Ejemplo 7: Política de ILM conforme con la normativa para el bloqueo de objetos S3
Puede usar el bloque de S3, las reglas de ILM y la política de ILM en este ejemplo como un punto de partida para definir una política de ILM para cumplir con los requisitos de retención y protección de objetos para los objetos en bloques con el bloqueo de objetos S3 habilitado.
Si ha utilizado la función de cumplimiento de normativas anterior en versiones de StorageGRID anteriores, también puede utilizar este ejemplo para ayudar a gestionar los bloques existentes que tengan habilitada la función de cumplimiento de normativas heredadas. |
Las siguientes reglas y políticas de ILM son solo ejemplos. Existen varias formas de configurar las reglas de ILM. Antes de activar una nueva directiva, simule la política propuesta para confirmar que funcionará con el fin de proteger el contenido de las pérdidas. |
Ejemplo de bloque y objetos para S3 Object Lock
En este ejemplo, una cuenta de inquilino de S3 llamada Bank of ABC ha utilizado el administrador de inquilinos para crear un bloque con el bloqueo de objetos S3 habilitado para almacenar registros bancarios críticos.
Definición de bloque | Valor de ejemplo |
---|---|
Nombre de cuenta de inquilino |
Banco de ABC |
Nombre del bloque |
registros bancarios |
Región de bloque |
us-east-1 (predeterminado) |
Cada objeto y versión de objeto que se agrega al bloque de registros bancarios utilizará los siguientes valores para retain-until-date
y.. legal hold
configuración.
Configuración para cada objeto | Valor de ejemplo |
---|---|
|
Cada versión de objeto tiene su propia |
|
Se puede colocar o levantar una retención legal en cualquier versión del objeto en cualquier momento durante el período de retención. Si un objeto se encuentra bajo una retención legal, el objeto no se puede eliminar incluso si el |
Ejemplo de regla de ILM 1 para el bloqueo de objetos S3: Perfil de código de borrado con coincidencia de bloques
Esta regla de ILM de ejemplo se aplica solo a la cuenta de inquilino de S3 llamada Bank of ABC. Coincide con cualquier objeto de bank-records
Bucket y, a continuación, utiliza la codificación de borrado para almacenar el objeto en nodos de almacenamiento en tres sitios de centro de datos mediante un perfil de código de borrado 6+3. Esta regla satisface los requisitos de los bloques con el bloqueo de objetos S3 habilitado: Se conserva una copia codificada con borrado en los nodos de almacenamiento desde el día 0 hasta siempre utilizando el tiempo de ingesta como hora de referencia.
Definición de regla | Valor de ejemplo |
---|---|
Nombre de regla |
Regla conforme: Objetos de EC en bloque de registros bancarios - Banco de ABC |
Cuenta de inquilino |
Banco de ABC |
Nombre del bloque |
|
Filtrado avanzado |
Tamaño de objeto (MB) mayor que 0.20 Nota: este filtro garantiza que la codificación de borrado no se utilice para objetos de 200 KB o menores. |
Definición de regla | Valor de ejemplo |
---|---|
Tiempo de referencia |
Tiempo de ingesta |
Ubicaciones |
Desde el día 0 almacenar para siempre |
Perfil de código de borrado |
|
Ejemplo de regla ILM 2 para bloqueo de objetos S3: Regla no conforme a las normativas
Esta regla de ILM de ejemplo almacena inicialmente dos copias de objetos replicadas en nodos de almacenamiento. Después de un año, se almacena una copia en un pool de almacenamiento en cloud para siempre. Como esta regla utiliza un pool de almacenamiento en cloud, no es compatible y no se aplica a los objetos en bloques con el bloqueo de objetos S3 habilitado.
Definición de regla | Valor de ejemplo |
---|---|
Nombre de regla |
Regla no conforme a las normativas: Utilizar pool de almacenamiento en cloud |
Cuentas de inquilino |
No especificado |
Nombre del bloque |
No se especifica, pero solo se aplica a bloques que no tienen habilitado el bloqueo de objetos de S3 (o la función de cumplimiento heredado). |
Filtrado avanzado |
No especificado |
Definición de regla | Valor de ejemplo |
---|---|
Tiempo de referencia |
Tiempo de ingesta |
Ubicaciones |
|
Ejemplo de regla ILM 3 para bloqueo de objetos S3: Regla predeterminada
Esta regla de ILM de ejemplo copia los datos de objetos en dos pools de almacenamiento en dos centros de datos. Esta regla de cumplimiento está diseñada para ser la regla predeterminada de la política de ILM. No incluye ningún filtro y satisface los requisitos de los bloques con el bloqueo de objetos S3 habilitado: Se mantienen dos copias de objetos en nodos de almacenamiento desde el día 0 hasta siempre, utilizando procesamiento como tiempo de referencia.
Definición de regla | Valor de ejemplo |
---|---|
Nombre de regla |
Regla de conformidad predeterminada: Dos copias dos centros de datos |
Cuenta de inquilino |
No especificado |
Nombre del bloque |
No especificado |
Filtrado avanzado |
No especificado |
Definición de regla | Valor de ejemplo |
---|---|
Tiempo de referencia |
Tiempo de ingesta |
Ubicaciones |
De día 0 a siempre, conserve dos copias replicadas (una en los nodos de almacenamiento en el centro de datos 1 y otra en los nodos de almacenamiento en el centro de datos 2). |
Ejemplo de política de ILM conforme a la normativa para el bloqueo de objetos S3
Para crear una política de ILM que proteja de manera efectiva todos los objetos del sistema, incluidos los que están en bloques con el bloqueo de objetos S3 habilitado, debe seleccionar reglas de ILM que cumplan con los requisitos de almacenamiento para todos los objetos. A continuación, debe simular y activar la directiva propuesta.
Adición de reglas a la política
En este ejemplo, la política de ILM incluye tres reglas de ILM, en el siguiente orden:
-
Una regla de conformidad que utiliza la codificación de borrado para proteger objetos de más de 200 KB en un bloque específico con el bloqueo de objetos S3 habilitado. Los objetos se almacenan en nodos de almacenamiento del día 0 al permanente.
-
Una regla no conforme a las normativas que crea dos copias de objetos replicados en los nodos de almacenamiento durante un año y, a continuación, mueve una copia de objetos a un Cloud Storage Pool de forma permanente. Esta regla no se aplica a bloques con el bloqueo de objetos S3 habilitado porque utiliza un pool de almacenamiento en cloud.
-
La regla de cumplimiento predeterminada que crea dos copias de objetos replicados en los nodos de almacenamiento desde el día 0 hasta siempre.
Simulación de la política propuesta
Después de añadir reglas a la política propuesta, elegir una regla de cumplimiento predeterminada y organizar las demás reglas, debe simular la política probando objetos desde el bloque con el bloqueo de objetos S3 habilitado y desde otros bloques. Por ejemplo, al simular la directiva de ejemplo, debería esperar que los objetos de prueba se evaluaran de la siguiente manera:
-
La primera regla sólo coincidirán con objetos de prueba que sean mayores de 200 KB en los registros bancarios de bloque para el inquilino Banco de ABC.
-
La segunda regla coincidirán con todos los objetos de todos los segmentos no compatibles para todas las demás cuentas de arrendatario.
-
La regla predeterminada coincidirán con estos objetos:
-
Objetos de 200 KB o menos en los registros bancarios del bloque para el inquilino del Banco de ABC.
-
Objetos de cualquier otro bloque que tenga habilitado el bloqueo de objetos S3 para todas las demás cuentas de inquilino.
-
Activación de la directiva
Cuando esté completamente satisfecho de que la nueva política protege los datos del objeto según lo esperado, puede activarlo.