Bloqueo de objetos de Amazon S3

Puede usar S3 Object Lock en el nivel de bucket o de objeto, y se puede habilitar al crear un bucket nuevo o en buckets existentes. Para usar Object Lock de S3 con un bucket (u objetos dentro de un bucket), primero debe habilitar el control de versiones de S3 para el bucket. Los períodos de retención y las retenciones legales se aplican a las versiones de objetos individuales. Al bloquear una versión de objeto, Amazon S3 almacena la información de bloqueo en los metadatos de esa versión del objeto. Al imponer un período de retención o retención legal a un objeto, solo se protege la versión especificada en la solicitud. No impide que se creen nuevas versiones del objeto ni elimina los marcadores que se colocan encima de las versiones bloqueadas del objeto. 

La protección del bloqueo de objetos de S3 se mantiene independientemente del tipo de almacenamiento en el que resida el objeto y durante las transiciones de ciclo de vida de S3 entre tipos de almacenamiento. Se usa en conjunto con el control de versiones de S3, que protege a los objetos de la sobrescritura, y así usted puede garantizar la inmutabilidad de los objetos durante el tiempo que se encuentre implementada la protección del bloqueo de objetos de S3. Puede migrar cargas de trabajo de los sistemas de WORM existentes a Amazon S3 y configurar el bloqueo de objetos de S3 en los niveles de objeto y bucket para impedir la eliminación de versiones de objeto antes de una fecha de retención legal o de finalización que se haya predefinido. 

También puede habilitar la replicación de S3 en un bucket que tenga activado el bloqueo de objetos de S3 para replicar objetos junto con sus configuraciones de retención. Mientras se replican los objetos, si el bucket de origen tiene activado el bloqueo de objetos de S3, los buckets de destino también deben tener activado el bloqueo de objetos de S3.

El bloqueo de objetos de S3 brinda dos formas de administrar la retención de objetos: periodos de retención y retenciones legales. Con el bloqueo de objetos de S3 habilitado en un bucket, una versión de objeto puede tener tanto un periodo de retención como una retención legal, uno pero no el otro, o ninguno de los dos.

• Periodo de retención: especifica un periodo fijo durante el cual un objeto permanece bloqueado. Durante este periodo, el objeto tiene protección WORM y no se puede sobrescribir ni eliminar. Cuando asigna un periodo de retención a una versión de objeto, Amazon S3 almacena una marca de tiempo en los metadatos de la versión del objeto para mostrar cuándo vence el periodo de retención. Una vez transcurrido el periodo de retención, la versión del objeto se puede sobrescribir o eliminar, a menos que también haya impuesto una retención legal a la versión del objeto. Con una política de bucket, puede establecer períodos de retención mínimos y máximos permitidos para un bucket que le permita establecer un rango de períodos de retención permitidos. Para obtener más información, consulte períodos de retención.
• Retención legal: ofrece la misma protección que un período de retención, pero no tiene fecha de caducidad. En cambio, se mantiene una retención legal hasta que la elimine de forma explícita. Las retenciones legales son independientes de los períodos de retención. Para obtener más información, consulte retenciones legales.

Los períodos de retención y los modos de retención se configuran siempre en tándem, a diferencia de las retenciones legales, que se configuran de forma independiente. El bloqueo de objetos de S3 ofrece dos modos de retención que aplican diferentes niveles de protección a los objetos. Puede aplicar cualquier modo de retención a cualquier versión de objeto que esté protegida por el bloqueo de objetos.

• Modo de gobierno: en el modo de gobierno, los usuarios no pueden sobrescribir ni eliminar la versión de un objeto ni modificar su configuración de bloqueo a menos que tengan permisos especiales. Con el modo de gobierno, protege los objetos para que no los eliminen la mayoría de los usuarios, pero aun así puede conceder permiso a algunos usuarios para modificar la configuración de retención o eliminar el objeto si es necesario. También puede usar el modo de control para probar la configuración del período de retención antes de crear un período de retención en el modo de cumplimiento.
• Modo de cumplimiento: en el modo de cumplimiento, ningún usuario puede sobrescribir ni eliminar una versión de un objeto protegido, incluido el usuario raíz de su cuenta de AWS. Cuando un objeto está bloqueado en el modo de cumplimiento, no puede cambiar el modo de retención ni acortar el período de retención. El modo de cumplimiento ayuda a garantizar que la versión de un objeto no se pueda sobrescribir ni eliminar durante el periodo de retención.  El bloqueo de objetos de S3 ha sido evaluado según la Regla 17a-4 (f) de la SEC, la Regla 4511 de FINRA y la Regulación 1.31 de la CFTC de Cohasset Associates. 

Puede habilitar Object Lock de S3 en un bucket para todos los objetos nuevos con la configuración predeterminada de Object Lock de S3. En el caso de los objetos existentes, puede usar las operaciones por lote de S3 para aplicar la configuración de Object Lock de S3 a miles de millones de objetos a la vez especificando un bucket, un prefijo, un sufijo, una fecha de creación o una clase de almacenamiento completos. Como alternativa, puede especificar una lista de objetos de destino en su manifiesto y enviarla a Operaciones por lotes de S3 para su finalización.

Como todos los demás ajustes del bloqueo de objetos de S3, los períodos de retención se aplican a las versiones de objetos individuales. Las diferentes versiones de un mismo objeto pueden tener diferentes modos y períodos de retención.

Por ejemplo, supongamos que tiene un objeto que lleva 15 días en un período de retención de 30 días y sube un objeto nuevo a Amazon S3 con el mismo nombre y un período de retención de 60 días. En este caso, la carga se realiza correctamente y Amazon S3 crea una nueva versión del objeto con un período de retención de 60 días. La versión anterior mantiene su período de retención original y se puede eliminar en 15 días.

Una vez que haya aplicado los períodos de retención a las versiones de los objetos, puede ampliarlos. Para ello, envíe una nueva solicitud de Object Lock de S3 utilizando Operaciones por Lotes de S3 para la versión del objeto, con una fecha de Retener hasta que sea posterior a la configurada actualmente. Amazon S3 sustituye el período de retención existente por un nuevo período más largo. Más información.

Para los datos almacenados en Amazon S3, lo primero que se recomienda es el control de versiones de Amazon S3, que le permite conservar, recuperar y restaurar todas las versiones de todos los objetos almacenados en un bucket de Amazon S3. A continuación, puede agregar el bloqueo de objetos de Amazon S3 para evitar que los datos se eliminen o sobrescriban durante un período de tiempo fijo o indefinidamente. Para crear copias adicionales de sus datos en otra región de AWS a fin de protegerlos en varias regiones, puede habilitar la replicación de Amazon S3 en un bucket con el bloqueo de objetos de S3 activado. A continuación, puede utilizar la replicación de S3 con el control de versiones de S3 y el bloqueo de objetos de S3 para copiar objetos de manera automática en distintas regiones de AWS y en cuentas de AWS independientes. Para utilizar el bloqueo de objetos de S3 con objetos existentes o para extender el período de bloqueo a los objetos existentes que están a punto de caducar, puede utilizar las operaciones por lotes de S3 y los informes de inventario de S3. Por último, puede reunir la visibilidad de sus niveles actuales de protección de datos y del uso de estas características en un único panel con la lente de almacenamiento de Amazon S3.

Para obtener más información sobre cómo puede proteger sus datos en Amazon S3, visite el tutorial de introducción sobre la protección de datos de S3.