Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 S3 对象锁保留对象

PDF

如果存储桶和对象必须符合保留的监管要求,则可以使用 S3 对象锁。

备注 您的网格管理员必须授予您使用 S3 对象锁的特定功能的权限。

什么是 S3 对象锁?

StorageGRID S3 对象锁功能是一种对象保护解决方案,相当于 Amazon Simple Storage Service (Amazon S3) 中的 S3 对象锁。

当为StorageGRID系统启用全局 S3 对象锁定设置时,S3 租户帐户可以创建启用或未启用 S3 对象锁定的存储桶。如果存储桶启用了 S3 对象锁,则需要存储桶版本控制,并且会自动启用。

*没有 S3 对象锁的存储桶*只能包含未指定保留设置的对象。任何摄取的对象都不会有保留设置。

*具有 S3 对象锁的存储桶*可以包含由 S3 客户端应用程序指定的具有或不具有保留设置的对象。一些摄取的对象将具有保留设置。

*配置了 S3 对象锁定和默认保留的存储桶*可以拥有指定了保留设置的上传对象和不带保留设置的新对象。新对象使用默认设置,因为尚未在对象级别配置保留设置。

实际上,当配置默认保留时,所有新摄取的对象都有保留设置。没有对象保留设置的现有对象不受影响。

保留模式

StorageGRID S3 对象锁定功能支持两种保留模式,以对对象应用不同级别的保护。这些模式相当于 Amazon S3 保留模式。

  • 在合规模式下:

    • 在达到保留截止日期之前,无法删除该对象。

    • 对象的保留截止日期可以增加,但不能减少。

    • 在达到该日期之前,不能删除对象的保留截止日期。

  • 在治理模式下:

    • 具有特殊权限的用户可以在请求中使用绕过标头来修改某些保留设置。

    • 这些用户可以在达到保留截止日期之前删除对象版本。

    • 这些用户可以增加、减少或删除对象的保留期限。

对象版本的保留设置

如果创建存储桶时启用了 S3 对象锁定,则用户可以使用 S3 客户端应用程序选择性地为添加到存储桶的每个对象指定以下保留设置:

  • 保留模式:合规或治理。

  • 保留至日期:如果对象版本的保留至日期在未来,则可以检索该对象,但不能删除它。

  • 合法保留:对对象版本应用合法保留会立即锁定该对象。例如,您可能需要对与调查或法律纠纷相关的对象实施法律保留。合法保留没有到期日,但会一直有效,直到被明确取消。合法保留与保留截止日期无关。

    备注 如果某个对象处于合法保留之下,则无论其保留模式如何,任何人都无法删除该对象。

    有关对象设置的详细信息,请参阅"使用 S3 REST API 配置 S3 对象锁"

存储桶的默认保留设置

如果创建存储桶时启用了 S3 对象锁定,用户可以选择为存储桶指定以下默认设置:

  • 默认保留模式:合规或治理。

  • 默认保留期:添加到此存储桶的新对象版本应保留多长时间(从添加之日起)。

默认存储桶设置仅适用于没有自己的保留设置的新对象。添加或更改这些默认设置时,现有的存储桶对象不会受到影响。

"创建 S3 存储桶""更新 S3 对象锁默认保留"

S3 对象锁定任务

以下针对网格管理员和租户用户的列表包含使用 S3 对象锁定功能的高级任务。

网格管理员

  • 为整个StorageGRID系统启用全局 S3 对象锁定设置。

  • 确保信息生命周期管理 (ILM) 政策符合规定;也就是说,它们满足"启用 S3 对象锁的存储桶的要求"

  • 根据需要,允许租户使用合规性作为保留模式。否则,只允许治理模式。

  • 根据需要,为租户设置最长保留期。

租户用户

  • 查看具有 S3 对象锁的存储桶和对象的注意事项。

  • 根据需要联系网格管理员启用全局S3对象锁定设置并设置权限。

  • 创建启用 S3 对象锁的存储桶。

  • 或者,配置存储桶的默认保留设置:

    • 默认保留模式:治理或合规(如果电网管理员允许)。

    • 默认保留期:必须小于或等于网格管理员设置的最大保留期。

  • 使用 S3 客户端应用程序添加对象并选择性地设置特定于对象的保留:

    • 保留模式。如果电网管理员允许,则进行治理或合规。

    • 保留截止日期:必须小于或等于网格管理员设置的最长保留期限。

启用 S3 对象锁定的存储桶的要求

  • 如果为StorageGRID系统启用了全局 S3 对象锁定设置,则您可以使用租户管理器、租户管理 API 或 S3 REST API 创建启用了 S3 对象锁定的存储桶。

  • 如果您计划使用 S3 对象锁,则必须在创建存储桶时启用 S3 对象锁。您无法为现有存储桶启用 S3 对象锁定。

  • 当为存储桶启用 S3 对象锁定时, StorageGRID会自动为该存储桶启用版本控制。您无法禁用 S3 对象锁定或暂停存储桶的版本控制。

  • 或者,您可以使用租户管理器、租户管理 API 或 S3 REST API 为每个存储桶指定默认保留模式和保留期限。存储桶的默认保留设置仅适用于添加到存储桶且没有自己的保留设置的新对象。您可以通过在上传每个对象版本时为其指定保留模式和保留截止日期来覆盖这些默认设置。

  • 启用 S3 对象锁的存储桶支持存储桶生命周期配置。

  • 启用了 S3 对象锁的存储桶不支持 CloudMirror 复制。

启用 S3 对象锁的存储桶中的对象要求

  • 为了保护对象版本,您可以为存储桶指定默认保留设置,也可以为每个对象版本指定保留设置。可以使用 S3 客户端应用程序或 S3 REST API 指定对象级保留设置。

  • 保留设置适用于单个对象版本。对象版本可以同时具有保留截止日期和合法保留设置,或者只具有其中之一,或者两者都不具有。为对象指定保留期限或合法保留设置仅保护请求中指定的版本。您可以创建该对象的新版本,同时该对象的先前版本仍保持锁定状态。

启用 S3 对象锁的存储桶中对象的生命周期

启用 S3 对象锁后,保存在存储桶中的每个对象都会经历以下阶段:

  1. 对象摄取

    当对象版本添加到启用了 S3 对象锁定的存储桶时,将应用以下保留设置:

    • 如果为对象指定了保留设置,则应用对象级别的设置。任何默认存储桶设置都将被忽略。

    • 如果没有为对象指定保留设置,则应用默认存储桶设置(如果存在)。

    • 如果没有为对象或存储桶指定保留设置,则该对象不受 S3 对象锁保护。

    如果应用了保留设置,则对象和任何 S3 用户定义的元数据都受到保护。

  2. 对象保留和删除

    StorageGRID会存储每个受保护对象的多个副本,并保留指定的期限。对象副本的确切数量和类型以及存储位置由活动 ILM 策略中的兼容规则决定。受保护对象是否可以在达到保留期限之前被删除取决于其保留模式。

    • 如果某个对象处于合法保留之下,则无论其保留模式如何,任何人都无法删除该对象。

我还能管理旧版合规存储桶吗?

S3 对象锁定功能取代了以前StorageGRID版本中提供的合规性功能。如果您使用以前版本的StorageGRID创建了兼容存储桶,则可以继续管理这些存储桶的设置;但是,您无法再创建新的兼容存储桶。有关说明,请参阅https://kb.netapp.com/Advice_and_Troubleshooting/Hybrid_Cloud_Infrastructure/StorageGRID/How_to_manage_legacy_Compliant_buckets_in_StorageGRID_11.5["NetApp知识库:如何在StorageGRID 11.5 中管理旧版兼容存储桶"^]。