek yang direplikasi, Amazon S3 mengambil konfigurasi kunci objek dari bucket sumber. Dengan kata lain, jika bucket sumber mengaktifkan Object Lock, bucket tujuan juga harus mengaktifkan Object Lock. Jika objek langsung diunggah ke bucket tujuan (di luar S3 Replication), objek tersebut akan diatur Object Lock pada bucket tujuan. Saat Anda menggunakan replikasi, objek di bucket sumber direplikasi ke satu atau lebih bucket tujuan.

Untuk menyiapkan replikasi pada bucket dengan Object Lock diaktifkan, Anda dapat menggunakan konsol S3, Amazon S3 REST API AWS CLI, atau SDK. AWS

catatan

Untuk menggunakan Object Lock dengan replikasi, Anda harus memberikan dua izin tambahan pada bucket S3 sumber dalam peran AWS Identity and Access Management (IAM) yang Anda gunakan untuk mengatur replikasi. Dua izin tambahan tersebut adalah s3:GetObjectRetention dans3:GetObjectLegalHold. Jika peran tersebut memiliki pernyataan izin s3:Get*, pernyataan itu memenuhi persyaratan. Untuk informasi selengkapnya, lihat Menyiapkan izin untuk replikasi langsung.

Untuk informasi umum tentang Replikasi S3, lihat. Mereplikasi ikhtisar objek

Untuk contoh pengaturan Replikasi S3, lihat Contoh untuk mengonfigurasi replikasi langsung.

Menggunakan Kunci Objek dengan Inventaris Amazon S3

Anda dapat mengonfigurasi Inventaris Amazon S3 untuk membuat daftar objek di bucket S3 sesuai jadwal yang sudah ditentukan. Anda dapat mengonfigurasi Inventaris Amazon S3 untuk menyertakan metadata Kunci Objek berikut untuk objek Anda:

Simpan hingga tanggal
Mode retensi
Status penahanan legal

Untuk informasi selengkapnya, lihat Inventaris Amazon S3.

Mengelola kebijakan Siklus Hidup S3 dengan Object Lock

Konfigurasi manajemen siklus aktif objek akan tetap berfungsi secara normal pada objek yang terlindungi, termasuk menempatkan penanda hapus. Namun, versi objek yang terkunci tidak dapat dihapus oleh kebijakan kedaluwarsa Siklus Hidup S3. Object Lock dipertahankan terlepas dari kelas penyimpanan mana objek berada di dan sepanjang transisi Siklus Hidup S3 antar kelas penyimpanan.

Untuk informasi selengkapnya tentang mengelola siklus hidup objek, lihat Mengelola siklus hidup penyimpanan Anda.

Mengelola penanda hapus dengan Object Lock

Meskipun tidak dapat menghapus versi objek yang dilindungi, Anda tetap dapat membuat penanda hapus untuk objek tersebut. Memasang penanda hapus pada sebuah objek tidak akan menghapus objek atau versi objeknya. Namun, hal ini membuat Amazon S3 bertindak seolah-olah objek tersebut telah dihapus. Untuk informasi selengkapnya, lihat Bekerja dengan penanda hapus.

catatan

Penanda hapus tidak dilindungi WORM, terlepas dari periode retensi atau kontrol legal yang diterapkan pada objek yang mendasarinya.

Menggunakan Lensa Penyimpanan S3 dengan Kunci Objek

untuk melihat metrik terkait jumlah byte penyimpanan yang diaktifkan oleh Kunci Objek dan jumlah objek, Anda dapat menggunakan Lensa Penyimpanan Amazon S3. Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek.

Untuk informasi selengkapnya, lihat Menggunakan Lensa Penyimpanan S3 untuk melindungi data Anda.

Untuk daftar lengkap metrik, lihat Glosarium metrik Amazon S3 Storage Lens.

Mengunggah objek ke bucket yang diaktifkan Object Lock

Content-MD5Header diperlukan untuk setiap permintaan untuk mengunggah objek dengan periode retensi yang dikonfigurasi menggunakan Object Lock. Intisari MD5 adalah cara untuk memverifikasi integritas objek Anda setelah mengunggahnya ke ember. Setelah mengunggah objek, Amazon S3 menghitung intisari MD5 objek dan membandingkannya dengan nilai yang Anda berikan. Permintaan hanya berhasil jika kedua intisari cocok. Konsol S3 secara otomatis menambahkan header ini, namun Anda harus menentukan header ini saat menggunakan PutObjectAPI.

Untuk informasi selengkapnya, lihat Menggunakan Content-MD5 saat mengunggah objek.

Mengonfigurasi peristiwa dan pemberitahuan

Anda dapat menggunakan Pemberitahuan Acara Amazon S3 untuk melacak akses dan perubahan pada konfigurasi dan data Object Lock Anda dengan menggunakan. AWS CloudTrail Untuk informasi tentang CloudTrail, lihat Apa itu AWS CloudTrail? dalam AWS CloudTrail User Guide.

Anda juga dapat menggunakan Amazon CloudWatch untuk menghasilkan peringatan berdasarkan data ini. Untuk informasi tentang CloudWatch, lihat Apa itu Amazon CloudWatch? di Panduan CloudWatch Pengguna Amazon.

Menetapkan batas periode retensi dengan kebijakan bucket

Anda dapat menetapkan periode retensi minimum dan maksimum yang diizinkan untuk bucket menggunakan kebijakan bucket. Periode retensi maksimum adalah 100 tahun.

Contoh berikut menunjukkan kebijakan bucket yang menggunakan kunci kondisi s3:object-lock-remaining-retention-days untuk menetapkan periode retensi maksimum selama 10 hari.


{
    "Version": "2012-10-17",
    "Id": "SetRetentionLimits",
    "Statement": [
        {
            "Sid": "SetRetentionPeriod",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::example-s3-bucket1/*",
            "Condition": {
                "NumericGreaterThan": {
                    "s3:object-lock-remaining-retention-days": "10"
                }
            }
        }
    ]
}

catatan

Jika bucket Anda adalah bucket tujuan konfigurasi replikasi, Anda dapat mengatur periode retensi minimum dan maksimum yang diizinkan untuk replika objek yang dibuat dengan menggunakan replikasi. Untuk melakukannya, Anda harus mengizinkan tindakan s3:ReplicateObject dalam kebijakan bucket. Untuk informasi selengkapnya tentang izin replikasi, lihat Menyiapkan izin untuk replikasi langsung.

Untuk informasi selengkapnya tentang kebijakan bucket, lihat topik berikut:

Kunci tindakan, sumber daya, dan kondisi untuk Amazon S3 di Referensi Otorisasi Layanan
Operasi objek
Contoh kebijakan bucket menggunakan tombol kondisi

Konvensi Dokumen

Menggunakan Kunci Objek

Mengonfigurasi Kunci Objek