使用S3对象锁定保留对象
如果存储分段和对象必须符合保留法规要求、则可以使用S3对象锁定。
网格管理员必须授予您使用S3对象锁定特定功能的权限。 |
什么是 S3 对象锁定?
StorageGRID S3 对象锁定功能是一种对象保护解决方案 ,相当于 Amazon Simple Storage Service ( Amazon S3 )中的 S3 对象锁定。
为StorageGRID系统启用全局S3对象锁定设置后、S3租户帐户可以在启用或不启用S3对象锁定的情况下创建分段。如果存储分段启用了S3对象锁定、则需要执行存储分段版本控制、并会自动启用此功能。
*没有S3对象锁定的存储分段*只能包含没有指定保留设置的对象。任何已加热的对象都不具有保留设置。
*具有S3对象锁定*的存储分段可以包含具有和不具有S3客户端应用程序指定的保留设置的对象。已加热的某些对象将具有保留设置。
*配置了S3对象锁定和默认保留的存储分段*可以上传具有指定保留设置的对象以及没有保留设置的新对象。新对象使用默认设置、因为尚未在对象级别配置保留设置。
配置默认保留后、所有新加的对象都会具有保留设置、这一点很有效。没有对象保留设置的现有对象不受影响。
保留模式
StorageGRID S3对象锁定功能支持两种保留模式、可对对象应用不同级别的保护。这些模式相当于Amazon S3保留模式。
-
在合规模式下:
-
在达到保留截止日期之前、无法删除此对象。
-
对象的保留截止日期可以增加、但不能减少。
-
在达到该日期之前、无法删除对象的保留截止日期。
-
-
在监管模式下:
-
具有特殊权限的用户可以在请求中使用旁路标头来修改某些保留设置。
-
这些用户可以在达到保留截止日期之前删除对象版本。
-
这些用户可以增加、减少或删除对象的保留截止日期。
-
对象版本的保留设置
如果在创建存储分段时启用了S3对象锁定、则用户可以使用S3客户端应用程序为添加到该存储分段的每个对象指定以下保留设置(可选):
-
保留模式:合规性或监管。
-
retain至日期:如果某个对象版本的retain至日期为未来版本,则可以检索该对象,但不能将其删除。
-
* 合法保留 * :对对象版本应用合法保留时,会立即锁定该对象。例如,您可能需要对与调查或法律争议相关的对象进行法律保留。合法保留没有到期日期,但在明确删除之前始终有效。合法保留与保留日期无关。
如果某个对象处于合法保留状态、则无论其保留模式如何、任何人都无法删除该对象。 有关对象设置的详细信息,请参见"使用S3 REST API配置S3对象锁定"。
存储分段的默认保留设置
如果在创建存储分段时启用了S3对象锁定、则用户可以选择为此存储分段指定以下默认设置:
-
默认保留模式:合规或监管。
-
默认保留期限:添加到此存储分段的新对象版本应保留多长时间、从添加之日开始。
默认分段设置仅适用于没有自己的保留设置的新对象。添加或更改这些默认设置时、现有存储分段对象不会受到影响。
S3对象锁定任务
以下网格管理员和租户用户列表包含使用S3对象锁定功能的高级别任务。
- 网格管理员
-
-
为整个StorageGRID系统启用全局S3对象锁定设置。
-
确保信息生命周期管理(ILM )策略符合_合规_,即符合"启用了S3对象锁定的分段的要求"。
-
根据需要、允许租户使用合规性作为保留模式。否则、仅允许使用监管模式。
-
根据需要为租户设置最长保留期限。
-
- 租户用户
-
-
查看使用S3对象锁定的存储分段和对象的注意事项。
-
根据需要、请联系网格管理员以启用全局S3对象锁定设置并设置权限。
-
创建启用了S3对象锁定的分段。
-
(可选)配置存储分段的默认保留设置:
-
默认保留模式:监管或合规(如果网格管理员允许)。
-
默认保留期限:必须小于或等于网格管理员设置的最长保留期限。
-
-
使用S3客户端应用程序添加对象并可选择设置对象专用保留:
-
保留模式。监管或合规性(如果网格管理员允许)。
-
保留截止日期:必须小于或等于网格管理员设置的最长保留期限所允许的值。
-
-
启用了 S3 对象锁定的存储分段的要求
-
如果为 StorageGRID 系统启用了全局 S3 对象锁定设置,则可以使用租户管理器,租户管理 API 或 S3 REST API 创建启用了 S3 对象锁定的分段。
-
如果您计划使用 S3 对象锁定,则必须在创建存储分段时启用 S3 对象锁定。您不能为现有存储分段启用S3对象锁定。
-
为存储分段启用 S3 对象锁定后, StorageGRID 会自动为该存储分段启用版本控制。您不能禁用存储分段的S3对象锁定或暂停版本控制。
-
您也可以使用租户管理器、租户管理API或S3 REST API为每个存储分段指定默认保留模式和保留期限。存储分段的默认保留设置仅适用于添加到存储分段中但没有自己的保留设置的新对象。您可以通过在上传每个对象版本时为其指定保留模式和保留截止日期来覆盖这些默认设置。
-
启用了S3对象锁定的分段支持分段生命周期配置。
-
启用了 S3 对象锁定的存储分段不支持 CloudMirror 复制。
启用了 S3 对象锁定的分段中的对象的要求
-
要保护对象版本、您可以为存储分段指定默认保留设置、也可以为每个对象版本指定保留设置。可以使用S3客户端应用程序或S3 REST API指定对象级保留设置。
-
保留设置适用于各个对象版本。对象版本可以同时具有保留截止日期和合法保留设置,但不能具有其他设置,或者两者均不具有。为对象指定保留日期或合法保留设置仅保护请求中指定的版本。您可以创建新版本的对象,而先前版本的对象仍保持锁定状态。
启用了 S3 对象锁定的存储分段中的对象生命周期
在启用了S3对象锁定的情况下保存在存储分段中的每个对象都会经历以下阶段:
-
* 对象载入 *
将对象版本添加到启用了S3对象锁定的存储分段时、将按如下所示应用保留设置:
-
如果为对象指定了保留设置、则会应用对象级别设置。系统将忽略任何默认存储分段设置。
-
如果没有为对象指定保留设置、则会应用默认存储分段设置(如果存在)。
-
如果没有为对象或存储分段指定保留设置、则对象不受S3对象锁定保护。
如果应用了保留设置、则对象和任何S3用户定义的元数据都会受到保护。
-
-
对象保留和删除
StorageGRID 会在指定的保留期限内存储每个受保护对象的多个副本。对象副本的确切数量和类型以及存储位置由活动ILM策略中的合规规则决定。是否可以在达到保留截止日期之前删除受保护对象取决于其保留模式。
-
如果某个对象处于合法保留状态、则无论其保留模式如何、任何人都无法删除该对象。
-
是否仍可管理旧版合规存储分段?
S3 对象锁定功能取代了先前 StorageGRID 版本中提供的合规性功能。如果您使用早期版本的 StorageGRID 创建了合规的存储分段,则可以继续管理这些存储分段的设置;但是,您无法再创建新的合规存储分段。有关说明,请参阅https://kb.netapp.com/Advice_and_Troubleshooting/Hybrid_Cloud_Infrastructure/StorageGRID/How_to_manage_legacy_Compliant_buckets_in_StorageGRID_11.5["NetApp 知识库:如何在 StorageGRID 11.5 中管理原有的合规存储分段"^]。