例 7 : S3 オブジェクトロックの準拠 ILM ポリシー
S3 オブジェクトのロックが有効なバケット内のオブジェクトの保護および保持の要件を満たす ILM ポリシーを定義する際は、以下の例の S3 バケット、 ILM ルール、 ILM ポリシーをベースとして使用できます。
以前の StorageGRID リリースで従来の準拠機能を使用していた場合、この例を使用して、従来の準拠機能が有効になっている既存のバケットを管理することもできます。 |
以下の ILM ルールとポリシーは一例にすぎません。ILM ルールを設定する方法は多数あります。新しいポリシーをアクティブ化する前に、ポリシーをシミュレートして、コンテンツを損失から保護するために意図したとおりに機能することを確認します。 |
S3 オブジェクトのロックのバケットとオブジェクトの例
次の例では、 Bank of ABC という名前の S3 テナントアカウントで、 Tenant Manager を使用して、重要な銀行記録を格納するために S3 オブジェクトロックを有効にしたバケットを作成しています。
バケットの定義 | 値の例 |
---|---|
テナントアカウント名 |
ABC 銀行 |
バケット名 |
銀行記録 |
バケットのリージョン |
us-east-1 (デフォルト) |
bank-recordsバケットに追加される各オブジェクトおよびオブジェクトバージョンでは、および `legal hold`の設定に次の値が使用され `retain-until-date`ます。
オブジェクトごとに設定します | 値の例 |
---|---|
|
「2030-12-30T23:59:59Z」(2030年12月30日) 各オブジェクトバージョンには独自の設定があり `retain-until-date`ます。この設定は、上げることはできますが、下げることはできません。 |
|
「オフ」(有効ではない) リーガルホールドは、保持期間中いつでも任意のオブジェクトバージョンに適用または解除できます。オブジェクトがリーガルホールドの対象になっている場合は、が到達してもオブジェクトを削除できません |
S3オブジェクトロックのILMルール1の例:イレイジャーコーディングプロファイルでバケットを照合
この例の ILM ルールは、 Bank of ABC という名前の S3 テナントアカウントのみに適用されます。バケット内の任意のオブジェクトに一致し、 `bank-records`イレイジャーコーディングを使用して、6+3のイレイジャーコーディングプロファイルを使用して3つのデータセンターサイトのストレージノードにオブジェクトを格納します。このルールは、S3オブジェクトロックを有効にしたバケットの要件を満たしています。つまり、取り込み時間を参照時間として使用して、コピーが0日目から無期限にストレージノードに保持されます。
ルール定義 | 値の例 |
---|---|
ルール名 |
準拠ルール:bank-records Bucket内のECオブジェクト- Bank of ABC |
テナントアカウント |
ABC 銀行 |
バケット名 |
|
高度なフィルタ |
オブジェクトサイズ(MB)が1より大きい *注:このフィルタは、1MB以下のオブジェクトにイレイジャーコーディングが使用されないようにします。 |
ルール定義 | 値の例 |
---|---|
参照時間 |
取り込み時間 |
配置 |
0 日目のストアから永遠に |
イレイジャーコーディングプロファイル |
|
S3 オブジェクトのロックの例の ILM ルール 2 :非準拠ルール
この例の ILM ルールでは、 2 つのレプリケートオブジェクトコピーをストレージノードに最初に格納します。1 年後、クラウドストレージプールに 1 つのコピーを無期限に格納します。このルールはクラウドストレージプールを使用するため、非準拠となり、 S3 オブジェクトロックが有効になっているバケット内のオブジェクトには適用されません。
ルール定義 | 値の例 |
---|---|
ルール名 |
非準拠ルール:クラウドストレージプールを使用します |
テナントアカウント |
指定なし |
バケット名 |
指定されていませんが、S3オブジェクトロック(または従来の準拠機能)が有効になっていないバケットにのみ適用されます。 |
高度なフィルタ |
指定なし |
ルール定義 | 値の例 |
---|---|
参照時間 |
取り込み時間 |
配置 |
|
S3 オブジェクトのロックの例の ILM ルール 3 :デフォルトルール
この ILM ルールの例では、 2 つのデータセンター内のストレージプールにオブジェクトデータをコピーします。この準拠ルールは、 ILM ポリシーのデフォルトルールとして設計されています。フィルタは含まれず、参照時間が最新でない状態を使用しません。また、 S3 オブジェクトロックが有効なバケットの要件を満たします。 2 つのオブジェクトコピーが 0 日目から無期限にストレージノードに保持され、参照時間として取り込みが使用されます。
ルール定義 | 値の例 |
---|---|
ルール名 |
デフォルトの準拠ルール:2つのデータセンターに2つコピー |
テナントアカウント |
指定なし |
バケット名 |
指定なし |
高度なフィルタ |
指定なし |
ルール定義 | 値の例 |
---|---|
参照時間 |
取り込み時間 |
配置 |
0 日目から無期限に、 2 つのレプリケートコピーを保持します。 1 つはデータセンター 1 のストレージノードに、もう 1 つはデータセンター 2 のストレージノードに保持します。 |
S3 オブジェクトのロックに対する準拠 ILM ポリシーの例
S3 オブジェクトロックが有効になっているバケット内のオブジェクトを含め、システム内のすべてのオブジェクトを効果的に保護する ILM ポリシーを作成するには、すべてのオブジェクトのストレージ要件を満たす ILM ルールを選択する必要があります。その後、ポリシーをシミュレートしてアクティブ化する必要があります。
ポリシーにルールを追加します
この例では、 ILM ポリシーに、次の順序で 3 つの ILM ルールが含まれています。
-
S3 オブジェクトのロックが有効な特定のバケットで 1MB を超えるオブジェクトをイレイジャーコーディングを使用して保護する準拠ルール。オブジェクトは 0 日目から無期限にストレージノードに格納されます。
-
2 つのレプリケートオブジェクトコピーを作成してストレージノードに 1 年間保存したあと、 1 つのオブジェクトコピーをクラウドストレージプールに無期限に移動する非準拠ルール。S3 オブジェクトロックが有効になっているバケットでは、クラウドストレージプールを使用するため、このルールは適用されません。
-
2 つのレプリケートオブジェクトコピーを 0 日目からストレージノードに無期限に作成するデフォルトの準拠ルール。
ポリシーをシミュレートする
ポリシーにルールを追加し、デフォルトの準拠ルールを選択して他のルールを整理したら、S3オブジェクトロックを有効にしたバケットのオブジェクトと他のバケットのオブジェクトをテストしてポリシーをシミュレートする必要があります。たとえば、この例のポリシーをシミュレートすると、テストオブジェクトは次のように評価されます。
-
最初のルールは、 Bank of ABC テナントのバケットバンクレコードで 1MB を超えるテストオブジェクトのみに一致します。
-
2 番目のルールは、他のすべてのテナントアカウントの非準拠バケット内のすべてのオブジェクトに一致します。
-
デフォルトのルールは次のオブジェクトに一致します。
-
バケットバンク内の1MB以下のオブジェクト- Bank of ABCテナントのレコード。
-
他のすべてのテナントアカウントで S3 オブジェクトロックが有効になっている他のバケット内のオブジェクト。
-
ポリシーをアクティブ化する
新しいポリシーによってオブジェクトデータが適切に保護されることを確認したら、アクティブ化します。