使用 S3 REST API 來設定 S3 物件鎖定
如果 StorageGRID 系統已啟用全域 S3 物件鎖定設定、您可以在啟用 S3 物件鎖定的情況下建立儲存區。您可以針對每個物件版本、指定每個儲存區或保留設定的預設保留。
如何為貯體啟用 S3 物件鎖定
貯體的預設保留設定
為貯體啟用 S3 物件鎖定時、您可以選擇性地啟用貯體的預設保留、並指定預設保留模式和預設保留期間。
預設保留模式
-
在法規遵循模式中:
-
直到達到物件的保留日期、才能刪除物件。
-
物件的保留日期可以增加、但不能減少。
-
直到達到該日期為止、才能移除物件的保留日期。
-
-
在治理模式中:
-
的使用者
s3:BypassGovernanceRetention
權限可以使用x-amz-bypass-governance-retention: true
要求標頭略過保留設定。 -
這些使用者可以在達到物件版本的保留截止日期之前刪除物件版本。
-
這些使用者可以增加、減少或移除物件的保留到目前為止。
-
預設保留期間
每個貯體都可以有一段以年或日為單位指定的預設保留期間。
如何設定貯體的預設保留
若要設定貯體的預設保留、請使用下列其中一種方法:
-
從 Tenant Manager 管理貯體設定。請參閱 "建立S3儲存區" 和 "更新 S3 物件鎖定預設保留"。
-
針對貯體發出「放置物件鎖定組態」要求、以指定預設模式和預設天數或年數。
放置物件鎖定組態
「放置物件鎖定組態」要求可讓您設定及修改已啟用 S3 物件鎖定的儲存區的預設保留模式和預設保留期間。您也可以移除先前設定的預設保留設定。
將新物件版本擷取至貯體時、會套用預設保留模式 x-amz-object-lock-mode
和 x-amz-object-lock-retain-until-date
未指定。預設保留期間用於計算截止日期 IF x-amz-object-lock-retain-until-date
未指定。
如果在擷取物件版本之後修改預設保留期間、則物件版本的保留截止日期將維持不變、且不會使用新的預設保留期間重新計算。
您必須擁有 s3:PutBucketObjectLockConfiguration
完成此作業的權限、或是帳戶根目錄。
。 Content-MD5
必須在 PUT 要求中指定要求標頭。
申請範例
此範例可為貯體啟用 S3 物件鎖定、並將預設保留模式設為符合法規、並將預設保留期間設為 6 年。
PUT /bucket?object-lock HTTP/1.1 Accept-Encoding: identity Content-Length: 308 Host: host Content-MD5: request header User-Agent: s3sign/1.0.0 requests/2.24.0 python/3.8.2 X-Amz-Date: date X-Amz-Content-SHA256: authorization-string Authorization: authorization-string <ObjectLockConfiguration> <ObjectLockEnabled>Enabled</ObjectLockEnabled> <Rule> <DefaultRetention> <Mode>COMPLIANCE</Mode> <Years>6</Years> </DefaultRetention> </Rule> </ObjectLockConfiguration>
如何決定貯體的預設保留
若要判斷儲存區是否啟用 S3 物件鎖定、並查看預設保留模式和保留期間、請使用下列其中一種方法:
-
在租戶管理器中檢視貯體。請參閱 "檢視 S3 儲存區"。
-
發出「取得物件鎖定組態」要求。
取得物件鎖定組態
「取得物件鎖定組態」要求可讓您判斷儲存區是否已啟用 S3 物件鎖定、如果已啟用、請查看儲存區是否已設定預設保留模式和保留期間。
將新物件版本擷取至貯體時、會套用預設保留模式 x-amz-object-lock-mode
未指定。預設保留期間用於計算截止日期 IF x-amz-object-lock-retain-until-date
未指定。
您必須擁有 s3:GetBucketObjectLockConfiguration
完成此作業的權限、或是帳戶根目錄。
申請範例
GET /bucket?object-lock HTTP/1.1 Host: host Accept-Encoding: identity User-Agent: aws-cli/1.18.106 Python/3.8.2 Linux/4.4.0-18362-Microsoft botocore/1.17.29 x-amz-date: date x-amz-content-sha256: authorization-string Authorization: authorization-string
回應範例
HTTP/1.1 200 OK x-amz-id-2: iVmcB7OXXJRkRH1FiVq1151/T24gRfpwpuZrEG11Bb9ImOMAAe98oxSpXlknabA0LTvBYJpSIXk= x-amz-request-id: B34E94CACB2CEF6D Date: Fri, 04 Sep 2020 22:47:09 GMT Transfer-Encoding: chunked Server: AmazonS3 <?xml version="1.0" encoding="UTF-8"?> <ObjectLockConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <ObjectLockEnabled>Enabled</ObjectLockEnabled> <Rule> <DefaultRetention> <Mode>COMPLIANCE</Mode> <Years>6</Years> </DefaultRetention> </Rule> </ObjectLockConfiguration>
如何指定物件的保留設定
啟用 S3 物件鎖定的貯體可包含物件組合、並具有或不含 S3 物件鎖定保留設定。
物件層級保留設定是使用 S3 REST API 指定的。物件的保留設定會覆寫貯體的任何預設保留設定。
您可以為每個物件指定下列設定:
-
* 保留模式 * :法規遵循或治理。
-
* 截止日期 * :指定 StorageGRID 必須保留物件版本多久的日期。
-
在規範模式中、如果保留截止日期是未來、則可以擷取物件、但無法修改或刪除物件。保留截止日期可以增加、但無法減少或移除此日期。
-
在治理模式中、具有特殊權限的使用者可以略過保留到最新的設定。他們可以在物件版本的保留期間結束之前刪除物件版本。他們也可以增加、減少或甚至移除截止日期的保留。
-
-
合法持有:將合法持有套用至物件版本、會立即鎖定該物件。例如、您可能需要對與調查或法律爭議相關的物件保留法律。合法持有沒有到期日、但在明確移除之前、仍會保留到位。
物件的合法保留設定不受保留模式和保留截止日期的影響。如果物件版本處於合法保留狀態、則沒有人可以刪除該版本。
您可以使用下列項目:
-
x-amz-object-lock-mode
,可以是法規遵循或治理(區分大小寫)。如果您指定 x-amz-object-lock-mode
,您也必須指定x-amz-object-lock-retain-until-date
。 -
x-amz-object-lock-retain-until-date
-
保留截止日期值必須採用格式
2020-08-10T21:46:00Z
。允許分數秒、但只保留3個小數位數(毫秒精度)。不允許其他 ISO 8601 格式。 -
保留截止日期必須為未來日期。
-
-
x-amz-object-lock-legal-hold
如果已開啟合法持有(區分大小寫)、則物件將置於合法持有之下。如果法律保留已關閉、則不會保留任何合法的保留。任何其他值都會導致400個錯誤要求(InvalidArgument)錯誤。
如果您使用上述任一要求標頭、請注意下列限制:
-
。
Content-MD5
如有任何要求、則要求標頭為必填欄位x-amz-object-lock-*
要求標頭出現在「放置物件」要求中。Content-MD5
不需要「放置物件-複製」或「啟動多重成分上傳」。 -
如果儲存區未啟用S3物件鎖定和
x-amz-object-lock-*
出現要求標頭、傳回400個錯誤要求(InvalidRequest)錯誤。 -
「放置物件」要求支援使用
x-amz-storage-class: REDUCED_REDUNDANCY
以符合AWS行為。然而、當物件被擷取至啟用S3物件鎖定的儲存區時StorageGRID 、則會一律執行雙重認可擷取。 -
後續的Get或HeadObject版本回應將包含標頭
x-amz-object-lock-mode
、x-amz-object-lock-retain-until-date`和 `x-amz-object-lock-legal-hold
(如果已設定)以及要求傳送者是否正確s3:Get*
權限:
您可以使用 s3:object-lock-remaining-retention-days
原則條件金鑰、可限制物件的最小和最大允許保留期間。
如何更新物件的保留設定
如果您需要更新現有物件版本的合法保留或保留設定、可以執行下列物件子資源作業:
-
PUT Object legal-hold
如果新的合法持有值已開啟、則物件將置於合法持有之下。如果合法持有值為「關」、則合法持有將被解除。
-
PUT Object retention
-
模式值可以是法規遵循或治理(區分大小寫)。
-
保留截止日期值必須採用格式
2020-08-10T21:46:00Z
。允許分數秒、但只保留3個小數位數(毫秒精度)。不允許其他 ISO 8601 格式。 -
如果物件版本有現有的截至日期保留、您只能增加。新的價值必須是未來的價值。
-
如何使用治理模式
擁有的使用者 s3:BypassGovernanceRetention
權限可以略過使用治理模式之物件的作用中保留設定。任何刪除或放置物件保留作業都必須包含 x-amz-bypass-governance-retention:true
要求標頭:這些使用者可以執行這些額外作業:
-
執行刪除物件或刪除多個物件作業、以在物件版本的保留期間結束之前刪除物件版本。
合法持有的物件無法刪除。合法持有必須關閉。
-
在物件的保留期間結束之前、執行「放置物件」保留作業、將物件版本的模式從治理變更為符合性。
永遠不允許將模式從法規遵循變更為治理。
-
執行「放置物件」保留作業、以增加、減少或移除物件版本的保留期間。