Блокировка — инструмент для защиты объектов от случайного и преднамеренного удаления. Блокировка применяется только к отдельным версиям объектов в версионируемом бакете. Заблокированную версию объекта можно удалить только при определенных типах блокировки и пользователям с определенными ролями. Ограничения затрагивают ручное удаление версий и удаление с помощью настроек жизненного цикла.
Если у объекта есть заблокированные версии, это не влияет на работу с другими его версиями и объектом в целом: можно загрузить новую версию объекта, пометить объект как удаленный или безвозвратно удалить незаблокированную версию.
Если в бакете есть версии с действующей блокировкой, его нельзя удалить.
Блокировка бывает двух типов: временная (Retention) и бессрочная (Legal Hold). Тип влияет на возможность менять настройки блокировки, удалять заблокированные данные и блокировать новые версии объектов в бакете автоматически. Подробнее — в разделе «Действия и роли при блокировке».
Управлять блокировкой в Object Storage можно через личный кабинет, AWS S3 API и сторонние клиенты. Инструкции — в разделе Работа с блокировкой в Object Storage.
У бакета могут быть следующие состояния блокировки:
выключена;
включена;
включена, и установлено правило временной блокировки по умолчанию.
По умолчанию блокировка в бакете выключена: блокировать версии объектов нельзя. Чтобы разрешить блокировать версии, необходимо включить блокировку.
В бакете с включенной блокировкой нельзя:
отключить блокировку;
приостановить версионирование.
Включение блокировки не блокирует данные, а только активирует возможность:
блокировать версии вручную — с помощью временной и бессрочной блокировки;
блокировать версии автоматически — через настройку временной блокировки в бакете по умолчанию.
Если установить временную блокировку в бакете по умолчанию, все новые версии объектов бакета будут блокироваться по заданному правилу. Настройки блокировки уже загруженных версий не изменятся. Блокировку на бакет по умолчанию можно редактировать и отключать — новые версии будут загружаться с новыми настройками, а блокировка уже загруженных версий не изменится.
Блокировка в бакете по умолчанию также влияет на скопированные объекты. При копировании версии в бакет новая версия не наследует настройки блокировки исходной версии, а блокируется в соответствии с правилами блокировки, которые установлены в целевом бакете по умолчанию. Если в бакете не настроена блокировка по умолчанию, скопированная версия не блокируется.
Установить бессрочную блокировку в бакете по умолчанию нельзя.
Временная блокировка устанавливается до определенной даты и времени. Она может быть управляемой (режим Governance) и строгой (режим Compliance).
Временную блокировку можно установить на версию объекта и на бакет по умолчанию.
Для срока блокировки на уровне бакета действуют ограничения:
при установке срока в годах — максимум 100 лет;
при установке срока в днях — максимум 36 524 дня.
Возможность управлять сроком и режимом временной блокировки и удалять версии объектов отличается для разных режимов блокировки и ролей пользователей. Подробнее — в разделе «Действия и роли при блокировке».
Бессрочная блокировка устанавливается без ограничения по сроку.
В отличие от временной блокировки, устанавливать бессрочную блокировку для версий объектов можно только вручную. Установить бессрочную блокировку для бакета по умолчанию нельзя.
Версию, заблокированную бессрочно, нельзя удалить. Пользователи с определенными ролями могут снять бессрочную блокировку. Подробнее — в разделе «Действия и роли при блокировке».
Временная и бессрочная блокировки управляются независимо друг от друга. На версию объекта одновременно можно установить одну временную блокировку одного из режимов и одну бессрочную блокировку. Если для версии одновременно включены временная и бессрочная блокировки, версия останется защищенной от удаления, когда срок действия временной блокировки истечет.
При управлении блокировкой на уровне бакета действуют следующие доступы:
Действие | Каким ролям доступно |
|---|---|
Включить блокировку | s3e.admin |
Установить, редактировать или отключить временную блокировку по умолчанию | s3e.admin |
Просмотреть настройки блокировки |
|
При управлении блокировкой на уровне версий объектов действуют следующие доступы:
Действие | Временная управляемая блокировка (Governance) | Временная строгая блокировка (Compliance) | Бессрочная блокировка (Legal Hold) |
|---|---|---|---|
Установить блокировку | s3e.admin | s3e.admin | s3e.admin |
Снять блокировку версии объекта | s3e.admin | Не может никто | s3e.admin |
Сократить срок блокировки | s3e.admin | Не может никто | - |
Продлить срок блокировки | s3e.admin | s3e.admin | - |
Сменить режим блокировки | s3e.admin | Не может никто | - |
Удалить заблокированную версию | s3e.admin | Не может никто | Не может никто |
Просмотреть настройки блокировки |
|
|
|