Esempio 7: Politica ILM conforme per S3 Object Lock
È possibile utilizzare il bucket S3, le regole ILM e la policy ILM in questo esempio come punto di partenza quando si definisce una policy ILM per soddisfare i requisiti di protezione e conservazione degli oggetti nei bucket con S3 Object Lock abilitato.
|
Se hai utilizzato la funzionalità di conformità legacy nelle versioni precedenti StorageGRID , puoi utilizzare questo esempio anche per gestire eventuali bucket esistenti in cui è abilitata la funzionalità di conformità legacy. |
|
Le seguenti regole e policy ILM sono solo esempi. Esistono molti modi per configurare le regole ILM. Prima di attivare una nuova policy, simulala per verificare che funzioni come previsto per proteggere i contenuti dalla perdita. |
Esempio di bucket e oggetti per S3 Object Lock
In questo esempio, un account tenant S3 denominato Bank of ABC ha utilizzato Tenant Manager per creare un bucket con S3 Object Lock abilitato per archiviare i record bancari critici.
Definizione di bucket | Valore di esempio |
---|---|
Nome dell'account dell'inquilino |
Banca ABC |
Nome del bucket |
registri bancari |
Regione del bucket |
us-east-1 (predefinito) |
Ogni oggetto e versione dell'oggetto che viene aggiunto al bucket dei record bancari utilizzerà i seguenti valori per retain-until-date
E legal hold
impostazioni.
Impostazione per ogni oggetto | Valore di esempio |
---|---|
|
"2030-12-30T23:59:59Z" (30 dicembre 2030) Ogni versione dell'oggetto ha la sua |
|
"OFF" (Non in vigore) È possibile applicare o rimuovere un blocco legale su qualsiasi versione dell'oggetto in qualsiasi momento durante il periodo di conservazione. Se un oggetto è sottoposto a una sospensione legale, l'oggetto non può essere eliminato anche se |
Regola ILM 1 per esempio di blocco oggetto S3: profilo di codifica di cancellazione con corrispondenza bucket
Questa regola ILM di esempio si applica solo al conto tenant S3 denominato Bank of ABC. Corrisponde a qualsiasi oggetto nel bank-records
bucket e quindi utilizza la codifica di cancellazione per archiviare l'oggetto sui nodi di archiviazione in tre siti di data center utilizzando un profilo di codifica di cancellazione 6+3. Questa regola soddisfa i requisiti dei bucket con S3 Object Lock abilitato: una copia viene conservata sui nodi di archiviazione dal giorno 0 all'infinito, utilizzando l'ora di ingestione come ora di riferimento.
Definizione della regola | Valore di esempio |
---|---|
Nome della regola |
Regola conforme: Oggetti EC nel bucket dei registri bancari - Bank of ABC |
Conto inquilino |
Banca ABC |
Nome del bucket |
|
Filtro avanzato |
Dimensione oggetto (MB) maggiore di 1 Nota: questo filtro garantisce che la codifica di cancellazione non venga utilizzata per oggetti di dimensioni pari o inferiori a 1 MB. |
Definizione della regola | Valore di esempio |
---|---|
Tempo di riferimento |
Tempo di ingestione |
Posizionamenti |
Dal giorno 0 conservalo per sempre |
Profilo di codifica di cancellazione |
|
Esempio di regola ILM 2 per blocco oggetto S3: regola non conforme
Questa regola ILM di esempio memorizza inizialmente due copie replicate dell'oggetto sui nodi di archiviazione. Dopo un anno, ne memorizza una copia per sempre su un Cloud Storage Pool. Poiché questa regola utilizza un Cloud Storage Pool, non è conforme e non verrà applicata agli oggetti nei bucket con S3 Object Lock abilitato.
Definizione della regola | Valore di esempio |
---|---|
Nome della regola |
Regola non conforme: utilizzare Cloud Storage Pool |
Conti degli inquilini |
Non specificato |
Nome del bucket |
Non specificato, ma si applicherà solo ai bucket in cui non è abilitato S3 Object Lock (o la funzionalità legacy Compliance). |
Filtro avanzato |
Non specificato |
Definizione della regola | Valore di esempio |
---|---|
Tempo di riferimento |
Tempo di ingestione |
Posizionamenti |
|
Regola ILM 3 per esempio di blocco oggetto S3: regola predefinita
Questa regola ILM di esempio copia i dati degli oggetti nei pool di archiviazione in due data center. Questa regola conforme è concepita per essere la regola predefinita nella policy ILM. Non include alcun filtro, non utilizza il tempo di riferimento non corrente e soddisfa i requisiti dei bucket con S3 Object Lock abilitato: due copie dell'oggetto vengono conservate sui nodi di archiviazione dal giorno 0 all'infinito, utilizzando Ingest come tempo di riferimento.
Definizione della regola | Valore di esempio |
---|---|
Nome della regola |
Regola di conformità predefinita: due copie, due data center |
Conto inquilino |
Non specificato |
Nome del bucket |
Non specificato |
Filtro avanzato |
Non specificato |
Definizione della regola | Valore di esempio |
---|---|
Tempo di riferimento |
Tempo di ingestione |
Posizionamenti |
Dal giorno 0 all'infinito, conserva due copie replicate: una sui nodi di archiviazione nel Data Center 1 e una sui nodi di archiviazione nel Data Center 2. |
Esempio di policy ILM conforme per S3 Object Lock
Per creare una policy ILM che protegga efficacemente tutti gli oggetti nel sistema, compresi quelli nei bucket con S3 Object Lock abilitato, è necessario selezionare le regole ILM che soddisfano i requisiti di archiviazione per tutti gli oggetti. Quindi, è necessario simulare e attivare la policy.
Aggiungere regole alla policy
In questo esempio, la policy ILM include tre regole ILM, nel seguente ordine:
-
Una regola conforme che utilizza la codifica di cancellazione per proteggere gli oggetti di dimensioni superiori a 1 MB in un bucket specifico con S3 Object Lock abilitato. Gli oggetti vengono archiviati sui nodi di archiviazione dal giorno 0 all'infinito.
-
Una regola non conforme che crea due copie replicate dell'oggetto sui nodi di archiviazione per un anno e poi sposta una copia dell'oggetto in un pool di archiviazione cloud per sempre. Questa regola non si applica ai bucket con S3 Object Lock abilitato perché utilizza un Cloud Storage Pool.
-
La regola di conformità predefinita che crea due copie replicate degli oggetti sui nodi di archiviazione dal giorno 0 all'infinito.
Simulare la politica
Dopo aver aggiunto regole alla policy, scelto una regola conforme predefinita e organizzato le altre regole, dovresti simulare la policy testando gli oggetti dal bucket con S3 Object Lock abilitato e da altri bucket. Ad esempio, quando si simula la policy di esempio, ci si aspetterebbe che gli oggetti di prova vengano valutati come segue:
-
La prima regola corrisponderà solo agli oggetti di prova che sono maggiori di 1 MB nel bucket bank-records per il tenant Bank of ABC.
-
La seconda regola corrisponderà a tutti gli oggetti in tutti i bucket non conformi per tutti gli altri account tenant.
-
La regola predefinita corrisponderà a questi oggetti:
-
Oggetti di dimensioni pari o inferiori a 1 MB nel bucket bank-records per il tenant Bank of ABC.
-
Oggetti in qualsiasi altro bucket in cui è abilitato il blocco oggetti S3 per tutti gli altri account tenant.
-
Attiva la politica
Quando sei completamente soddisfatto che la nuova policy protegga i dati degli oggetti come previsto, puoi attivarla.