Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3 オブジェクトロックを使用してオブジェクトを保持する

PDF

バケットとオブジェクトが保持に関する規制要件に準拠する必要がある場合は、S3 オブジェクトロックを使用できます。

メモ グリッド管理者は、S3 オブジェクト ロックの特定の機能を使用するための権限を付与する必要があります。

S3 オブジェクトロックとは何ですか?

StorageGRID S3 オブジェクト ロック機能は、Amazon Simple Storage Service (Amazon S3) の S3 オブジェクト ロックと同等のオブジェクト保護ソリューションです。

StorageGRIDシステムでグローバル S3 オブジェクト ロック設定が有効になっている場合、S3 テナント アカウントは、S3 オブジェクト ロックが有効になっているかどうかに関係なくバケットを作成できます。バケットで S3 オブジェクトロックが有効になっている場合は、バケットのバージョン管理が必要となり、自動的に有効になります。

S3 オブジェクト ロックのないバケット には、保持設定が指定されていないオブジェクトのみを含めることができます。取り込まれたオブジェクトには保持設定はありません。

S3 オブジェクト ロックが有効なバケット には、S3 クライアント アプリケーションによって指定された保持設定のあるオブジェクトと、保持設定のないオブジェクトを含めることができます。取り込まれたオブジェクトの中には保持設定を持つものがあります。

S3 オブジェクト ロックとデフォルトの保持期間が設定されたバケット には、保持期間設定が指定されたアップロード済みオブジェクトと、保持期間設定のない新しいオブジェクトを含めることができます。保持設定がオブジェクト レベルで構成されていないため、新しいオブジェクトではデフォルト設定が使用されます。

実際には、デフォルトの保持期間が設定されている場合、新しく取り込まれたすべてのオブジェクトに保持設定が行われます。オブジェクト保持設定のない既存のオブジェクトは影響を受けません。

保持モード

StorageGRID S3 オブジェクト ロック機能は、オブジェクトに異なるレベルの保護を適用するための 2 つの保持モードをサポートしています。これらのモードは、Amazon S3 保持モードと同等です。

  • コンプライアンスモードの場合:

    • オブジェクトは、保持期限に達するまで削除できません。

    • オブジェクトの保持期限を増やすことはできますが、減らすことはできません。

    • オブジェクトの保持期限は、その日付に達するまで削除できません。

  • ガバナンス モードの場合:

    • 特別な権限を持つユーザーは、リクエストでバイパス ヘッダーを使用して、特定の保持設定を変更できます。

    • これらのユーザーは、オブジェクト バージョンを、その保持期限に達する前に削除できます。

    • これらのユーザーは、オブジェクトの保持期限を増減または削除できます。

オブジェクトバージョンの保持設定

S3 オブジェクト ロックを有効にしてバケットを作成した場合、ユーザーは S3 クライアント アプリケーションを使用して、バケットに追加されるオブジェクトごとに次の保持設定をオプションで指定できます。

  • 保持モード: コンプライアンスまたはガバナンスのいずれか。

  • 保持期限: オブジェクト バージョンの保持期限が将来の日付である場合、オブジェクトを取得することはできますが、削除することはできません。

  • 法的保留: オブジェクト バージョンに法的保留を適用すると、そのオブジェクトは直ちにロックされます。たとえば、調査や法的紛争に関連するオブジェクトに対して法的保留を設定する必要がある場合があります。法的保留には有効期限はありませんが、明示的に削除されるまで有効のままになります。法的保留は、保持期限とは無関係です。

    メモ オブジェクトが法的保留中の場合、保持モードに関係なく、誰もそのオブジェクトを削除することはできません。

    オブジェクト設定の詳細については、"S3 REST API を使用して S3 オブジェクトロックを設定する"

バケットのデフォルトの保持設定

S3 オブジェクトロックを有効にしてバケットを作成すると、ユーザーはオプションでバケットの次のデフォルト設定を指定できます。

  • デフォルトの保持モード: コンプライアンスまたはガバナンスのいずれか。

  • デフォルトの保持期間: このバケットに追加された新しいオブジェクト バージョンを、追加された日から保持する期間。

デフォルトのバケット設定は、独自の保持設定を持たない新しいオブジェクトにのみ適用されます。これらのデフォルト設定を追加または変更しても、既存のバケット オブジェクトは影響を受けません。

見る"S3バケットを作成する"そして"S3 オブジェクトロックのデフォルト保持を更新"

S3 オブジェクトロックタスク

グリッド管理者とテナント ユーザー向けの次のリストには、S3 オブジェクト ロック機能を使用するための高レベルのタスクが含まれています。

グリッド管理者

  • StorageGRIDシステム全体に対してグローバル S3 オブジェクト ロック設定を有効にします。

  • 情報ライフサイクル管理(ILM)ポリシーが準拠していることを確認する。つまり、"S3 オブジェクトロックが有効になっているバケットの要件"

  • 必要に応じて、テナントがコンプライアンスを保持モードとして使用できるようにします。それ以外の場合は、ガバナンス モードのみが許可されます。

  • 必要に応じて、テナントの最大保持期間を設定します。

テナントユーザー

  • S3 オブジェクトロックを使用したバケットとオブジェクトに関する考慮事項を確認します。

  • 必要に応じて、グリッド管理者に連絡して、グローバル S3 オブジェクト ロック設定を有効にし、権限を設定します。

  • S3 オブジェクトロックを有効にしてバケットを作成します。

  • 必要に応じて、バケットのデフォルトの保持設定を構成します。

    • デフォルトの保持モード: グリッド管理者が許可している場合、ガバナンスまたはコンプライアンス。

    • デフォルトの保持期間: グリッド管理者によって設定された最大保持期間以下である必要があります。

  • S3 クライアント アプリケーションを使用してオブジェクトを追加し、オプションでオブジェクト固有の保持期間を設定します。

    • 保持モード。グリッド管理者によって許可されている場合、ガバナンスまたはコンプライアンス。

    • 保持期限: グリッド管理者が設定した最大保持期間で許可されている値以下である必要があります。

S3 オブジェクトロックが有効になっているバケットの要件

  • StorageGRIDシステムでグローバル S3 オブジェクト ロック設定が有効になっている場合は、テナント マネージャ、テナント管理 API、または S3 REST API を使用して、S3 オブジェクト ロックが有効になっているバケットを作成できます。

  • S3 オブジェクトロックを使用する予定の場合は、バケットを作成するときに S3 オブジェクトロックを有効にする必要があります。既存のバケットに対して S3 オブジェクトロックを有効にすることはできません。

  • バケットに対して S3 オブジェクト ロックが有効になっている場合、 StorageGRID はそのバケットのバージョン管理を自動的に有効にします。 S3 オブジェクトロックを無効にしたり、バケットのバージョン管理を一時停止したりすることはできません。

  • オプションで、テナント マネージャー、テナント管理 API、または S3 REST API を使用して、各バケットのデフォルトの保持モードと保持期間を指定できます。バケットのデフォルトの保持設定は、バケットに追加された、独自の保持設定を持たない新しいオブジェクトにのみ適用されます。アップロード時に各オブジェクト バージョンの保持モードと保持期限を指定することにより、これらのデフォルト設定を上書きできます。

  • バケットのライフサイクル設定は、S3 オブジェクト ロックが有効になっているバケットでサポートされます。

  • S3 オブジェクト ロックが有効になっているバケットでは、CloudMirror レプリケーションはサポートされません。

S3 オブジェクトロックが有効になっているバケット内のオブジェクトの要件

  • オブジェクト バージョンを保護するには、バケットのデフォルトの保持設定を指定するか、オブジェクト バージョンごとに保持設定を指定できます。オブジェクト レベルの保持設定は、S3 クライアント アプリケーションまたは S3 REST API を使用して指定できます。

  • 保持設定は個々のオブジェクト バージョンに適用されます。オブジェクト バージョンには、保持期限設定と法的保留設定の両方が含まれる場合もあれば、どちらか一方だけが含まれる場合もあり、どちらも含まれない場合もあります。オブジェクトに対して保持期限または法的保留設定を指定すると、リクエストで指定されたバージョンのみが保護されます。オブジェクトの以前のバージョンはロックされたまま、オブジェクトの新しいバージョンを作成できます。

S3 オブジェクトロックが有効になっているバケット内のオブジェクトのライフサイクル

S3 オブジェクトロックが有効になっているバケットに保存された各オブジェクトは、以下の段階を経ます。

  1. オブジェクトの取り込み

    S3 オブジェクトロックが有効になっているバケットにオブジェクトバージョンが追加されると、保持設定が次のように適用されます。

    • オブジェクトに保持設定が指定されている場合は、オブジェクト レベルの設定が適用されます。デフォルトのバケット設定はすべて無視されます。

    • オブジェクトに保持設定が指定されていない場合は、デフォルトのバケット設定(存在する場合)が適用されます。

    • オブジェクトまたはバケットに保持設定が指定されていない場合、オブジェクトは S3 オブジェクト ロックによって保護されません。

    保持設定が適用されると、オブジェクトと S3 ユーザー定義メタデータの両方が保護されます。

  2. オブジェクトの保持と削除

    保護された各オブジェクトの複数のコピーは、指定された保持期間にわたってStorageGRIDによって保存されます。オブジェクト コピーの正確な数とタイプ、および保存場所は、アクティブな ILM ポリシーの準拠ルールによって決まります。保護されたオブジェクトを、その保持期限に達する前に削除できるかどうかは、その保持モードによって異なります。

    • オブジェクトが法的保留中の場合、保持モードに関係なく、誰もそのオブジェクトを削除することはできません。

従来のコンプライアンス バケットを引き続き管理できますか?

S3 オブジェクト ロック機能は、以前のStorageGRIDバージョンで利用可能だったコンプライアンス機能に代わるものです。以前のバージョンのStorageGRIDを使用して準拠バケットを作成した場合、これらのバケットの設定を引き続き管理できますが、新しい準拠バケットを作成することはできなくなります。手順については、https://kb.netapp.com/Advice_and_Troubleshooting/Hybrid_Cloud_Infrastructure/StorageGRID/How_to_manage_legacy_Compliant_buckets_in_StorageGRID_11.5["NetAppナレッジベース: StorageGRID 11.5 でレガシー準拠バケットを管理する方法"^] 。