Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Requisitos para el bloqueo de objetos de S3

Colaboradores
PDF

Debe revisar los requisitos para habilitar la configuración global de bloqueo de objetos de S3, los requisitos para crear reglas de ILM y políticas de ILM conformes con la normativa, y las restricciones que StorageGRID coloca en bloques y objetos que usan el bloqueo de objetos S3.

Requisitos para usar el valor global de bloqueo de objetos S3

  • Debe habilitar la configuración global de Object Lock mediante el administrador de grid o la API de gestión de grid antes de que cualquier inquilino de S3 pueda crear un bucket con el bloqueo de objetos S3 habilitado.

  • Al habilitar el ajuste global de Object Lock, todas las cuentas de inquilinos S3 pueden crear bloques con el bloqueo de objetos S3 habilitado.

  • Después de habilitar la configuración global de bloqueo de objetos S3, no se puede deshabilitar esa opción.

  • No puede habilitar el bloqueo de objetos global de S3 a menos que la regla predeterminada de la política de ILM activa seaconformidad__ (es decir, la regla predeterminada debe cumplir con los requisitos de los bloques con el bloqueo de objetos S3 habilitado).

  • Cuando la configuración de bloqueo de objetos global de S3 está habilitada, no se puede crear una nueva política de ILM propuesta ni activar una política de ILM propuesta existente, a menos que la regla predeterminada de la política sea conforme con la normativa. Una vez habilitada la configuración global de bloqueo de objetos de S3, las páginas de reglas de ILM y políticas de ILM indican qué reglas de ILM son compatibles.

    En el siguiente ejemplo, la página de reglas de ILM enumera tres reglas que cumplen con los bloques con el bloqueo de objetos S3 habilitado.

    Campos de cumplimiento de normativas en la página de reglas de ILM

Requisitos para las reglas de ILM que cumplen con las normativas

Si desea habilitar la configuración global de bloqueo de objetos S3, debe asegurarse de que la regla predeterminada de la política de ILM activa sea compatible. Una regla conforme a las normativas satisface los requisitos de ambos bloques con el bloqueo de objetos S3 habilitado y de cualquier bloque existente con el cumplimiento de normativas heredado habilitado:

  • Debe crear al menos dos copias de objetos replicados o una copia con código de borrado.

  • Estas copias deben existir en los nodos de almacenamiento durante todo el tiempo que dure cada línea en las instrucciones de colocación.

  • Las copias de objetos no se pueden guardar en un pool de almacenamiento en cloud.

  • Las copias de objetos no se pueden guardar en los nodos de archivado.

  • Al menos una línea de las instrucciones de colocación debe comenzar en el día 0, usando tiempo de procesamiento como tiempo de referencia.

  • Al menos una línea de las instrucciones de colocación deberá ser «'para siempre».

Por ejemplo, esta regla satisface los requisitos de los bloques con el bloqueo de objetos S3 habilitado. Almacena dos copias de objetos replicados del tiempo de procesamiento (día 0) al estado «'eternamente». Los objetos se almacenarán en nodos de almacenamiento en dos centros de datos.

Ejemplo de regla que cumple dos copias siempre

Requisitos para políticas de ILM activas y propuestas

Cuando se habilita la configuración global de bloqueo de objetos S3, las políticas de ILM activas y propuestas pueden incluir reglas tanto conformes a la normativa como no.

  • La regla predeterminada de la política de ILM activa o propuesta debe ser conforme.

  • Las reglas no compatibles solo se aplican a los objetos en bloques que no tienen habilitada el bloqueo de objetos S3 o que no tienen habilitada la función de cumplimiento heredada.

  • Las reglas que cumplen las normativas se pueden aplicar a los objetos de cualquier bloque; no es necesario habilitar el bloqueo de objetos S3 o la conformidad heredada para el bloque.

Una política de ILM compatible puede incluir estas tres reglas:

  1. Se trata de una regla que crea copias de los objetos con código de borrado en un bloque específico con el bloqueo de objetos S3 habilitado. Las copias EC se almacenan en nodos de almacenamiento del día 0 al permanente.

  2. Una regla no compatible que crea dos copias de objetos replicadas en los nodos de almacenamiento durante un año y, a continuación, mueve una copia de objetos a los nodos de archivado y almacena esa copia para siempre. Esta regla solo se aplica a bloques que no tienen habilitado el bloqueo de objetos S3 o el cumplimiento heredado, ya que solo almacena una copia de objeto para siempre y utiliza nodos de archivado.

  3. Una regla predeterminada que cumple con las normativas crea dos copias de objetos replicados en los nodos de almacenamiento del día 0 al permanente. Esta regla se aplica a cualquier objeto de cualquier segmento que no haya sido filtrado por las dos primeras reglas.

Requisitos para bloques con bloqueo de objetos de S3 habilitado

  • Si la opción de configuración global de bloqueo de objetos S3 se encuentra habilitada para el sistema StorageGRID, puede usar el administrador de inquilinos, la API de gestión de inquilinos o la API REST de S3 para crear bloques con el bloqueo de objetos S3 habilitado.

    Este ejemplo del Administrador de inquilinos muestra un bloque con el bloqueo de objetos S3 habilitado.

    Ejemplo de cucharón conforme a la normativa

  • Si planea utilizar el bloqueo de objetos S3, debe habilitar el bloqueo de objetos S3 al crear el bloque. No es posible habilitar el bloqueo de objetos de S3 para un bloque existente.

  • Se requiere el versionado de bloques con S3 Object Lock. Cuando se habilita el bloqueo de objetos S3 para un bloque, StorageGRID habilita automáticamente el control de versiones para ese bloque.

  • Después de crear un bloque con el bloqueo de objetos S3 habilitado, no se puede deshabilitar el bloqueo de objetos S3 ni suspender el control de versiones de ese bloque.

  • Un bloque StorageGRID con el bloqueo de objetos S3 habilitado no tiene un período de retención predeterminado. En su lugar, la aplicación cliente S3 puede especificar opcionalmente una fecha de retención y una configuración de conservación legal para cada versión del objeto que se agrega a ese bloque.

  • Se admite la configuración del ciclo de vida de bloques para los bloques del ciclo de vida de objetos S3.

  • La replicación de CloudMirror no es compatible para bloques con el bloqueo de objetos S3 habilitado.

Requisitos para objetos en bloques con S3 Object Lock habilitado

  • La aplicación cliente S3 debe especificar la configuración de retención de cada objeto que tenga que protegerse mediante el bloqueo de objetos S3.

  • Puede aumentar la fecha de retención hasta una versión de objeto, pero nunca puede disminuir este valor.

  • Si recibe una notificación de una acción legal pendiente o una investigación normativa, puede conservar la información relevante colocando una retención legal en una versión del objeto. Cuando una versión de objeto se encuentra bajo una retención legal, ese objeto no se puede eliminar de StorageGRID, aunque haya alcanzado su fecha de retención. Tan pronto como se levante la retención legal, la versión del objeto se puede eliminar si se ha alcanzado la fecha de retención.

  • El bloqueo de objetos de S3 requiere el uso de bloques con versiones. La configuración de retención se aplica a versiones individuales de objetos. Una versión de objeto puede tener una configuración de retención hasta fecha y una retención legal, una pero no la otra, o ninguna. Al especificar una configuración de retención hasta fecha o de retención legal para un objeto, sólo se protege la versión especificada en la solicitud. Puede crear nuevas versiones del objeto, mientras que la versión anterior del objeto permanece bloqueada.

Ciclo de vida de los objetos en bloques con S3 Object Lock habilitado

Cada objeto que se guarda en un bloque con el bloqueo de objetos S3 habilitado atraviesa tres etapas:

  1. Procesamiento de objetos

    • Al añadir una versión de objeto a un bloque con el bloqueo de objetos S3 habilitado, la aplicación cliente S3 puede especificar, de manera opcional, la configuración de retención del objeto (retener hasta la fecha, la conservación legal o ambos). A continuación, StorageGRID genera metadatos para ese objeto, que incluye un identificador de objeto (UUID) único y la fecha y la hora de procesamiento.

    • Después de procesar una versión de objeto con configuración de retención, sus datos y los metadatos definidos por el usuario de S3 no se pueden modificar.

    • StorageGRID almacena los metadatos del objeto de forma independiente de los datos del objeto. Mantiene tres copias de todos los metadatos de objetos en cada sitio.

  2. Retención de objetos

    • StorageGRID almacena varias copias del objeto. El número y el tipo exactos de copias y las ubicaciones del almacenamiento se determinan según las reglas conformes de la política de ILM activa.

  3. Eliminación de objetos

    • Un objeto se puede eliminar cuando se alcanza su fecha de retención.

    • No se puede eliminar un objeto que se encuentra bajo una retención legal.

Información relacionada

"Usar una cuenta de inquilino"

"Use S3"

"Comparación del bloqueo de objetos de S3 con el cumplimiento de normativas heredado"

"Ejemplo 7: Política de ILM conforme con la normativa para el bloqueo de objetos S3"

"Revisar los registros de auditoría"