例7: S3オブジェクトロックの準拠ILMポリシー
変更を提案
PDF
S3 オブジェクトロックが有効になっているバケット内のオブジェクトのオブジェクト保護および保持要件を満たす ILM ポリシーを定義する際の開始点として、この例の S3 バケット、ILM ルール、および ILM ポリシーを使用できます。
|
以前のStorageGRIDリリースで従来のコンプライアンス機能を使用していた場合は、この例を使用して、従来のコンプライアンス機能が有効になっている既存のバケットを管理することもできます。 |
|
次の ILM ルールとポリシーは例にすぎません。 ILM ルールを構成する方法は多数あります。新しいポリシーを有効にする前に、ポリシーをシミュレートして、コンテンツの損失を防ぐためにポリシーが意図したとおりに機能することを確認します。 |
S3 オブジェクトロックの例のバケットとオブジェクト
この例では、Bank of ABC という名前の S3 テナント アカウントが、テナント マネージャーを使用して、重要な銀行レコードを保存するために S3 オブジェクト ロックが有効になっているバケットを作成しました。
| バケットの定義 | 値の例 |
|---|---|
テナントアカウント名 |
ABC銀行 |
バケット名 |
銀行記録 |
バケット領域 |
us-east-1(デフォルト) |
銀行レコードバケットに追加される各オブジェクトとオブジェクトバージョンは、次の値を使用します。 `retain-until-date`そして `legal hold`設定。
| 各オブジェクトの設定 | 値の例 |
|---|---|
|
「2030-12-30T23:59:59Z」(2030年12月30日) 各オブジェクトバージョンには独自の `retain-until-date`設定。この設定は増やすことはできますが、減らすことはできません。 |
|
「OFF」(無効) 法的保留は、保持期間中いつでも、任意のオブジェクト バージョンに対して設定または解除できます。オブジェクトが法的保留中の場合、 `retain-until-date`到達しました。 |
S3 オブジェクトロックの ILM ルール 1 の例: バケットマッチングによる消去コーディングプロファイル
この例の ILM ルールは、Bank of ABC という名前の S3 テナント アカウントにのみ適用されます。これは、 `bank-records`バケットに保存し、6+3 消失訂正コーディング プロファイルを使用して、3 つのデータ センター サイトのストレージ ノードにオブジェクトを保存します。このルールは、S3 オブジェクト ロックが有効になっているバケットの要件を満たします。つまり、取り込み時間を基準時間として使用して、コピーが 0 日目から永久にストレージ ノードに保存されます。
| ルールの定義 | 値の例 |
|---|---|
ルール名 |
準拠ルール: 銀行記録バケット内の EC オブジェクト - Bank of ABC |
テナント アカウント |
ABC銀行 |
バケット名 |
|
高度なフィルター |
オブジェクトサイズ(MB)が1より大きい 注: このフィルターにより、1 MB 以下のオブジェクトには消去コーディングが使用されなくなります。 |
| ルールの定義 | 値の例 |
|---|---|
基準時間 |
取り込み時間 |
配置 |
0日目から永遠に保存 |
消失訂正符号化プロファイル |
|
S3 オブジェクトロックの ILM ルール 2 の例: 非準拠ルール
この例の ILM ルールは、最初に 2 つの複製されたオブジェクトのコピーをストレージ ノードに保存します。 1 年後、1 つのコピーがクラウド ストレージ プールに永久に保存されます。このルールは Cloud Storage Pool を使用するため準拠しておらず、S3 オブジェクト ロックが有効になっているバケット内のオブジェクトには適用されません。
| ルールの定義 | 値の例 |
|---|---|
ルール名 |
非準拠ルール: クラウド ストレージ プールを使用する |
テナントアカウント |
指定なし |
バケット名 |
指定されていませんが、S3 オブジェクト ロック (または従来のコンプライアンス機能) が有効になっていないバケットにのみ適用されます。 |
高度なフィルター |
指定なし |
| ルールの定義 | 値の例 |
|---|---|
基準時間 |
取り込み時間 |
配置 |
|
S3 オブジェクトロックの例の ILM ルール 3: デフォルトルール
この例の ILM ルールは、オブジェクト データを 2 つのデータ センターのストレージ プールにコピーします。この準拠ルールは、ILM ポリシーのデフォルト ルールとなるように設計されています。フィルターは含まれず、非現在の参照時間を使用せず、S3 オブジェクト ロックが有効になっているバケットの要件を満たします。つまり、取り込みを参照時間として使用して、2 つのオブジェクト コピーが 0 日目から永久にストレージ ノードに保存されます。
| ルールの定義 | 値の例 |
|---|---|
ルール名 |
デフォルトの準拠ルール: 2つのコピー、2つのデータセンター |
テナントアカウント |
指定なし |
バケット名 |
指定なし |
高度なフィルター |
指定なし |
| ルールの定義 | 値の例 |
|---|---|
基準時間 |
取り込み時間 |
配置 |
0 日目から永久に、複製された 2 つのコピー (データセンター 1 のストレージ ノードに 1 つ、データセンター 2 のストレージ ノードに 1 つ) を保持します。 |
S3 オブジェクトロックの準拠 ILM ポリシーの例
S3 オブジェクトロックが有効になっているバケット内のオブジェクトも含め、システム内のすべてのオブジェクトを効果的に保護する ILM ポリシーを作成するには、すべてのオブジェクトのストレージ要件を満たす ILM ルールを選択する必要があります。次に、ポリシーをシミュレートしてアクティブ化する必要があります。
ポリシーにルールを追加する
この例では、ILM ポリシーに 3 つの ILM ルールが次の順序で含まれています。
-
S3 オブジェクトロックが有効になっている特定のバケット内の 1 MB を超えるオブジェクトを保護するために消去コーディングを使用する準拠ルール。オブジェクトは、0 日目から永久にストレージ ノードに保存されます。
-
ストレージ ノードに 2 つの複製されたオブジェクト コピーを 1 年間作成し、その後 1 つのオブジェクト コピーをクラウド ストレージ プールに永久に移動する非準拠ルール。このルールは、クラウド ストレージ プールを使用するため、S3 オブジェクト ロックが有効になっているバケットには適用されません。
-
ストレージ ノードに 0 日目から永久に 2 つの複製されたオブジェクト コピーを作成するデフォルトの準拠ルール。
ポリシーをシミュレートする
ポリシーにルールを追加し、デフォルトの準拠ルールを選択し、他のルールを調整したら、S3 オブジェクトロックが有効になっているバケットと他のバケットのオブジェクトをテストして、ポリシーをシミュレートする必要があります。たとえば、サンプル ポリシーをシミュレートする場合、テスト オブジェクトは次のように評価されます。
-
最初のルールは、Bank of ABC テナントのバケット bank-records 内の 1 MB を超えるテスト オブジェクトのみに一致します。
-
2 番目のルールは、他のすべてのテナント アカウントのすべての非準拠バケット内のすべてのオブジェクトと一致します。
-
デフォルトのルールは次のオブジェクトに一致します。
-
Bank of ABC テナントのバケット bank-records 内の 1 MB 以下のオブジェクト。
-
他のすべてのテナント アカウントに対して S3 オブジェクト ロックが有効になっている他のバケット内のオブジェクト。
-
ポリシーを有効にする
新しいポリシーによってオブジェクト データが期待どおりに保護されることに完全に満足したら、それをアクティブ化できます。