Amazon S3 对象锁定

S3 对象锁定功能提供了两种管理对象留存的方法：留存期和合法保留。在存储桶上启用 S3 对象锁定后，对象版本可以同时拥有留存期和合法保留、两者之一，或者两者都没有。 

• 留存期 – 指定对象保持锁定状态的固定时间段。在此期间，您的对象将受到 WORM 保护，无法被覆盖或删除。当您为对象版本设置留存期时，Amazon S3 会在对象版本的元数据中存储时间戳，以显示留存期何时到期。在留存期到期后，除非您还针对对象版本设置了合法保留，否则该对象版本可能会被覆盖或删除。使用存储桶策略，您可以为存储桶设置允许的最小和最大留存期，以帮助确定允许的留存期范围。 有关更多信息，请参阅留存期。
• 合法保留 – 提供与留存期相同的保护，但没有到期日期。与之不同的是，在您明确删除合法保留之前，它将一直有效。合法保留与留存期相互独立。有关更多信息，请参阅合法保留。

留存期和保留模式始终同步配置，这一点与合法保留不同，后者是独立配置的。S3 对象锁定提供两种留存模式，可为您的对象应用不同级别的保护。您可以将任一留存模式应用于受对象锁定保护的任何对象版本。

• 治理模式 – 在治理模式下，除非用户拥有特殊权限，否则他们无法覆盖或删除对象版本或更改其锁定设置。借助治理模式，您可以保护对象免遭大多数用户删除，但您仍然可以向某些用户授予更改留存设置或在必要时删除对象的权限。您还可以在创建合规模式留存期之前，使用治理模式测试留存期设置。
• 合规模式 – 在合规模式下，任何用户（包括您的 AWS 账户中的根用户）都无法覆盖或删除受保护的对象版本。在在合规模式下锁定对象后，您将无法更改留存模式，也无法缩短留存期。合规模式有助于确保在留存期内无法覆盖或删除对象版本。  Cohasset Associates 已经针对 SEC 规则 17a-4(f)、FINRA 规则 4511 和 CFTC 规定 1.31 对 S3 对象锁定功能进行过评测。 

借助默认锁定，可以轻松在存储桶上为所有新对象启用 S3 对象锁定功能。对于现有对象，您可以使用带有 S3 对象锁定的 S3 批量操作来设置锁定或延长任何现有留存，或者一次为多达数十亿个对象启用或取消合法保留。您可以在清单中指定目标对象的列表，然后将其提交给批量操作完成。

与所有其他 S3 对象锁定设置一样，留存期适用于单个对象版本。单个对象的不同版本可以具有不同的留存模式和期限。

例如，假设您有一个对象，其 30 天留存期已过 15 天，然后您将一个名称相同且留存期为 60 天的新对象上传到 Amazon S3。在这种情况下，您的上传将成功，Amazon S3 会为该对象创建一个留存期为 60 天的新版本。较旧版本保持其原始留存期，并可在 15 天后删除。

在将留存设置应用于对象版本后，可以延长留存期。若要这样做，可以使用 S3 批量操作为对象版本提交新的锁定请求，其“保留到期日期”晚于当前为该对象版本配置的保留到期日期。Amazon S3 将用更长的新留存期取代现有的留存期。 了解更多。

对于存储在 Amazon S3 中的数据，最佳实践要从 Amazon S3 版本控制开始，该功能允许您保留、检索和恢复 Amazon S3 存储桶中存储的每个对象的每个版本。然后，您可以添加 Amazon S3 对象锁定，在固定时间内或无限期地防止删除或覆盖数据。要在另一个 AWS 区域创建数据的其他副本以进行多区域保护，您可以为已开启 S3 对象锁定的存储桶启用 Amazon S3 复制。然后，您可以将 S3 复制与 S3 版本控制和 S3 对象锁定配合使用，在 AWS 区域和单独的 AWS 账户之间自动复制对象。要将 S3 对象锁定用于现有对象，或者延长已接近锁定到期的现有对象的锁定期限，您可以使用 S3 批量操作和 S3 清单报告。最后，您可以借助 Amazon S3 Storage Lens 存储统计管理工具，将当前数据保护级别和这些功能使用情况的可见性整合到单个控制面板中。

要了解有关如何在 Amazon S3 上保护数据的更多信息，请访问有关 S3 数据保护的入门教程。