Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

テナントで S3 オブジェクトロックを使用する

共同作成者
PDF

オブジェクトが保持に関する規制要件に準拠する必要がある場合は、 StorageGRID で S3 オブジェクトロック機能を使用できます。

S3 オブジェクトのロックとは何ですか?

StorageGRID S3 オブジェクトロック機能は、 Amazon Simple Storage Service ( Amazon S3 )での S3 オブジェクトロックに相当するオブジェクト保護解決策 です。

図に示すように、 StorageGRID システムでグローバルな S3 オブジェクトのロック設定が有効になっている場合、 S3 テナントアカウントでは、 S3 オブジェクトのロックを有効にしているかどうかに関係なくバケットを作成できます。バケットで S3 オブジェクトのロックが有効になっている場合、 S3 クライアントアプリケーションは、そのバケット内の任意のオブジェクトバージョンの保持設定を必要に応じて指定できます。オブジェクトのバージョンには、 S3 オブジェクトロックで保護するように指定された保持設定が必要です。

S3 オブジェクトロックアーキテクチャ

StorageGRID S3 オブジェクトロック機能は、 Amazon S3 準拠モードと同等の単一の保持モードを提供します。デフォルトでは、保護されたオブジェクトバージョンは、どのユーザーでも上書きまたは削除できません。StorageGRID S3 オブジェクトのロック機能では、ガバナンスモードはサポートされず、特別な権限を持つユーザは保持設定を省略したり保護されたオブジェクトを削除したりすることはできません。

バケットで S3 オブジェクトロックが有効になっている場合、 S3 クライアントアプリケーションは、オブジェクトの作成時または更新時に、次のオブジェクトレベルの保持設定のいずれか、または両方を必要に応じて指定できます。

  • Retain Until - date :オブジェクトバージョンの retain-until - date が将来の日付である場合、オブジェクトは読み出し可能ですが、変更または削除することはできません。必要に応じて、オブジェクトの retain-date を増やすことはできますが、この日付を減らすことはできません。

  • * リーガルホールド * :オブジェクトバージョンにリーガルホールドを適用すると、そのオブジェクトがただちにロックされます。たとえば、調査または法的紛争に関連するオブジェクトにリーガルホールドを設定する必要がある場合があります。リーガルホールドには有効期限はありませんが、明示的に削除されるまで保持されます。リーガルホールドは、それまでの保持期間とは関係ありません。

また可能です バケットのデフォルトの保持モードとデフォルトの保持期間を指定。これらのポリシーは、バケットに追加した各オブジェクトに適用され、それぞれの保持設定は指定されません。

これらの設定の詳細については、を参照してください S3 オブジェクトロックを使用する

従来の準拠バケットを管理します

S3 オブジェクトロック機能は、以前のバージョンの StorageGRID で使用されていた準拠機能に代わる機能です。以前のバージョンの StorageGRID を使用して準拠バケットを作成した場合は、引き続きこれらのバケットの設定を管理できますが、新しい準拠バケットは作成できなくなります。手順については、ネットアップの技術情報アーティクルを参照してください。

"ネットアップのナレッジベース: StorageGRID 11.5 でレガシー準拠バケットを管理する方法"

S3 オブジェクトロックのワークフロー

次のワークフロー図は、 StorageGRID で S3 オブジェクトロック機能を使用する場合の大まかな手順を示しています。

S3 オブジェクトのロックを有効にしてバケットを作成する前に、グリッド管理者が StorageGRID システム全体に対してグローバルな S3 オブジェクトのロック設定を有効にする必要があります。グリッド管理者は、も確認する必要があります 情報ライフサイクル管理( ILM )ポリシー は「準拠」です。 S3 オブジェクトロックが有効になっているバケットの要件を満たしている必要があります。詳細については、グリッド管理者に問い合わせるか、情報ライフサイクル管理を使用してオブジェクトを管理する手順を参照してください。

グローバルな S3 オブジェクトのロック設定を有効にしたあと、 S3 オブジェクトのロックを有効にしてバケットを作成できます。その後、 S3 クライアントアプリケーションを使用して、オブジェクトのバージョンごとに保持設定を必要に応じて指定できます。

S3 オブジェクトロックワークフローのテナント

S3 オブジェクトのロックの要件

バケットで S3 オブジェクトのロックを有効にする前に、 S3 オブジェクトのロックが有効になっているバケットおよびオブジェクトの要件と、バケット内のオブジェクトのライフサイクルを確認します。

S3 オブジェクトのロックを有効にした場合のバケットの要件

  • StorageGRID システムでグローバルな S3 オブジェクトロック設定が有効になっている場合は、テナントマネージャ、テナント管理 API 、または S3 REST API を使用して、 S3 オブジェクトロックを有効にしたバケットを作成できます。

    次の Tenant Manager の例では、 S3 オブジェクトのロックが有効になっているバケットを示しています。

    準拠バケットの例

  • S3 オブジェクトのロックを使用する場合は、バケットの作成時に S3 オブジェクトのロックを有効にする必要があります。既存のバケットに対して S3 オブジェクトロックを有効にすることはできません。

  • S3 オブジェクトロックでは、バケットのバージョン管理が必要です。バケットで S3 オブジェクトのロックが有効になっている場合は、そのバケットのバージョン管理が StorageGRID で自動的に有効になります。

  • S3 オブジェクトのロックを有効にしてバケットを作成したあとに、そのバケットの S3 オブジェクトのロックを無効にしたりバージョン管理を一時停止したりすることはできません。

  • 必要に応じて、バケットにデフォルトの保持を設定できます。オブジェクトのバージョンがアップロードされると、デフォルトの保持設定がオブジェクトのバージョンに適用されます。バケットのデフォルト設定を上書きするには、オブジェクトバージョンのアップロード要求で保持モードと retain-date を指定します。

  • バケットライフサイクル設定は S3 オブジェクトライフサイクルバケットでサポートされます。

  • CloudMirror レプリケーションは、 S3 オブジェクトロックが有効になっているバケットではサポートされません。

S3 オブジェクトのロックが有効になっているバケット内のオブジェクトの要件

  • オブジェクトバージョンを保護するためには、 S3 クライアントアプリケーションでバケットのデフォルト保持を設定するか、各アップロード要求で保持設定を指定する必要があります。

  • オブジェクトバージョンの retain-until date は増やすことができますが、この値を減らすことはできません。

  • 係争中の訴訟や規制上の調査に関する通知があった場合、オブジェクトバージョンをリーガルホールドの対象にすることで関連情報を保持できます。オブジェクトバージョンがリーガルホールドの対象になっている場合は、それが retain-until 日に達しても、そのオブジェクトを StorageGRID から削除することはできません。リーガルホールドを解除すると、それまで保持期限に達した場合にオブジェクトバージョンを削除できるようになります。

  • S3 オブジェクトロックにはバージョン管理されたバケットを使用する必要があります。保持設定はオブジェクトのバージョンごとに適用されます。オブジェクトバージョンには、 retain-until date 設定とリーガルホールド設定の両方を設定できます。ただし、オブジェクトバージョンを保持することはできません。また、どちらも保持することはできません。オブジェクトの retain-une-date 設定またはリーガルホールド設定を指定すると、要求で指定されたバージョンのみが保護されます。オブジェクトの以前のバージョンはロックされたまま、オブジェクトの新しいバージョンを作成できます。

S3 オブジェクトのロックが有効なバケット内のオブジェクトのライフサイクル

S3 オブジェクトのロックが有効になっているバケットに保存された各オブジェクトは、次の 3 つの段階を経て処理されます。

  1. * オブジェクトの取り込み *

    • S3 オブジェクトのロックが有効になっているバケットにオブジェクトのバージョンを追加するときに、 S3 クライアントアプリケーションはオプションでオブジェクトの保持設定を指定できます( retain-until date 、 legal hold 、または both )。StorageGRID は、そのオブジェクトのメタデータを生成します。これには、一意のオブジェクト ID ( UUID )と取り込み日時が含まれます。

    • 保持設定のあるオブジェクトのバージョンが取り込まれたあとに、そのデータと S3 ユーザ定義メタデータを変更することはできません。

    • StorageGRID は、オブジェクトメタデータをオブジェクトデータとは別に格納します。各サイトですべてのオブジェクトメタデータのコピーを 3 つ保持します。

  2. * オブジェクト保持 *

    • オブジェクトの複数のコピーが StorageGRID によって格納される。コピーの正確な数、タイプ、格納場所は、アクティブな ILM ポリシーの準拠ルールによって決まります。

  3. * オブジェクトの削除 *

    • オブジェクトは、 retain-until - date に到達したときに削除できます。

    • リーガルホールドの対象になっているオブジェクトは削除できません。