Skip to main content
How to enable StorageGRID in your environment
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

오브젝트 잠금을 사용한 랜섬웨어 방어

기여자

StorageGRID의 오브젝트 잠금이 WORM 모델을 제공하여 데이터 삭제 또는 덮어쓰기를 방지하는 방법과 규정 요구사항을 충족하는 방법에 대해 알아보십시오.

오브젝트 잠금은 WORM 모델을 제공하여 오브젝트를 삭제하거나 덮어쓰지 못하도록 합니다. StorageGRID은 오브젝트 잠금 구축을 "Cohasset 평가됨" 통해 규정 요구사항을 충족하고, 오브젝트 보존에 대한 법적 증거 자료 보관, 규정 준수 모드, 거버넌스 모드와 기본 버킷 보존 정책을 지원합니다. 버킷 생성 및 버전 관리에서 오브젝트 잠금을 활성화해야 합니다. 개체의 특정 버전이 잠겨 있으며 버전 ID가 정의되지 않은 경우 현재 버전의 개체에 보존이 배치됩니다. 현재 버전에 보존이 구성되어 있고 개체를 삭제, 수정 또는 덮어쓰려고 하면 삭제 표식 또는 개체의 새 수정본을 현재 버전으로 사용하여 새 버전이 만들어집니다. 잠긴 버전은 현재 버전이 아닌 버전으로 유지됩니다. 아직 호환되지 않는 애플리케이션의 경우 오브젝트 잠금과 버킷에 배치된 기본 보존 구성을 계속 사용할 수 있습니다. 구성이 정의된 후 버킷에 삽입되는 각 새 오브젝트에 오브젝트 보존을 적용합니다. 보존 시간이 경과하기 전에 응용 프로그램이 개체를 삭제하거나 덮어쓰지 않도록 구성된 한 이 기능은 작동합니다.

다음은 Object Lock API를 사용하는 몇 가지 예입니다.

오브젝트 잠금 법적 보관은 오브젝트에 적용되는 간단한 켜기/끄기 상태입니다.

aws s3api put-object-legal-hold --bucket mybucket --key myfile.txt --legal-hold Status=ON --endpoint-url https://s3.company.com

법적 증거 자료 보관 상태를 설정해도 성공하면 어떤 값도 반환되지 않으므로 가져오기 작업으로 확인할 수 있습니다.

aws s3api get-object-legal-hold --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "LegalHold": {
        "Status": "ON"
    }
}

법적 보류를 해제하려면 끄기 상태를 적용합니다.

aws s3api put-object-legal-hold --bucket mybucket --key myfile.txt --legal-hold Status=OFF --endpoint-url https://s3.company.com
aws s3api get-object-legal-hold --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "LegalHold": {
        "Status": "OFF"
    }
}

객체 보존 설정은 Retain until timestamp로 설정됩니다.

aws s3api put-object-retention --bucket mybucket --key myfile.txt --retention '{"Mode":"COMPLIANCE", "RetainUntilDate": "2022-06-10T16:00:00"}'  --endpoint-url https://s3.company.com

다시 한 번 말씀드리지만 성공 시 반환된 값이 없으므로 GET 호출과 마찬가지로 보존 상태를 확인할 수 있습니다.

aws s3api get-object-retention --bucket mybucket --key myfile.txt  --endpoint-url https://s3.company.com
{
    "Retention": {
        "Mode": "COMPLIANCE",
        "RetainUntilDate": "2022-06-10T16:00:00+00:00"
    }

객체 잠금이 활성화된 버킷에 기본 보존을 설정하면 보존 기간이 일 및 년 단위로 사용됩니다.

aws s3api put-object-lock-configuration --bucket mybucket --object-lock-configuration '{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 1 }}}' --endpoint-url https://s3.company.com

대부분의 작업과 마찬가지로 성공 시 응답이 반환되지 않으므로 확인할 구성에 대해 GET를 수행할 수 있습니다.

aws s3api get-object-lock-configuration --bucket mybucket --endpoint-url https://s3.company.com
{
    "ObjectLockConfiguration": {
        "ObjectLockEnabled": "Enabled",
        "Rule": {
            "DefaultRetention": {
                "Mode": "COMPLIANCE",
                "Days": 1
            }
        }
    }
}

다음으로, 보존 구성이 적용된 상태로 버켓에 객체를 넣을 수 있습니다.

aws s3 cp myfile.txt s3://mybucket --endpoint-url https://s3.company.com

Put 작업이 응답을 반환합니다.

upload: ./myfile.txt to s3://mybucket/myfile.txt

보존 개체에서 이전 예제에서 버킷에 설정된 보존 기간은 개체의 보존 타임스탬프로 변환됩니다.

aws s3api get-object-retention --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "Retention": {
        "Mode": "COMPLIANCE",
        "RetainUntilDate": "2022-03-02T15:22:47.202000+00:00"
    }
}