Object Lock используется для защиты объектов в S3 от удаления и изменений в течение заданного времени. Эта функция гарантирует неизменность данных на весь период хранения. Object Lock особенно полезен при работе с важными архивами, резервными копиями и другой критичной информацией, которую нужно защитить от случайных или намеренных действий.
Включение Object Lock
Для включения Object Lock перейдите во вкладку «Настройки» и нажмите кнопку «Изменить» напротив пункта «Блокировка объектов отключена».
В открывшемся меню включите блокировку, нажав кнопку «Включить блокировку объектов».
Обратите внимание: при включении блокировки также будет включено версионирование объектов. Отключить блокировку объектов, как и версионирование, невозможно.
Создание бакета с Object Lock
Включить Object Lock можно сразу при создании бакета, но только с помощью сторонних утилит. Рассмотрим пример создания бакета через AWS CLI.
Создадим бакет:
Также можем создать бакет с холодным классом хранения:
Указать объем бакета при создании невозможно. При создании бакета через сторонние клиенты всегда устанавливается минимально возможный объем — 10 ГБ для стандартного класса хранения и 1 ГБ для холодного класса. После создания бакета объем можно увеличить через панель управления.
Проверим, что Object Lock активен:
Ответ будет таким:
Object Lock работает только с включенным версионированием. Убедимся, что оно активно:
В ответе отобразится статус версионирования:
Режимы Object Lock
Object Lock поддерживает два режима блокировки объектов: временную блокировку (Retention Mode) и постоянную блокировку (Legal Hold).
Временная блокировка
Для временной блокировки доступны два режима:
COMPLIANCE — строгий режим защиты. Объект и его версии нельзя удалить или изменить до окончания срока блокировки. Даже с правами администратора и специальными параметрами удалить данные невозможно. Этот режим подходит для сценариев, где критично обеспечить неизменность данных.
GOVERNANCE — гибкий режим защиты. Объекты защищены от удаления и изменений, но пользователи с правами BypassGovernanceRetention могут удалить данные до истечения срока блокировки. Подходит для защиты от случайных удалений.
Основной пользователь S3 создается с полными правами, включая BypassGovernanceRetention. Для дополнительных пользователей BypassGovernanceRetention активен для пользователей с уровнем доступа «Управление». Для пользователей с уровнем доступа «Чтение» BypassGovernanceRetention можно включить вручную, задав полиси. Для этого создайте файл s3-bypass.json:
Вместо <имя_бакета> укажите имя вашего бакета.
Примените полиси:
Постоянная блокировка
LEGAL HOLD — гибкая блокировка без срока. Объект или его версию нельзя удалить, пока удержание не будет снято вручную. Блокировка не зависит от даты и действует бессрочно.
Настройка Object Lock
Для Object Lock можно задать настройки, которые будут использоваться по умолчанию для всех загружаемых объектов. Перейдите во вкладку «Настройки» и нажмите кнопку «Изменить» напротив пункта «Блокировка объектов включена».
В открывшемся меню выберите режим блокировки:
- COMPLIANCE
- GOVERNANCE
- Без глобальной политики — при выборе этого пункта для объектов не будет устанавливаться Object Lock без явной установки.
Укажите период, в течение которого объект будет защищен.
Эти настройки задают значения по умолчанию, но не мешают использовать другой режим и срок для отдельного объекта.
Использование временных блокировок
Рассмотрим примеры использования режимов COMPLIANCE и GOVERNANCE.
Загрузим файл с блокировкой на 30 дней:
Описание параметров:
--bucket— имя бакета, в который загружается объект.--key— имя (путь) объекта в бакете.--body— путь к файлу, который загружается.--object-lock-mode— режим блокировки.--object-lock-retain-until-date— дата и время окончания блокировки в форматеYYYY-MM-DDTHH:MM:SSZ. До этой даты объект защищен от удаления.
Убедимся, что защита применена:
В ответ получим подобный вывод:
Попробуем удалить объект:
При удалении файл пропадет из раздела «Объекты» в панели управления бакетом и не будет отображаться при просмотре в сторонних клиентах. При таком удалении создается маркер удаления, но сам объект остается в бакете.
Проверим версии объекта:
Мы увидим, что версия сохранена и для нее создан маркер.
Удаленную версию можно восстановить по инструкции.
Удаление конкретной версии с активной блокировкой будет невозможно:
До истечения срока блокировки команда вернет ошибку:
Использование постоянной блокировки
В отличие от временной блокировки COMPLIANCE и GOVERNANCE, LegalHold не требует указания срока и действует бессрочно. Объект остается защищенным до тех пор, пока блокировка не будет снята вручную. Это удобно в ситуациях, когда невозможно заранее определить срок хранения данных.
Загрузим файл в бакет с включенным Object Lock:
После загрузки включим LegalHold для объекта:
Проверим статус блокировки:
Ожидаемый вывод:
Попробуем удалить объект:
Результатом выполнения команды будет установка маркера:
Проверим версии объекта:
Вы увидите версию и маркер удаления.
Удаленную версию можно восстановить по инструкции.
Попробуем удалить конкретную версию:
Выполнение команды вызовет ошибку.
Чтобы снять блокировку, выполните:
После снятия блокировки версию объекта можно будет удалить.