Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Esempio 7: Politica ILM conforme per S3 Object Lock

È possibile utilizzare il bucket S3, le regole ILM e la policy ILM in questo esempio come punto di partenza quando si definisce una policy ILM per soddisfare i requisiti di protezione e conservazione degli oggetti nei bucket con S3 Object Lock abilitato.

Nota Se hai utilizzato la funzionalità di conformità legacy nelle versioni precedenti StorageGRID , puoi utilizzare questo esempio anche per gestire eventuali bucket esistenti in cui è abilitata la funzionalità di conformità legacy.
Avvertenza Le seguenti regole e policy ILM sono solo esempi. Esistono molti modi per configurare le regole ILM. Prima di attivare una nuova policy, simulala per verificare che funzioni come previsto per proteggere i contenuti dalla perdita.

Esempio di bucket e oggetti per S3 Object Lock

In questo esempio, un account tenant S3 denominato Bank of ABC ha utilizzato Tenant Manager per creare un bucket con S3 Object Lock abilitato per archiviare i record bancari critici.

Definizione di bucket Valore di esempio

Nome dell'account dell'inquilino

Banca ABC

Nome del bucket

registri bancari

Regione del bucket

us-east-1 (predefinito)

Ogni oggetto e versione dell'oggetto che viene aggiunto al bucket dei record bancari utilizzerà i seguenti valori per retain-until-date E legal hold impostazioni.

Impostazione per ogni oggetto Valore di esempio

retain-until-date

"2030-12-30T23:59:59Z" (30 dicembre 2030)

Ogni versione dell'oggetto ha la sua retain-until-date collocamento. Questa impostazione può essere aumentata, ma non diminuita.

legal hold

"OFF" (Non in vigore)

È possibile applicare o rimuovere un blocco legale su qualsiasi versione dell'oggetto in qualsiasi momento durante il periodo di conservazione. Se un oggetto è sottoposto a una sospensione legale, l'oggetto non può essere eliminato anche se retain-until-date è stato raggiunto.

Regola ILM 1 per esempio di blocco oggetto S3: profilo di codifica di cancellazione con corrispondenza bucket

Questa regola ILM di esempio si applica solo al conto tenant S3 denominato Bank of ABC. Corrisponde a qualsiasi oggetto nel bank-records bucket e quindi utilizza la codifica di cancellazione per archiviare l'oggetto sui nodi di archiviazione in tre siti di data center utilizzando un profilo di codifica di cancellazione 6+3. Questa regola soddisfa i requisiti dei bucket con S3 Object Lock abilitato: una copia viene conservata sui nodi di archiviazione dal giorno 0 all'infinito, utilizzando l'ora di ingestione come ora di riferimento.

Definizione della regola Valore di esempio

Nome della regola

Regola conforme: Oggetti EC nel bucket dei registri bancari - Bank of ABC

Conto inquilino

Banca ABC

Nome del bucket

bank-records

Filtro avanzato

Dimensione oggetto (MB) maggiore di 1

Nota: questo filtro garantisce che la codifica di cancellazione non venga utilizzata per oggetti di dimensioni pari o inferiori a 1 MB.

Definizione della regola Valore di esempio

Tempo di riferimento

Tempo di ingestione

Posizionamenti

Dal giorno 0 conservalo per sempre

Profilo di codifica di cancellazione

  • Creare una copia con codice di cancellazione sui nodi di archiviazione in tre siti di data center

  • Utilizza lo schema di codifica di cancellazione 6+3

Esempio di regola ILM 2 per blocco oggetto S3: regola non conforme

Questa regola ILM di esempio memorizza inizialmente due copie replicate dell'oggetto sui nodi di archiviazione. Dopo un anno, ne memorizza una copia per sempre su un Cloud Storage Pool. Poiché questa regola utilizza un Cloud Storage Pool, non è conforme e non verrà applicata agli oggetti nei bucket con S3 Object Lock abilitato.

Definizione della regola Valore di esempio

Nome della regola

Regola non conforme: utilizzare Cloud Storage Pool

Conti degli inquilini

Non specificato

Nome del bucket

Non specificato, ma si applicherà solo ai bucket in cui non è abilitato S3 Object Lock (o la funzionalità legacy Compliance).

Filtro avanzato

Non specificato

Definizione della regola Valore di esempio

Tempo di riferimento

Tempo di ingestione

Posizionamenti

  • Il giorno 0, conserva due copie replicate sui nodi di archiviazione nel Data Center 1 e nel Data Center 2 per 365 giorni

  • Dopo 1 anno, conserva una copia replicata in un Cloud Storage Pool per sempre

Regola ILM 3 per esempio di blocco oggetto S3: regola predefinita

Questa regola ILM di esempio copia i dati degli oggetti nei pool di archiviazione in due data center. Questa regola conforme è concepita per essere la regola predefinita nella policy ILM. Non include alcun filtro, non utilizza il tempo di riferimento non corrente e soddisfa i requisiti dei bucket con S3 Object Lock abilitato: due copie dell'oggetto vengono conservate sui nodi di archiviazione dal giorno 0 all'infinito, utilizzando Ingest come tempo di riferimento.

Definizione della regola Valore di esempio

Nome della regola

Regola di conformità predefinita: due copie, due data center

Conto inquilino

Non specificato

Nome del bucket

Non specificato

Filtro avanzato

Non specificato

Definizione della regola Valore di esempio

Tempo di riferimento

Tempo di ingestione

Posizionamenti

Dal giorno 0 all'infinito, conserva due copie replicate: una sui nodi di archiviazione nel Data Center 1 e una sui nodi di archiviazione nel Data Center 2.

Esempio di policy ILM conforme per S3 Object Lock

Per creare una policy ILM che protegga efficacemente tutti gli oggetti nel sistema, compresi quelli nei bucket con S3 Object Lock abilitato, è necessario selezionare le regole ILM che soddisfano i requisiti di archiviazione per tutti gli oggetti. Quindi, è necessario simulare e attivare la policy.

Aggiungere regole alla policy

In questo esempio, la policy ILM include tre regole ILM, nel seguente ordine:

  1. Una regola conforme che utilizza la codifica di cancellazione per proteggere gli oggetti di dimensioni superiori a 1 MB in un bucket specifico con S3 Object Lock abilitato. Gli oggetti vengono archiviati sui nodi di archiviazione dal giorno 0 all'infinito.

  2. Una regola non conforme che crea due copie replicate dell'oggetto sui nodi di archiviazione per un anno e poi sposta una copia dell'oggetto in un pool di archiviazione cloud per sempre. Questa regola non si applica ai bucket con S3 Object Lock abilitato perché utilizza un Cloud Storage Pool.

  3. La regola di conformità predefinita che crea due copie replicate degli oggetti sui nodi di archiviazione dal giorno 0 all'infinito.

Simulare la politica

Dopo aver aggiunto regole alla policy, scelto una regola conforme predefinita e organizzato le altre regole, dovresti simulare la policy testando gli oggetti dal bucket con S3 Object Lock abilitato e da altri bucket. Ad esempio, quando si simula la policy di esempio, ci si aspetterebbe che gli oggetti di prova vengano valutati come segue:

  • La prima regola corrisponderà solo agli oggetti di prova che sono maggiori di 1 MB nel bucket bank-records per il tenant Bank of ABC.

  • La seconda regola corrisponderà a tutti gli oggetti in tutti i bucket non conformi per tutti gli altri account tenant.

  • La regola predefinita corrisponderà a questi oggetti:

    • Oggetti di dimensioni pari o inferiori a 1 MB nel bucket bank-records per il tenant Bank of ABC.

    • Oggetti in qualsiasi altro bucket in cui è abilitato il blocco oggetti S3 per tutti gli altri account tenant.

Attiva la politica

Quando sei completamente soddisfatto che la nuova policy protegga i dati degli oggetti come previsto, puoi attivarla.