Requisitos para el bloqueo de objetos de S3
Debe revisar los requisitos para habilitar la configuración global de bloqueo de objetos de S3, los requisitos para crear reglas de ILM y políticas de ILM conformes con la normativa, y las restricciones que StorageGRID coloca en bloques y objetos que usan el bloqueo de objetos S3.
Requisitos para usar el valor global de bloqueo de objetos S3
-
Debe habilitar la configuración global de Object Lock mediante el administrador de grid o la API de gestión de grid antes de que cualquier inquilino de S3 pueda crear un bucket con el bloqueo de objetos S3 habilitado.
-
Al habilitar el ajuste global de Object Lock, todas las cuentas de inquilinos S3 pueden crear bloques con el bloqueo de objetos S3 habilitado.
-
Después de habilitar la configuración global S3 Object Lock, no puede desactivar la configuración.
-
No puede activar el bloqueo de objetos S3 global a menos que la regla predeterminada de la política de ILM activa sea compliant (es decir, la regla predeterminada debe cumplir con los requisitos de los depósitos con bloqueo de objetos S3 activado).
-
Cuando se habilita la configuración de bloqueo de objetos S3 global, no se puede crear una nueva política de ILM propuesta ni activar una política de ILM propuesta existente a menos que la regla predeterminada de la política sea compatible. Una vez habilitada la configuración global S3 Object Lock, las reglas de ILM y las páginas de políticas de ILM indican qué reglas de ILM cumplen.
Requisitos para las reglas de ILM que cumplen con las normativas
Si desea habilitar la configuración global de bloqueo de objetos S3, debe asegurarse de que la regla predeterminada de la política de ILM activa sea compatible. Una regla conforme a las normativas satisface los requisitos de ambos bloques con el bloqueo de objetos S3 habilitado y de cualquier bloque existente con el cumplimiento de normativas heredado habilitado:
-
Debe crear al menos dos copias de objetos replicados o una copia con código de borrado.
-
Estas copias deben existir en los nodos de almacenamiento durante todo el tiempo que dure cada línea en las instrucciones de colocación.
-
Las copias de objetos no se pueden guardar en un pool de almacenamiento en la nube.
-
Las copias de objetos no se pueden guardar en los nodos de archivado.
-
Al menos una línea de las instrucciones de colocación debe comenzar en el día 0, usando tiempo de ingesta como tiempo de referencia.
-
Al menos una línea de las instrucciones de colocación deberá ser «'para siempre».
Requisitos para políticas de ILM activas y propuestas
Cuando se habilita la configuración global de bloqueo de objetos S3, las políticas de ILM activas y propuestas pueden incluir reglas tanto conformes a la normativa como no.
-
La regla predeterminada de la política de ILM activa o propuesta debe ser conforme.
-
Las reglas no compatibles solo se aplican a objetos de los depósitos que no tienen activado el bloqueo de objetos S3 o que no tienen activada la función de cumplimiento de normativas heredada.
-
Las reglas que cumplen las normativas se pueden aplicar a los objetos de cualquier bloque; no es necesario habilitar el bloqueo de objetos S3 o la conformidad heredada para el bloque.
Una política de ILM compatible puede incluir estas tres reglas:
-
Se trata de una regla que crea copias de los objetos con código de borrado en un bloque específico con el bloqueo de objetos S3 habilitado. Las copias EC se almacenan en nodos de almacenamiento del día 0 al permanente.
-
Una regla no compatible que crea dos copias de objetos replicadas en los nodos de almacenamiento durante un año y, a continuación, mueve una copia de objetos a los nodos de archivado y almacena esa copia para siempre. Esta regla solo se aplica a los depósitos que no tienen activado el bloqueo de objetos S3 o el cumplimiento de normativas heredado porque almacena una sola copia de objeto para siempre y utiliza nodos de archivado.
-
Una regla predeterminada que cumple con las normativas crea dos copias de objetos replicados en los nodos de almacenamiento del día 0 al permanente. Esta regla se aplica a cualquier objeto de cualquier segmento que no haya sido filtrado por las dos primeras reglas.
Requisitos para bloques con bloqueo de objetos de S3 habilitado
-
Si la opción de configuración global de bloqueo de objetos S3 se encuentra habilitada para el sistema StorageGRID, puede usar el administrador de inquilinos, la API de gestión de inquilinos o la API REST de S3 para crear bloques con el bloqueo de objetos S3 habilitado.
-
Si planea utilizar el bloqueo de objetos S3, debe habilitar el bloqueo de objetos S3 al crear el bloque. No puede activar el bloqueo de objetos S3 para un depósito existente.
-
Cuando se habilita el bloqueo de objetos S3 para un bloque, StorageGRID habilita automáticamente el control de versiones para ese bloque. No puede desactivar el bloqueo de objetos de S3 ni suspender el control de versiones del depósito.
-
De manera opcional, puede especificar un modo de retención y un período de retención predeterminados para cada bloque mediante el administrador de inquilinos, la API de gestión de inquilinos o la API DE REST S3. La configuración de retención predeterminada del depósito se aplica solo a los nuevos objetos agregados al depósito que no tienen su propia configuración de retención. Puede anular esta configuración predeterminada especificando un modo de retención y Retain-until-date para cada versión del objeto cuando se cargue.
-
Se admite la configuración de ciclo de vida de bloques para los bloques con S3 Object Lock habilitado.
-
La replicación de CloudMirror no es compatible para bloques con el bloqueo de objetos S3 habilitado.
Requisitos para objetos en bloques con S3 Object Lock habilitado
-
Para proteger una versión de objeto, puede especificar la configuración de retención predeterminada para el bloque, o bien puede especificar la configuración de retención para cada versión de objeto. La configuración de retención a nivel de objeto se puede especificar mediante la aplicación cliente S3 o la API DE REST S3.
-
La configuración de retención se aplica a versiones individuales de objetos. Una versión de objeto puede tener una configuración de retención hasta fecha y una retención legal, una pero no la otra, o ninguna. Al especificar una configuración de retención hasta fecha o de retención legal para un objeto, sólo se protege la versión especificada en la solicitud. Puede crear nuevas versiones del objeto, mientras que la versión anterior del objeto permanece bloqueada.
Ciclo de vida de los objetos en bloques con S3 Object Lock habilitado
Cada objeto que se guarda en un depósito con S3 Object Lock habilitado pasa por las siguientes etapas:
-
Procesamiento de objetos
Cuando se agrega una versión de objeto al depósito que tiene S3 Object Lock habilitado, la configuración de retención se aplica de la siguiente manera:
-
Si se especifica la configuración de retención para el objeto, se aplica la configuración de nivel de objeto. Se ignoran todos los valores predeterminados de los depósitos.
-
Si no se especifica ninguna configuración de retención para el objeto, se aplica la configuración de bloque predeterminada, si existe.
-
Si no se especifica ninguna configuración de retención para el objeto o el depósito, el objeto no está protegido por S3 Object Lock.
Si se aplica una configuración de retención, tanto el objeto como cualquier metadatos definidos por el usuario S3 se protegen.
-
-
Retención y eliminación de objetos
StorageGRID almacena varias copias de cada objeto protegido durante el período de retención especificado. El número y el tipo exactos de copias de objetos y las ubicaciones de almacenamiento están determinados por las reglas conformes a la normativa de la política de ILM activa. Si se puede eliminar un objeto protegido antes de alcanzar su fecha de retención hasta la fecha, depende de su modo de retención.
-
Si un objeto se encuentra bajo una conservación legal, nadie puede eliminarlo, independientemente de su modo de retención.
-