はじめに
S3 Object Lock機能が発表になりましたので試してみます。
機能としては、S3のオブジェクトに対して上書き、削除を禁止する機能になります。
Amazon S3オブジェクトロックを使用すると、「Write Once Read Many」(WORM)モデルを使用してオブジェクトを格納できます。S3 Object Lockを使用すると、一定時間または無期限にオブジェクトが削除または上書きされるのを防ぐことができます。
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/object-lock.html
上書きや削除を禁止するもで、新規に新しいバージョンをアップロードすることは可能です
概要
- バージョニングの有効が前提
- 有効ににはS3バケットでObject lockを有効にする必要あり
- 有効ににはS3バケットでObject lockを有効にできるのは作成時のみ
- S3バケット作成後にS3バケットデフォルトの保持モード設定(後述)と保持期間(Retention period)が設定可能
- 保持モード設定(後述)と保持期間(Retention period)はS3オブジェクトのバージョン単位で設定が可能
- 保持モードはガバナンスモードとコンプライアンスモードが選択できる
- ガバナンスモードは、s3:BypassGovernanceRetention権限があれば保護されていないものとして操作が可能になる
- コンプライアンスモードは、保護されたオブジェクトのバージョンは、AWSアカウントでrootユーザを含め、すべてのユーザーによって上書きされたり削除することはできない
- 保持モードの他に法定保留(Legal hold)が設定可能 法定保留(Legal hold)は、保持期間(Retention period)とは別物で有効/無効のみ設定可能。マニュアルにある無期限はLegal holdを有効した場合を指す
you can prevent an object from being deleted or overwritten for a fixed amount of time or indefinitely
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/object-lock.html
- 法定保留(legal holds)は、保持期間と同様に、法定保留は、オブジェクトバージョンが上書きまたは削除されるのを防ぎます。法定保留は、s3:PutObjectLegalHold許可を得たユーザーが自由に配置して削除することができます。
整理すると
- Leagl hold 期限なし 特別の権限あれば設定変更可能
- Governance 期限あり 特別の権限あれば設定変更可能
- Compliance 期限あり 設定変更rootも不可
イメージ
S3バケット単位のデフォルト設定
S3オブジェクトのバージョン単位の設定
S3バケット単位のデフォルト設定の注意点としては、デフォルト設定でコンプライアンスを選択するとS3オブジェクトのバージョン単位の設定でもコンプライアンスしか選択できなくなる。
デフォルト設定でガバナンスを選択している場合は、ガバナンス/コンプライアンス/Noneから選択可能。
やってみる
バケット作成
バージョニングを有効にする
Object lockを有効にする
実際のObject lockはS3オブジェクトのバージョンごとに有効無効設定可能です。
S3バケットのデフォルト設定
Properties>Object lock
以下の例だと、ガバナンスモードで1日間保持
テスト用のファイルをアップロードする
Properties>Object lockをクリック
以下の例だと、ガバナンスモードで2018/12/14まで保持。Legal holdも有効。
削除しようとするとエラーになる
ただし新しいバージョンをアップロードする分には可能
お約束
投稿内容は私個人の意見であり、所属企業・部門見解を代表するものではありません。