Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 S3 REST API 來設定 S3 物件鎖定

貢獻者 netapp-madkat netapp-perveilerk ssantho3

如果 StorageGRID 系統已啟用全域 S3 物件鎖定設定、您可以在啟用 S3 物件鎖定的情況下建立儲存區。您可以針對每個物件版本、指定每個儲存區或保留設定的預設保留。

如何為貯體啟用 S3 物件鎖定

如果StorageGRID 您的整個S3物件鎖定設定已啟用、則您可以在建立每個儲存區時、選擇性地啟用S3物件鎖定。

S3 物件鎖定是永久性設定、只有在建立貯體時才能啟用。建立貯體後、您無法新增或停用 S3 物件鎖定。

若要為貯體啟用 S3 物件鎖定、請使用下列其中一種方法:

  • 使用租戶管理程式建立桶。請參閱 "建立S3儲存區"

  • 使用「放入庫位」要求與一起建立庫位 x-amz-bucket-object-lock-enabled 要求標頭:請參閱 "在貯體上作業"

S3 物件鎖定需要儲存區版本設定、此功能會在建立儲存區時自動啟用。您無法暫停儲存區的版本設定。請參閱 "物件版本管理"

貯體的預設保留設定

為貯體啟用 S3 物件鎖定時、您可以選擇性地啟用貯體的預設保留、並指定預設保留模式和預設保留期間。

預設保留模式

  • 在法規遵循模式中:

    • 直到達到物件的保留日期、才能刪除物件。

    • 物件的保留日期可以增加、但不能減少。

    • 直到達到該日期為止、才能移除物件的保留日期。

  • 在治理模式中:

    • 的使用者 s3:BypassGovernanceRetention 權限可以使用 x-amz-bypass-governance-retention: true 要求標頭略過保留設定。

    • 這些使用者可以在達到物件版本的保留截止日期之前刪除物件版本。

    • 這些使用者可以增加、減少或移除物件的保留到目前為止。

預設保留期間

每個貯體都可以有一段以年或日為單位指定的預設保留期間。

如何設定貯體的預設保留

若要設定貯體的預設保留、請使用下列其中一種方法:

放置物件鎖定組態

「放置物件鎖定組態」要求可讓您設定及修改已啟用 S3 物件鎖定的儲存區的預設保留模式和預設保留期間。您也可以移除先前設定的預設保留設定。

將新物件版本擷取至貯體時、會套用預設保留模式 x-amz-object-lock-modex-amz-object-lock-retain-until-date 未指定。預設保留期間用於計算截止日期 IF x-amz-object-lock-retain-until-date 未指定。

如果在擷取物件版本之後修改預設保留期間、則物件版本的保留截止日期將維持不變、且不會使用新的預設保留期間重新計算。

您必須擁有 s3:PutBucketObjectLockConfiguration 完成此作業的權限、或是帳戶根目錄。

Content-MD5 必須在 PUT 要求中指定要求標頭。

申請範例

此範例可為貯體啟用 S3 物件鎖定、並將預設保留模式設為符合法規、並將預設保留期間設為 6 年。

PUT /bucket?object-lock HTTP/1.1
Accept-Encoding: identity
Content-Length: 308
Host: host
Content-MD5: request header
User-Agent: s3sign/1.0.0 requests/2.24.0 python/3.8.2
X-Amz-Date: date
X-Amz-Content-SHA256: authorization-string
Authorization: authorization-string

<ObjectLockConfiguration>
    <ObjectLockEnabled>Enabled</ObjectLockEnabled>
    <Rule>
        <DefaultRetention>
            <Mode>COMPLIANCE</Mode>
            <Years>6</Years>
        </DefaultRetention>
    </Rule>
</ObjectLockConfiguration>

如何決定貯體的預設保留

若要判斷儲存區是否啟用 S3 物件鎖定、並查看預設保留模式和保留期間、請使用下列其中一種方法:

  • 在租戶管理器中檢視貯體。請參閱 "檢視 S3 儲存區"

  • 發出「取得物件鎖定組態」要求。

取得物件鎖定組態

「取得物件鎖定組態」要求可讓您判斷儲存區是否已啟用 S3 物件鎖定、如果已啟用、請查看儲存區是否已設定預設保留模式和保留期間。

將新物件版本擷取至貯體時、會套用預設保留模式 x-amz-object-lock-mode 未指定。預設保留期間用於計算截止日期 IF x-amz-object-lock-retain-until-date 未指定。

您必須擁有 s3:GetBucketObjectLockConfiguration 完成此作業的權限、或是帳戶根目錄。

申請範例

GET /bucket?object-lock HTTP/1.1
Host: host
Accept-Encoding: identity
User-Agent: aws-cli/1.18.106 Python/3.8.2 Linux/4.4.0-18362-Microsoft botocore/1.17.29
x-amz-date: date
x-amz-content-sha256: authorization-string
Authorization: authorization-string

回應範例

HTTP/1.1 200 OK
x-amz-id-2: iVmcB7OXXJRkRH1FiVq1151/T24gRfpwpuZrEG11Bb9ImOMAAe98oxSpXlknabA0LTvBYJpSIXk=
x-amz-request-id: B34E94CACB2CEF6D
Date: Fri, 04 Sep 2020 22:47:09 GMT
Transfer-Encoding: chunked
Server: AmazonS3

<?xml version="1.0" encoding="UTF-8"?>
<ObjectLockConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <ObjectLockEnabled>Enabled</ObjectLockEnabled>
    <Rule>
        <DefaultRetention>
            <Mode>COMPLIANCE</Mode>
            <Years>6</Years>
        </DefaultRetention>
    </Rule>
</ObjectLockConfiguration>

如何指定物件的保留設定

啟用 S3 物件鎖定的貯體可包含物件組合、並具有或不含 S3 物件鎖定保留設定。

物件層級保留設定是使用 S3 REST API 指定的。物件的保留設定會覆寫貯體的任何預設保留設定。

您可以為每個物件指定下列設定:

  • * 保留模式 * :法規遵循或治理。

  • * 截止日期 * :指定 StorageGRID 必須保留物件版本多久的日期。

    • 在規範模式中、如果保留截止日期是未來、則可以擷取物件、但無法修改或刪除物件。保留截止日期可以增加、但無法減少或移除此日期。

    • 在治理模式中、具有特殊權限的使用者可以略過保留到最新的設定。他們可以在物件版本的保留期間結束之前刪除物件版本。他們也可以增加、減少或甚至移除截止日期的保留。

  • 合法持有:將合法持有套用至物件版本、會立即鎖定該物件。例如、您可能需要對與調查或法律爭議相關的物件保留法律。合法持有沒有到期日、但在明確移除之前、仍會保留到位。

    物件的合法保留設定不受保留模式和保留截止日期的影響。如果物件版本處於合法保留狀態、則沒有人可以刪除該版本。

若要在將物件版本新增至貯體時指定 S3 物件鎖定設定、請發出 "放置物件""放置物件-複製""啟動多部份上傳" 申請。

您可以使用下列項目:

  • x-amz-object-lock-mode,可以是法規遵循或治理(區分大小寫)。

    註 如果您指定 x-amz-object-lock-mode,您也必須指定 x-amz-object-lock-retain-until-date
  • x-amz-object-lock-retain-until-date

    • 保留截止日期值必須採用格式 2020-08-10T21:46:00Z。允許分數秒、但只保留3個小數位數(毫秒精度)。不允許其他 ISO 8601 格式。

    • 保留截止日期必須為未來日期。

  • x-amz-object-lock-legal-hold

    如果已開啟合法持有(區分大小寫)、則物件將置於合法持有之下。如果法律保留已關閉、則不會保留任何合法的保留。任何其他值都會導致400個錯誤要求(InvalidArgument)錯誤。

如果您使用上述任一要求標頭、請注意下列限制:

  • Content-MD5 如有任何要求、則要求標頭為必填欄位 x-amz-object-lock-* 要求標頭出現在「放置物件」要求中。 Content-MD5 不需要「放置物件-複製」或「啟動多重成分上傳」。

  • 如果儲存區未啟用S3物件鎖定和 x-amz-object-lock-* 出現要求標頭、傳回400個錯誤要求(InvalidRequest)錯誤。

  • 「放置物件」要求支援使用 x-amz-storage-class: REDUCED_REDUNDANCY 以符合AWS行為。然而、當物件被擷取至啟用S3物件鎖定的儲存區時StorageGRID 、則會一律執行雙重認可擷取。

  • 後續的Get或HeadObject版本回應將包含標頭 x-amz-object-lock-modex-amz-object-lock-retain-until-date`和 `x-amz-object-lock-legal-hold(如果已設定)以及要求傳送者是否正確 s3:Get* 權限:

您可以使用 s3:object-lock-remaining-retention-days 原則條件金鑰、可限制物件的最小和最大允許保留期間。

如何更新物件的保留設定

如果您需要更新現有物件版本的合法保留或保留設定、可以執行下列物件子資源作業:

  • PUT Object legal-hold

    如果新的合法持有值已開啟、則物件將置於合法持有之下。如果合法持有值為「關」、則合法持有將被解除。

  • PUT Object retention

    • 模式值可以是法規遵循或治理(區分大小寫)。

    • 保留截止日期值必須採用格式 2020-08-10T21:46:00Z。允許分數秒、但只保留3個小數位數(毫秒精度)。不允許其他 ISO 8601 格式。

    • 如果物件版本有現有的截至日期保留、您只能增加。新的價值必須是未來的價值。

如何使用治理模式

擁有的使用者 s3:BypassGovernanceRetention 權限可以略過使用治理模式之物件的作用中保留設定。任何刪除或放置物件保留作業都必須包含 x-amz-bypass-governance-retention:true 要求標頭:這些使用者可以執行這些額外作業:

  • 執行刪除物件或刪除多個物件作業、以在物件版本的保留期間結束之前刪除物件版本。

    合法持有的物件無法刪除。合法持有必須關閉。

  • 在物件的保留期間結束之前、執行「放置物件」保留作業、將物件版本的模式從治理變更為符合性。

    永遠不允許將模式從法規遵循變更為治理。

  • 執行「放置物件」保留作業、以增加、減少或移除物件版本的保留期間。