Die Website www.informatio.ch wurde in www.backup.ch integriert – Jetzt mehr ĂŒber die Fusion erfahren

Beitrag von Florin Gruber, Mai 2023

Wie S3 Object Lock funktioniert

S3 Object Lock bringt viele Vorteile mit sich und bietet sich insbesondere mit Blick auf regulatorische Anforderungen sowie Schutz vor Ransomware (und Malware generell) an.

Sie können die S3 Object Lock Funktion nutzen, um Objekte nach dem WORM-Prinzip (Write-Once-Read-Many) zu speichern und zu schĂŒtzen. Mit S3 Object Lock kann verhindert werden, dass Benutzer Dateien löschen oder Ă€ndern können (fĂŒr eine zuvor definierte Zeit).

FĂŒr S3 Object Locks stehen zwei Modi zur VerfĂŒgung:

  • Governance Mode
  • Compliance Mode

Im Governance Mode können Benutzer keine Objektversion verÀndern oder löschen, ausser sie besitzen spezielle Berechtigungen. Im Governance-Modus verhindern Sie die Löschung und VerÀnderung von Objekten durch alle regulÀren Benutzer, aber Administratoren haben mittels spezieller Berechtigungen die Möglichkeit, den Schutz zu umgehen. Der Governance Mode kann auf den Compliance Mode hochgestuft werden.

Wenn Sie Objekte unter dem Governance Mode löschen möchten, benötigen Sie einen IAM-User mit der s3:BypassGovernanceRetention Berechtigung. Dazu muss bei jedem Call, der diese Berechtigung Nutzer soll, der Header x-amz-bypass-governance-retention:true mitgegeben werden.

Im Compliance Mode kann kein Benutzer, auch kein Root-Benutzer, eine Objektversion verĂ€ndern oder löschen. In diesem Modus besteht keine Möglichkeit, den Schutz zu umgehen. Der Compliance Mode kann fĂŒr die ErfĂŒllung von regulatorischen Anforderungen genutzt werden (z.B. im Finanz- und Gesundheitswesen). Einmal gesetzt, kann die Object Lock Dauer im Compliance Mode nicht verkĂŒrzt oder entfernt werden (lediglich verlĂ€ngert). Es ist auch nicht möglich, eine Policy vom Compliance Mode auf den Governance Mode herunterzustufen.

Bei der Wahl des richtigen Object Lock Mode ist also Vorsicht geboten. Ein unbeabsichtigtes Setzen von Object Lock fĂŒr 99 Jahre (die höchste auswĂ€hlbare Dauer) im Compliance Mode ist nicht reversibel. Gerne beraten wir Sie im Detail ĂŒber die Vor- und Nachteile der beiden Modi und planen den fĂŒr Sie passenden Einsatzzweck.

Retention Periods

Retention Periods können auf Stufe Bucket oder auf Stufe Objekt definiert werden.

Wenn die Retention Period einem Objekt mitgegeben werden soll, dann wird bei dies mittels dem Retain Until Date Header fĂŒr das Objekt bewerkstelligt.

Wenn die Retention Period auf deinem Bucket definiert wird, muss die Retain Until Date nicht manuell mitgegeben werden. Stattdessen berechnet der S3 Server diese Metadaten automatisch anhand der auf dem Bucket gesetzten Object Lock Dauer. Am Ende hat aber in beiden FĂ€llen jedes Objekt seine eigene Retention Dauer, entweder weil explizit mitgegeben oder automatisch anhand der Bucket Policy berechnet.

Retention Periods beziehen sich immer auf eine Objektversion. Verschiedene Versionen eines Objektes können verschiedene Retention Periods besitzen.

Wird ein Löschversuch unternommen, wird dieser nur durchgefĂŒhrt, wenn das "Retain Until Date" Datum in der Vergangenheit liegt. Eine Ausnahme besteht darin, dass die Löschung nicht erfolgreich ist, wenn auf einem Objekt bzw. einer Objektversion ein Legal Hold angewendet wurde. In diesem Fall kann eine Objektversion trotz abgelaufener Retention Period nicht gelöscht werden.

Legal Holds

Ein Legal Hold ist eine von der Retention Period unabhĂ€ngige Funktion, mit der S3-Objekte vor Löschung und Änderung geschĂŒtzt werden können. Legal Holds können auf alle Objekte in einem Bucket angewendet werden, auf dem Object Lock aktiviert ist. Ein Legal Hold hat keinen Einfluss auf die Retention Period einer Objektversion. Ein Legal Hold kann so lange nicht umgangen werden, bis der berechtige Benutzer diesen wieder aufhebt. Ein Legal Hold ist immer auf unbestimmte Zeit aktiv. Wenn ein Legal Hold auf einem Objekt aktiviert ist, kann es nicht gelöscht werden, unabhĂ€ngig der Retention Period.

Legal Holds können von allen Benutzern mit der s3:PutObjectLegalHold Berechtigung auf Objekte angewendet und wieder zurĂŒckgezogen werden.

Haben Sie Fragen zu S3 und den verschiedenen Object Lock Konfigurationen?
Wir sind Ihr Schweizer S3 Spezialist und beraten Sie gerne. Jetzt Kontakt aufnehmen.