Exemplo 7: Política de ILM compatível para bloqueio de objetos S3
Você pode usar o bucket S3, as regras ILM e a política ILM neste exemplo como ponto de partida ao definir uma política ILM para atender aos requisitos de proteção e retenção de objetos em buckets com o bloqueio de objetos S3 ativado.
Se você usou o recurso de conformidade legada em versões anteriores do StorageGRID, também poderá usar este exemplo para ajudar a gerenciar quaisquer buckets existentes que tenham o recurso de conformidade legada habilitado. |
As seguintes regras e políticas do ILM são apenas exemplos. Existem muitas maneiras de configurar regras ILM. Antes de ativar uma nova política, simule-a para confirmar que ela funcionará da forma pretendida para proteger o conteúdo da perda. |
Bucket e objetos para o exemplo de bloqueio de objetos do S3
Neste exemplo, uma conta de locatário do S3 chamada Bank of ABC usou o Gerenciador do Locatário para criar um bucket com o bloqueio de objeto do S3 habilitado para armazenar Registros bancários críticos.
Definição do balde | Exemplo de valor |
---|---|
Nome da conta do locatário |
Banco do ABC |
Nome do balde |
registos bancários |
Região do balde |
us-east-1 (predefinição) |
Cada versão de objeto e objeto adicionada ao bucket de Registros bancários usará os seguintes valores para retain-until-date
as configurações e legal hold
.
Definição para cada objeto | Exemplo de valor |
---|---|
|
"2030-12-30T23:59:59Z" (30 de dezembro de 2030) Cada versão de objeto tem sua |
|
"DESLIGADO" (não em vigor) Uma retenção legal pode ser colocada ou levantada em qualquer versão do objeto a qualquer momento durante o período de retenção. Se um objeto estiver sob uma retenção legal, o objeto não poderá ser excluído mesmo que o |
Regra 1 do ILM para o S3 Object Lock exemplo: Perfil de codificação de apagamento com correspondência de intervalo
Este exemplo de regra ILM aplica-se apenas à conta de locatário S3 chamada Bank of ABC. Ele corresponde a qualquer objeto no bank-records
bucket e, em seguida, usa a codificação de apagamento para armazenar o objeto em nós de storage em três locais de data center usando um perfil de codificação de apagamento de mais de 6 horas por dia, 3 dias por semana. Essa regra atende aos requisitos dos buckets com o bloqueio de objetos S3 ativado: Uma cópia é mantida nos nós de storage do dia 0 para sempre, usando o tempo de ingestão como o tempo de referência.
Definição de regra | Exemplo de valor |
---|---|
Nome da regra |
Regra compatível: Objetos EC no bucket de Registros bancários - Banco do ABC |
Conta de locatário |
Banco do ABC |
Nome do balde |
|
Filtro avançado |
Tamanho do objeto (MB) maior que 1 Nota: este filtro garante que a codificação de apagamento não seja usada para objetos de 1 MB ou menores. |
Definição de regra | Exemplo de valor |
---|---|
Tempo de referência |
Tempo de ingestão |
Colocações |
Desde o dia 0 loja para sempre |
Perfil de codificação de apagamento |
|
Regra ILM 2 para o exemplo de bloqueio de objetos S3: Regra não compatível
Este exemplo de regra de ILM armazena inicialmente duas cópias de objeto replicadas em nós de storage. Após um ano, ele armazena uma cópia em um pool de storage de nuvem para sempre. Como essa regra usa um pool de armazenamento em nuvem, ela não é compatível e não se aplica aos objetos em buckets com o bloqueio de objetos do S3 ativado.
Definição de regra | Exemplo de valor |
---|---|
Nome da regra |
Regra não compatível: Use o Cloud Storage Pool |
Contas de inquilino |
Não especificado |
Nome do intervalo |
Não especificado, mas só se aplicará a buckets que não tenham o bloqueio de objeto S3 (ou o recurso de conformidade legado) habilitado. |
Filtro avançado |
Não especificado |
Definição de regra | Exemplo de valor |
---|---|
Tempo de referência |
Tempo de ingestão |
Colocações |
|
Regra ILM 3 para o exemplo de bloqueio de objetos S3: Regra padrão
Este exemplo de regra de ILM copia dados de objetos para pools de storage em dois data centers. Esta regra compatível foi projetada para ser a regra padrão na política ILM. Ele não inclui nenhum filtro, não usa o tempo de referência não atual e satisfaz os requisitos de buckets com o bloqueio de objeto S3 ativado: Duas cópias de objeto são mantidas em nós de armazenamento do dia 0 para sempre, usando a ingestão como o tempo de referência.
Definição de regra | Exemplo de valor |
---|---|
Nome da regra |
Regra de conformidade padrão: Duas cópias dois Data Centers |
Conta de locatário |
Não especificado |
Nome do intervalo |
Não especificado |
Filtro avançado |
Não especificado |
Definição de regra | Exemplo de valor |
---|---|
Tempo de referência |
Tempo de ingestão |
Colocações |
Do dia 0 até sempre, mantenha duas cópias replicadas: Uma em nós de storage no data center 1 e uma em nós de storage no data center 2. |
Política ILM compatível para o exemplo de bloqueio de objetos S3
Para criar uma política de ILM que proteja efetivamente todos os objetos em seu sistema, incluindo aqueles em buckets com o bloqueio de objetos S3 ativado, você deve selecionar regras de ILM que atendam aos requisitos de armazenamento de todos os objetos. Em seguida, você deve simular e ativar a política.
Adicione regras à política
Neste exemplo, a política ILM inclui três regras ILM, na seguinte ordem:
-
Uma regra compatível que usa codificação de apagamento para proteger objetos com mais de 1 MB em um bucket específico com o bloqueio de objetos S3 ativado. Os objetos são armazenados nos nós de storage do dia 0 para sempre.
-
Regra não compatível que cria duas cópias de objetos replicadas em nós de storage por um ano e move uma cópia de objeto para um pool de storage de nuvem para sempre. Esta regra não se aplica a buckets com o bloqueio de objetos do S3 ativado porque usa um pool de armazenamento em nuvem.
-
A regra em conformidade padrão que cria duas cópias de objetos replicadas nos nós de storage do dia 0 para sempre.
Simule a política
Depois de adicionar regras à política, escolher uma regra compatível padrão e organizar as outras regras, você deve simular a política testando objetos do bucket com o bloqueio de objetos S3 ativado e de outros buckets. Por exemplo, quando você simula a política de exemplo, espera-se que os objetos de teste sejam avaliados da seguinte forma:
-
A primeira regra só corresponderá a objetos de teste maiores que 1 MB nos Registros de banco de buckets para o locatário do Bank of ABC.
-
A segunda regra corresponderá a todos os objetos em todos os buckets não compatíveis para todas as outras contas de inquilino.
-
A regra padrão corresponderá a estes objetos:
-
Objetos 1 MB ou mais pequenos nos Registros de banco de buckets para o inquilino do Banco do ABC.
-
Objetos em qualquer outro bucket que tenha o bloqueio de objeto S3 ativado para todas as outras contas de locatário.
-
Ative a política
Quando você estiver completamente satisfeito que a nova política protege os dados de objetos conforme esperado, você pode ativá-los.