オブジェクトロック、リーガルホールド、ボールトロックの整理。
オブジェクトロック
指定された期間オブジェクトを削除・上書きできなくする。
バケット作成時にロックを有効にする必要がある(後から変更不可)。
※オブジェクトロックを有効化すると自動的にバージョニング(既定はOFF)も有効化される。
保持期間が過ぎると削除・上書きできるようになる。
2つのロックモード
| モード名 | 説明 |
|---|---|
| コンプライアンス | 絶対に!削除・上書き不可。管理者も不可。 ※法規制で保存年数が定められているケース向け |
| ガバナンス | 通常のユーザーは削除・上書き不可。 ただし特別な権限( s3:BypassGovernanceRetention)があれば解除可能。 |
リーガルホールド
- 削除を完全に禁止する機能。
- 「s3:PutObjectLeagalHold」権限を持つユーザのみON/OFF操作可能。
- 保持期間に関係なく、明示的に解除するまで効力が続く(管理者でも解除しない限り削除不可)。
S3 Glacier Vault Lock
- S3 Glacierのボールトに適用するポリシーロック(オブジェクト単位では設定不可)
- 一度設定すると変更できなくなる(WORM=Write Once, Read Many)
よって二段階で設定する
①Vault Lockポリシーの適用
②24時間以内にポリシーを検証し、LockIDを入力
コンプライアンス要件を満たすための厳格な制御(例:会計記録の10年保存など)に使用。
