Skip to main content
How to enable StorageGRID in your environment
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用对象锁定进行勒索软件防护

贡献者

了解StorageGRID中的对象锁定如何提供WORM模型来防止数据删除或覆盖、以及如何满足法规要求。

对象锁定提供了WORM模型、可防止删除或覆盖对象。StorageGRID实施对象锁定 "评估的协资产" 有助于满足法规要求、支持合法保留、合规模式和对象保留监管模式以及默认分段保留策略。您必须在创建分段和版本控制过程中启用对象锁定。对象的特定版本被锁定、如果未定义版本ID、则保留将放置在对象的当前版本上。如果当前版本配置了保留、并且尝试删除、修改或覆盖对象、则会创建一个新版本、其中包含删除标记、或者对象的新修订版作为当前版本。 锁定的版本将保留为非当前版本。对于尚不兼容的应用程序、您仍可以使用对象锁定以及存储分段上的默认保留配置。定义配置后、此操作会对放入存储分段的每个新对象应用对象保留。只要将应用程序配置为在保留时间过去之前不删除或覆盖对象、此操作就有效。

以下是使用对象锁定API的几个示例:

对象锁定合法保留是应用于对象的简单开/关状态。

aws s3api put-object-legal-hold --bucket mybucket --key myfile.txt --legal-hold Status=ON --endpoint-url https://s3.company.com

设置合法保留状态成功后不会返回任何值、因此可以通过GET操作进行验证。

aws s3api get-object-legal-hold --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "LegalHold": {
        "Status": "ON"
    }
}

要关闭合法保留、请应用关闭状态。

aws s3api put-object-legal-hold --bucket mybucket --key myfile.txt --legal-hold Status=OFF --endpoint-url https://s3.company.com
aws s3api get-object-legal-hold --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "LegalHold": {
        "Status": "OFF"
    }
}

设置对象保留时、会使用保留到时间戳。

aws s3api put-object-retention --bucket mybucket --key myfile.txt --retention '{"Mode":"COMPLIANCE", "RetainUntilDate": "2022-06-10T16:00:00"}'  --endpoint-url https://s3.company.com

同样、成功时也不返回任何值、因此您可以通过GET调用来验证保留状态。

aws s3api get-object-retention --bucket mybucket --key myfile.txt  --endpoint-url https://s3.company.com
{
    "Retention": {
        "Mode": "COMPLIANCE",
        "RetainUntilDate": "2022-06-10T16:00:00+00:00"
    }

为启用了对象锁定的存储分段设置默认保留期限时、保留期限以天和年为单位。

aws s3api put-object-lock-configuration --bucket mybucket --object-lock-configuration '{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 1 }}}' --endpoint-url https://s3.company.com

与大多数操作一样、成功后不会返回任何响应、因此、我们可以执行GET以验证配置。

aws s3api get-object-lock-configuration --bucket mybucket --endpoint-url https://s3.company.com
{
    "ObjectLockConfiguration": {
        "ObjectLockEnabled": "Enabled",
        "Rule": {
            "DefaultRetention": {
                "Mode": "COMPLIANCE",
                "Days": 1
            }
        }
    }
}

接下来、您可以在应用保留配置的情况下将对象放入存储分段中。

aws s3 cp myfile.txt s3://mybucket --endpoint-url https://s3.company.com

Put操作确实会返回响应。

upload: ./myfile.txt to s3://mybucket/myfile.txt

在保留对象上、上例中为分段设置的保留持续时间将转换为对象上的保留时间戳。

aws s3api get-object-retention --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "Retention": {
        "Mode": "COMPLIANCE",
        "RetainUntilDate": "2022-03-02T15:22:47.202000+00:00"
    }
}