S3 オブジェクトロックとは
オブジェクトを「削除・上書きできない状態」で一定期間または永久に保護する機能です。
どんなときに使うのか
- 誤操作で削除されたくない
- 不正アクセスやランサムウェアから守りたい
- 法令・コンプライアンスで保存義務がある
- 「後から書き換えられない」ことが重要
オブジェクトロックの前提条件
- バケット作成時にのみ有効化できる(既存バケットでは不可)
- S3 バージョニングが必須
- オブジェクトの「各バージョン」単位でロックされる
オブジェクトロックの2つのモード
① Governance モード
特徴
- 一般ユーザーは削除・変更不可
- 特別な権限があれば削除可能
使いどころ
- 内部統制
- 人為ミス防止
- 運用者による最終制御を残したい場合
② Compliance モード
特徴
- 管理者でも削除・変更不可
- 保存期間の変更も不可
使いどころ
- 法規制
- 金融・医療・監査ログ
- 完全な不変性が必要なデータ
モードの違いまとめ
- Governance:原則守るが、管理者の例外あり
- Compliance:誰であっても削除・変更不可
Legal Hold(リーガルホールド)
概要
- 保持期間とは別に設定可能
- 期間指定なし
- 明示的に解除するまでロック
使いどころ
- 訴訟対応
- 監査調査中のデータ
ライフサイクルポリシーとの関係
- ストレージクラスの移行:可能
- ライフサイクルによる削除:不可(ロック期間中)