O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerenciar objetos com o S3 Object Lock

10/01/2025

PDFs

Como administrador de grade, você pode habilitar o S3 Object Lock para seu sistema StorageGRID e implementar uma política de ILM compatível para ajudar a garantir que objetos em buckets S3 específicos não sejam excluídos ou substituídos por um período de tempo especificado.

O que é o S3 Object Lock?

O recurso StorageGRID S3 Object Lock é uma solução de proteção de objetos equivalente ao S3 Object Lock no Amazon Simple Storage Service (Amazon S3).

Quando a configuração global do S3 Object Lock está habilitada para um sistema StorageGRID , uma conta de locatário do S3 pode criar buckets com ou sem o S3 Object Lock habilitado. Se um bucket tiver o S3 Object Lock ativado, o controle de versão do bucket será necessário e ativado automaticamente.

Um bucket sem bloqueio de objeto S3 só pode ter objetos sem configurações de retenção especificadas. Nenhum objeto ingerido terá configurações de retenção.

Um bucket com bloqueio de objeto S3 pode ter objetos com e sem configurações de retenção especificadas por aplicativos cliente S3. Alguns objetos ingeridos terão configurações de retenção.

Um bucket com bloqueio de objeto S3 e retenção padrão configurada pode ter objetos carregados com configurações de retenção especificadas e novos objetos sem configurações de retenção. Os novos objetos usam a configuração padrão, porque a configuração de retenção não foi configurada no nível do objeto.

Efetivamente, todos os objetos recém-ingeridos têm configurações de retenção quando a retenção padrão é configurada. Objetos existentes sem configurações de retenção de objetos permanecem inalterados.

Modos de retenção

O recurso StorageGRID S3 Object Lock oferece suporte a dois modos de retenção para aplicar diferentes níveis de proteção aos objetos. Esses modos são equivalentes aos modos de retenção do Amazon S3.

No modo de conformidade:
- O objeto não pode ser excluído até que sua data de retenção seja atingida.
- A data de retenção do objeto pode ser aumentada, mas não diminuída.
- A data de retenção do objeto não pode ser removida até que essa data seja atingida.
No modo de governança:
- Usuários com permissão especial podem usar um cabeçalho de bypass em solicitações para modificar determinadas configurações de retenção.
- Esses usuários podem excluir uma versão do objeto antes que sua data de retenção seja atingida.
- Esses usuários podem aumentar, diminuir ou remover a data de retenção de um objeto.

Configurações de retenção para versões de objeto

Se um bucket for criado com o Bloqueio de Objeto S3 habilitado, os usuários poderão usar o aplicativo cliente S3 para especificar opcionalmente as seguintes configurações de retenção para cada objeto adicionado ao bucket:

Modo de retenção: conformidade ou governança.
Reter-até-data: Se a data de retenção de uma versão do objeto for no futuro, o objeto poderá ser recuperado, mas não poderá ser excluído.
Retenção legal: Aplicar uma retenção legal a uma versão de objeto bloqueia imediatamente esse objeto. Por exemplo, você pode precisar reter legalmente um objeto relacionado a uma investigação ou disputa legal. Uma retenção legal não tem data de expiração, mas permanece em vigor até ser explicitamente removida. As retenções legais são independentes da retenção até a data.

Se um objeto estiver sob retenção legal, ninguém poderá excluí-lo, independentemente do seu modo de retenção.

Para obter detalhes sobre as configurações do objeto, consulte"Use a API REST do S3 para configurar o bloqueio de objeto do S3" .

Configuração de retenção padrão para buckets

Se um bucket for criado com o S3 Object Lock habilitado, os usuários poderão, opcionalmente, especificar as seguintes configurações padrão para o bucket:

Modo de retenção padrão: conformidade ou governança.
Período de retenção padrão: por quanto tempo novas versões de objetos adicionadas a este bucket devem ser retidas, a partir do dia em que são adicionadas.

As configurações de bucket padrão se aplicam somente a novos objetos que não têm suas próprias configurações de retenção. Objetos de bucket existentes não são afetados quando você adiciona ou altera essas configurações padrão.

Ver"Criar um bucket S3" e"Atualizar retenção padrão do bloqueio de objeto S3" .

Comparando o bloqueio de objeto S3 com a conformidade legada

O S3 Object Lock substitui o recurso de conformidade que estava disponível em versões anteriores do StorageGRID . Como o recurso S3 Object Lock está em conformidade com os requisitos do Amazon S3, ele descontinua o recurso proprietário StorageGRID Compliance, que agora é chamado de "Conformidade herdada".

A configuração global de Conformidade está obsoleta. Se você habilitou essa configuração usando uma versão anterior do StorageGRID, a configuração de Bloqueio de Objeto do S3 será habilitada automaticamente. Você pode continuar a usar o StorageGRID para gerenciar as configurações de buckets compatíveis existentes; no entanto, não é possível criar novos buckets compatíveis. Para mais detalhes, veja "Base de conhecimento da NetApp : Como gerenciar buckets compatíveis legados no StorageGRID 11.5" .

Se você usou o recurso de conformidade legado em uma versão anterior do StorageGRID, consulte a tabela a seguir para saber como ele se compara ao recurso de bloqueio de objeto do S3 no StorageGRID.

	Bloqueio de Objeto S3	Conformidade (legado)
Como o recurso é habilitado globalmente?	No Grid Manager, selecione CONFIGURAÇÃO > Sistema > Bloqueio de Objeto S3.	Não é mais suportado.
Como o recurso é habilitado para um bucket?	Os usuários devem habilitar o bloqueio de objeto do S3 ao criar um novo bucket usando o Tenant Manager, a Tenant Management API ou a S3 REST API.	Não é mais suportado.
O controle de versão de bucket é suportado?	Sim. O controle de versão do bucket é necessário e é habilitado automaticamente quando o S3 Object Lock é habilitado para o bucket.	Não.
Como a retenção de objetos é definida?	Os usuários podem definir uma data de retenção para cada versão do objeto ou podem definir um período de retenção padrão para cada bucket.	Os usuários devem definir um período de retenção para todo o bucket. O período de retenção se aplica a todos os objetos no bucket.
O período de retenção pode ser alterado?	No modo de conformidade, o período de retenção até a data para uma versão do objeto pode ser aumentado, mas nunca diminuído. No modo de governança, usuários com permissões especiais podem diminuir ou até mesmo remover as configurações de retenção de um objeto.	O período de retenção de um bucket pode ser aumentado, mas nunca diminuído.
Onde a retenção legal é controlada?	Os usuários podem colocar ou retirar uma retenção legal para qualquer versão de objeto no bucket.	Uma retenção legal é colocada no bucket e afeta todos os objetos no bucket.
Quando os objetos podem ser excluídos?	No modo de conformidade, uma versão do objeto pode ser excluída após a data de retenção ser atingida, supondo que o objeto não esteja sob retenção legal. No modo de governança, usuários com permissões especiais podem excluir um objeto antes que sua data de retenção seja atingida, supondo que o objeto não esteja sob retenção legal.	Um objeto pode ser excluído após o término do período de retenção, desde que o bucket não esteja sob retenção legal. Os objetos podem ser excluídos automática ou manualmente.
A configuração do ciclo de vida do bucket é suportada?	Sim	Não

Bloqueio de Objeto S3

Conformidade (legado)

Como o recurso é habilitado globalmente?

No Grid Manager, selecione CONFIGURAÇÃO > Sistema > Bloqueio de Objeto S3.

Não é mais suportado.

Como o recurso é habilitado para um bucket?

Os usuários devem habilitar o bloqueio de objeto do S3 ao criar um novo bucket usando o Tenant Manager, a Tenant Management API ou a S3 REST API.

Não é mais suportado.

O controle de versão de bucket é suportado?

Sim. O controle de versão do bucket é necessário e é habilitado automaticamente quando o S3 Object Lock é habilitado para o bucket.

Não.

Como a retenção de objetos é definida?

Os usuários podem definir uma data de retenção para cada versão do objeto ou podem definir um período de retenção padrão para cada bucket.

Os usuários devem definir um período de retenção para todo o bucket. O período de retenção se aplica a todos os objetos no bucket.

O período de retenção pode ser alterado?

No modo de conformidade, o período de retenção até a data para uma versão do objeto pode ser aumentado, mas nunca diminuído.
No modo de governança, usuários com permissões especiais podem diminuir ou até mesmo remover as configurações de retenção de um objeto.

O período de retenção de um bucket pode ser aumentado, mas nunca diminuído.

Onde a retenção legal é controlada?

Os usuários podem colocar ou retirar uma retenção legal para qualquer versão de objeto no bucket.

Uma retenção legal é colocada no bucket e afeta todos os objetos no bucket.

Quando os objetos podem ser excluídos?

No modo de conformidade, uma versão do objeto pode ser excluída após a data de retenção ser atingida, supondo que o objeto não esteja sob retenção legal.
No modo de governança, usuários com permissões especiais podem excluir um objeto antes que sua data de retenção seja atingida, supondo que o objeto não esteja sob retenção legal.

Um objeto pode ser excluído após o término do período de retenção, desde que o bucket não esteja sob retenção legal. Os objetos podem ser excluídos automática ou manualmente.

A configuração do ciclo de vida do bucket é suportada?

Sim

Não