Amazon S3 Object Lock

Schutz der Daten vor Ransomware-Ereignissen mit Unveränderbarkeit auf Objektebene, um Objekte vor versehentlichem oder bösartigem Löschen und Überschreiben zu schützen

Amazon S3 ist der vertrauenswürdige Primärspeicher für Millionen von Kunden aus der ganzen Welt. Mit einer Datenbeständigkeit von 99,999999999 % (11 Neunen) können Kunden geschäftskritische Daten für praktisch jeden Anwendungsfall speichern und schützen, einschließlich cloudnativer Anwendungen, Data Lake-Analyseausgaben und Mediendateien. Wie bei allen Umgebungen besteht die bewährte Methode darin, ein Backup anzulegen und Sicherheitsvorkehrungen gegen böswilliges oder versehentliches Löschen zu treffen.

S3 Object Lock blockiert die permanente Löschung von Objekten während eines vom Kunden definierten Aufbewahrungszeitraums, damit Sie als zusätzliche Ebene des Datenschutzes oder zur Einhaltung von Vorschriften Aufbewahrungsrichtlinien durchsetzen können. Mit S3 Object Lock wird die S3-Versionsverwaltung automatisch aktiviert, und diese Features arbeiten zusammen, um zu verhindern, dass gesperrte Objektversionen dauerhaft (versehentlich oder absichtlich) gelöscht oder mit einem WORM-Modell (write-once-read-many) überschrieben werden. S3 Object Lock ist der Industriestandard für die Unveränderbarkeit von Objektspeichern zum Schutz vor Ransomware und wird in Cloud-Speicher-, Sicherungs- und Datenschutzlösungen von AWS Storage-Partnern wie Veeam, Veritas, Rubrik, Cohesity, Commvault und Clumio verwendet.

So verwenden Sie Amazon S3 Object Lock (12:54)

Vorteile

Datenschutz vor Ransomware-Ereignissen und versehentlichen Änderungen

Die Unveränderlichkeit von Daten ist ein Kernaspekt der Datenschutzplanung. Sie verhindert, dass Benutzer unbeabsichtigte Änderungen oder Löschungen vornehmen. Das hilft zu verhindern, dass Ihre Daten durch Ransomware-Ereignisse gelöscht oder verändert werden. S3 Object Lock verhindert, dass Daten von Personen oder Prozessen verändert oder gelöscht werden, sei es unbeabsichtigt oder aufgrund böswilliger Aktivitäten.

Erfüllen Sie Compliance- und regulatorischen Anforderungen

Sie können S3 Object Lock verwenden, um gesetzliche Anforderungen zu erfüllen, die eine WORM-Speicherung vorschreiben, oder um eine weitere Schutzebene gegen Objektänderungen und -löschung hinzuzufügen. Cohasset Associates hat S3 Object Lock für Umgebungen geprüft, die den SEC 17a-4-, CFTC- und FINRA-Vorschriften unterliegen. Sie können den Konformitätsmodus verwenden, der nicht außer Kraft gesetzt werden kann, damit Ihre Daten die vorgeschriebene Konformitätsüberwachung erfüllen. Weitere Informationen darüber, wie Object Lock mit diesen Vorschriften zusammenhängt, finden Sie im Compliance-Assessment von Cohasset Associates.

Stellen Sie Versionen von Objekten wieder her

Sie können die S3-Versionsverwaltung verwenden, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Bei aktivierter Versionsverwaltung ist die Wiederherstellung nach unbeabsichtigten Nutzeraktionen oder Anwendungsausfällen problemlos möglich. Die S3-Versionierung, die automatisch mit S3 Object Lock aktiviert wird, sorgt für Datenstabilität und bietet die Möglichkeit, auf eine frühere Version zurückzugreifen. Erfahren Sie hier mehr. .

Wie funktioniert S3 Object Lock?

So funktioniert S3 Object Lock - Diagramm

Sie können S3 Object Lock auf Bucket- oder Objektebene verwenden. Zudem kann sie beim Erstellen eines neuen Buckets oder für vorhandene Buckets aktiviert werden. Um S3 Object Lock mit einem Bucket (oder Objekten innerhalb eines Buckets) zu verwenden, müssen Sie zuerst die S3-Versionsverwaltung für den Bucket aktivieren. Für einzelne Objektversionen gelten Aufbewahrungsfristen und gesetzliche Sperrfristen. Wenn Sie eine Objektversion sperren, speichert Amazon S3 die Sperrinformationen in den Metadaten für diese Objektversion. Durch die Festlegung einer Aufbewahrungsfrist oder einer gesetzlichen Sperrfrist für ein Objekt wird nur die im Antrag angegebene Version geschützt. Sie verhindert nicht, dass neue Versionen des Objekts erstellt oder Löschmarkierungen über die gesperrten Objektversionen gelegt werden. 

Der S3-Object-Lock-Schutz wird unabhängig von der Speicherklasse, in der sich das Objekt befindet, und während der Übergänge zwischen den Speicherklassen im S3-Lebenszyklus beibehalten. In Verbindung mit S3 Versioning, das Objekte vor dem Überschreiben schützt, können Sie sicherstellen, dass Objekte so lange unveränderlich bleiben, wie der S3-Object-Lock-Schutz angewendet wird. Sie können Workloads von bestehenden WORM-Speichersystemen in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebene konfigurieren, um das Löschen von Objektversionen vor vordefinierten Daten oder rechtlichen Sperrdaten zu verhindern. 

Sie können die S3-Replikation auch in einem Bucket aktivieren, für den die S3-Objektsperre aktiviert ist, um Objekte zusammen mit ihren Aufbewahrungseinstellungen zu replizieren. Wenn beim Replizieren von Objekten die S3-Objektsperre für den Quell-Bucket aktiviert ist, muss auch für den Ziel-Bucket die S3-Objektsperre aktiviert sein.

Verwaltung der Objektspeicherung mit der S3-Objektsperre

S3 Object Lock bietet zwei Möglichkeiten, die Aufbewahrung von Objekten zu verwalten: Aufbewahrungsfristen und gesetzliche Aufbewahrungsfristen. Wenn die S3-Objektsperre für einen Bucket aktiviert ist, kann eine Objektversion sowohl eine Aufbewahrungsfrist als auch eine gesetzliche Aufbewahrungsfrist haben, das eine, aber nicht das andere, oder keines von beiden. 

  • Aufbewahrungszeitraum – Gibt einen festen Zeitraum an, während dem ein Objekt gesperrt bleibt. Während dieser Zeit ist Ihr Objekt WORM-geschützt und kann nicht überschrieben oder gelöscht werden. Wenn Sie einer Objektversion einen Aufbewahrungszeitraum zuweisen, speichert Amazon S3 einen Zeitstempel in den Metadaten der Objektversion, um anzuzeigen, wann der Aufbewahrungszeitraum abläuft. Nach Ablauf des Aufbewahrungszeitraums kann die Objektversion überschrieben oder gelöscht werden, sofern Sie die Objektversion nicht ebenfalls rechtlich sperren. Mithilfe einer Bucket-Richtlinie können Sie Mindest- und Höchstaufbewahrungszeiträume für einen Bucket festlegen, um eine Reihe zulässiger Aufbewahrungszeiträume festzulegen. Weitere Informationen finden Sie unter Aufbewahrungszeiträume.
  • Gesetzlicher Aufbewahrungszeitraum - Bietet denselben Schutz wie eine Aufbewahrungsfrist, hat aber kein Ablaufdatum. Stattdessen bleibt eine gesetzliche Aufbewahrungsfrist bestehen, bis Sie sie ausdrücklich entfernen. Gesetzliche Aufbewahrungszeiträume sind unabhängig von Aufbewahrungsfristen. Weitere Informationen finden Sie unter Aufbewahrungsfristen.

Aufbewahrungsfristen und Aufbewahrungsmodi werden immer zusammen konfiguriert, im Gegensatz zu gesetzlichen Aufbewahrungsfristen, die unabhängig voneinander konfiguriert werden. S3 Object Lock bietet zwei Aufbewahrungsmodi, die unterschiedliche Schutzstufen auf Ihre Objekte anwenden. Sie können beide Aufbewahrungsmodi auf jede Objektversion anwenden, die durch Object Lock geschützt ist.

  • Governance-Modus – Im Governance-Modus können Benutzer eine Objektversion nicht überschreiben oder löschen oder deren Sperreinstellungen ändern, es sei denn, sie verfügen über spezielle Berechtigungen. Im Governance-Modus schützen Sie Objekte davor, von den meisten Benutzern gelöscht zu werden, aber Sie können einigen Benutzern dennoch die Erlaubnis erteilen, die Aufbewahrungseinstellungen zu ändern oder das Objekt bei Bedarf zu löschen. Sie können den Governance-Modus auch verwenden, um die Einstellungen für den Aufbewahrungszeitraum zu testen, bevor Sie einen Aufbewahrungszeitraum im Compliance-Modus erstellen.
  • Konformitätsmodus – Im Konformitätsmodus kann eine geschützte Objektversion von keinem Benutzer überschrieben oder gelöscht werden, auch nicht vom Root-Benutzer in Ihrem AWS-Konto. Wenn ein Objekt im Konformitätsmodus gesperrt ist, können Sie den Aufbewahrungsmodus nicht ändern und Sie können den Aufbewahrungszeitraum nicht verkürzen. Der Konformitätsmodus stellt sicher, dass eine Objektversion für die Dauer des Aufbewahrungszeitraums nicht überschrieben oder gelöscht werden kann.  S3 Object Lock wurde von Cohasset Associates in Bezug auf SEC-Regel 17a-4(f), FINRA-Regel 4511 und CFTC-Vorschrift 1.31 überprüft

Skalierbare Verwendung von S3 Object Lock mit S3 Batch Operations

Sie können S3 Object Lock für einen Bucket für alle neuen Objekte mit den Standardeinstellungen von S3 Object Lock aktivieren. Für vorhandene Objekte können Sie S3 Batch Operations verwenden, um S3-Object-Lock-Einstellungen auf Milliarden von Objekten gleichzeitig anzuwenden, indem Sie einen ganzen Bucket, ein Präfix, ein Suffix, ein Erstellungsdatum oder eine Speicherklasse angeben. Alternativ können Sie eine Liste von Zielobjekten in Ihrem Manifest angeben und sie zur Fertigstellung an S3 Batch Operations senden.

Wie bei allen anderen S3-Object-Lock-Einstellungen gelten Aufbewahrungsfristen für einzelne Objektversionen. Verschiedene Versionen eines einzelnen Objekts können unterschiedliche Aufbewahrungsmodi und Zeiträume haben.

Nehmen wir zum Beispiel an, dass Sie ein Objekt haben, dessen Aufbewahrungsfrist von 30 Tagen bereits 15 Tage abgelaufen ist, und Sie laden ein neues Objekt mit demselben Namen und einer Aufbewahrungsfrist von 60 Tagen in Amazon S3 hoch. In diesem Fall ist Ihr Upload erfolgreich und Amazon S3 erstellt eine neue Version des Objekts mit einer Aufbewahrungsfrist von 60 Tagen. Die ältere Version behält ihre ursprüngliche Aufbewahrungsfrist bei und kann nach 15 Tagen gelöscht werden.

Nachdem Sie Aufbewahrungsfristen auf Objektversionen angewendet haben, können Sie die Aufbewahrungsfristen verlängern. Dazu übermitteln Sie eine neue S3-Object-Lock-Anfrage unter Verwendung von S3 Batch Operations für die Objektversion mit einem Aufbewahrungsort, das nach dem aktuell konfigurierten liegt. Amazon S3 ersetzt den bestehenden Aufbewahrungszeitraum durch den neuen, längeren Zeitraum. Erfahren Sie mehr.

Partner

Beginnen Sie mit S3 für den Datenschutz

Für in Amazon S3 gespeicherte Daten beginnen die bewährten Methoden mit der Amazon-S3-Versionsverwaltung, mit der Sie jede Version jedes in einem Amazon-S3-Bucket gespeicherten Objekts aufbewahren, abrufen und wiederherstellen können. Anschließend können Sie die Amazon-S3-Objektsperre hinzufügen, um zu verhindern, dass Daten für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Um zusätzliche Kopien Ihrer Daten in einer anderen AWS-Region für den Schutz mehrerer Regionen zu erstellen, können Sie die Amazon-S3-Replikation in einem Bucket mit aktivierter S3-Objektsperre aktivieren. Anschließend können Sie die S3-Replikation sowohl mit der S3-Versionsverwaltung als auch mit der S3-Objektsperre verwenden, um Objekte automatisch zwischen AWS-Regionen und separaten AWS-Konten zu kopieren. Um S3 Object Lock mit vorhandenen Objekten zu verwenden oder den Sperrzeitraum für bestehende Objekte zu verlängern, die kurz vor dem Ablauf der Sperre stehen, können Sie S3 Batch Operations und S3 Inventory Reports verwenden. Schließlich können Sie mit Amazon S3 Storage Lens Ihre aktuellen Datenschutzstufen und die Nutzung dieser Funktionen in einem einzigen Dashboard einsehen.

Weitere Informationen darüber, wie Sie Ihre Daten auf Amazon S3 schützen können, finden Sie im Tutorial für Erste Schritte zum Datenschutz in S3.

Amazon S3 – Häufig gestellte Fragen
Benutzerhandbuch von S3 Object Lock lesen

Weitere Informationen zu S3 Object Lock finden Sie im Benutzerhandbuch.

Weitere Informationen 
Registrieren Sie sich für ein AWS-Konto
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie mit dem Erstellen mit Amazon S3
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.

Anmeldung