Amazon S3 Object Lock

具備物件級不變性之資料保護,可免受勒索軟體事件的影響,保護物件免遭意外或惡意刪除和覆寫

概觀

Amazon S3 是來自世界各地數百萬客戶值得信賴的主要儲存空間。憑藉 99.999999999% (11 個 9) 的資料耐久性,客戶可以存放和保護幾乎任何使用案例之關鍵業務資料,包括雲端原生應用程式、資料湖分析輸出和媒體檔案。如同任何資料之處理,最好的做法是備份並採取保護措施以防止惡意或意外刪除。

S3 Object Lock 可在客戶定義的保留期限內阻擋永久刪除物件,讓您能夠執行保留政策,為資料增加另一層保護或符合法規規定。使用 S3 Object Lock 時,會自動啟用 S3 版本控制,而這些功能可協同運作,防止鎖定的物件版本遭到永久刪除 (意外或故意) 或使用單寫多讀 (WORM) 模型覆寫。S3 Object Lock 是面對勒索軟體時保護物件儲存不變性的業界標準,適用於 Cohesity、Commvault、Rubrik、Veeam 和 Veritas 等 AWS 儲存合作夥伴的雲端儲存、備份和資料保護解決方案。

優勢

資料不變性是資料保護規劃的核心,因為它可以防止未經授權的用戶意外更改或刪除,以及未經授權的用戶更改。這有助於避免勒索軟體事件刪除或變更您的資料。S3 Object Lock 可防止任何人員或程序 (無論是意外或因為惡意活動) 修改或刪除資料。

您可以使用 S3 Object Lock 來協助滿足需要 WORM 儲存的法規要求,或作為另一層保護以防止物件被變更和刪除。Cohasset Associates 已針對受 SEC 17a-4、CFTC 和 FINRA 法規規範的環境進行 S3 Object Lock 評估。您可以使用合規模式(無法覆寫),以協助您的資料符合法規遵循監管。如需有關物件鎖定如何與這些規範產生關聯的詳細資訊,請參閱 Cohasset Associates 合規性評估

您可以使用 S3 版本控制功能來保留、擷取和恢復儲存在儲存貯體中存放的每個物件的每個版本。啟用版本控制時,您將能夠從使用者動作失誤和應用程式故障中更輕鬆地恢復。S3 版本控制會透過 S3 Object Lock 自動啟用,可提供資料恢復功能,並能夠返回先前的版本。 進一步了解

S3 Object Lock 如何運作?

S3 Object Lock 運作方式

您可以在儲存貯體或物件層級上使用 S3 Object Lock,且在建立新儲存貯體時或在現有儲存貯體上可以啟用此功能。若要將 S3 Object Lock 與儲存貯體 (或儲存貯體內的物件) 搭配使用,您必須先啟用儲存貯體的版本控制,否則稍後將無法開啟版本控制。保留期限和合法保留期會套用於個別物件版本。鎖定物件版本時,Amazon S3 會將鎖定資訊存放在該物件版本的中繼資料中。對物件設定保留期限和合法保留期只會保護要求中指定的版本。它不會阻止建立物件的新版本。

不論物件在哪個儲存類別中,或是在儲存類別之間的 S3 生命週期轉換,S3 Object Lock 的保護都會存在。與 S3 版本控制搭配使用,可保護物件不被覆寫,您能夠確保在套用 S3 Object Lock 期間,物件保持不變。您可以將工作負載從現有 WORM 儲存系統遷移至 Amazon S3,並於物件層級和儲存貯體層級設定 S3 Object Lock,以避免在預先定義的日期或合法保留期之前刪除物件版本。 

您也可以在啟用 S3 Object Lock 的儲存貯體上啟用 S3 複寫,以複寫物件及其保留設定。複寫物件時,如果來源儲存貯體已啟用 S3 Object Lock,則目的地儲存貯體也必須啟用 S3 Object Lock。

使用 S3 Object Lock 管理物件保留

S3 Object Lock 提供兩種管理物件保留的方式:保留期限合法保留期。在儲存貯體上啟用 S3 Object Lock 後,物件版本可以同時具有保留期限和合法保留期、僅具有兩者之一,或兩者皆不具備。 

  • 保留期限 — 指定物件保持鎖定狀態的固定期間。在此期間,您的物件受到 WORM 保護,無法覆寫或刪除。當您在物件版本上設定保留期限時,Amazon S3 會在物件版本的中繼資料中存放時間戳記,以顯示保留期限到期的時間。保留期限到期之後,除非您同時對物件版本設定合法保留期,否則即可以覆寫或刪除物件版本。使用儲存貯體政策,您可設定儲存貯體允許保留期限的最小值和最大值,以協助您建立允許保留期限的範圍。 如需詳細資訊,請參閱保留期限
  • 合法保留期 — 提供與保留期限相同的保護,但沒有到期日。相反地,合法保留期會一直保留到您明確將其移除為止。合法保留期與保留期限無關。如需詳細資訊,請參閱合法保留期

保留期限和保留模式始終是一起設定,與獨立設定的依法保留不同。S3 Object Lock 提供兩種保留模式,可將不同等級的保護套用至您的物件。您可以對受 Object Lock 保護的任何物件版本,套用任一保留模式。

  • 治理模式 — 在治理模式下,除非使用者擁有特殊權限,否則無法覆寫或刪除物件版本或變更其鎖定設定。透過治理模式,您可以防止大多數使用者刪除物件,但您仍可授予某些使用者變更保留設定或刪除物件的權限 (如有必要)。您也可以在建立合規模式保留期限之前,使用治理模式來測試保留期限設定。
  • 合規模式 – 在合規模式下,任何使用者 (包括 AWS 帳戶中的根使用者) 都無法覆寫或刪除受保護的物件版本。在合規模式下鎖定物件時,您無法變更保留模式,也無法縮短保留期限。合規模式有助於確保在保留期限內無法覆寫或刪除物件版本。  Cohasset Associates 已針對 SEC Rule 17a-4(f)、FINRA Rule 4511 與 CFTC Regulation 1.31,為 S3 Object Lock 進行評估。 

透過 S3 Batch Operations 大規模使用 S3 Object Lock

對於具有預設鎖定功能的所有新物件,您可以在儲存貯體上輕鬆啟用其 S3 Object Lock。對於現有物件,您可以將 S3 Batch Operations 與 S3 Object Lock 搭配使用來鎖定或延長任何現有保留期,或一次啟用或移除多達數十億個物件的合法保留期。您可以在資訊清單中指定目標物件的清單,並將其提交至 Batch Operations 以完成。

與所有其他 S3 Object Lock 設定一樣,保留期限會套用於個別物件版本。單一物件的不同版本可以有不同的保留模式和期限。

例如,假設您有一個保留期限為 30 天的物件且於 15 天後到期,而您以相同名稱將一個新物件上傳到 Amazon S3,保留期限為 60 天。此時,您的上傳成功,Amazon S3 會建立新版本的物件,保留期限為 60 天。舊版本會維持其原始保留期限,並在 15 天內變為可刪除。

您可以在將保留設定套用至物件版本之後,延長保留期限。若要這麼做,請針對物件版本使用 S3 Batch Operations 提交新的鎖定請求,保留截止日期應晚於目前為物件版本所設定的日期。Amazon S3 會以新的較長期限取代現有的保留期限。 了解更多資訊

合作夥伴

開始使用 S3 進行資料保護

對於儲存在 Amazon S3 的資料,最佳實務從 Amazon S3 版本控制開始,透過版本控制您可以保留、提取和恢復儲存在 Amazon S3 儲存貯體中存放的每個物件的每個版本。然後,您可以新增 Amazon S3 Object Lock,以在固定時間內或無限期防止資料被刪除或覆寫。若要在另一個 AWS 區域建立額外的資料複本以進行多區域保護,您可以對已開啟 S3 Object Lock 的儲存貯體啟用 Amazon S3 Replication。然後,您可以在同時具備 S3 版本控制和 S3 Object Lock 的情況下使用 S3 Replication,以在多個 AWS 區域和單獨的 AWS 帳戶中自動複製物件。若要對現有物件使用 S3 Object Lock,或將接近到期的現有物件之鎖定期限延長,您可以使用 S3 Batch Operations 和 S3 Inventory Reports。最後,您可以使用 Amazon S3 Storage Lens 將目前資料保護等級的可見性,以及這些功能的使用情況整合到單一儀表板中。

若要進一步了解如何在 Amazon S3 上保護資料,請瀏覽 S3 資料保護入門教學