Dell EMC ECS hỗ trợ tính năng lưu giữ dựa trên WORM (ghi một lần, đọc nhiều lần), bắt đầu từ ECS 2.X. Để cung cấp khả năng tương thích tốt hơn với nhiều ứng dụng hơn, ECS hiện hỗ trợ tính năng khóa đối tượng (bắt đầu từ ECS 3.6.2), tương thích với khả năng khóa đối tượng của Amazon S3.

Khóa đối tượng được thiết kế để đáp ứng các yêu cầu về tuân thủ như SEC 17a4(f), Quy tắc 4511(c) của FINRA và Quy tắc 17 của CFTC.

Tổng quan về khóa đối tượng

Khóa đối tượng ngăn chặn việc xóa phiên bản đối tượng trong thời gian lưu giữ do người dùng xác định. Các đối tượng S3 không thể thay đổi được bảo vệ bằng cách sử dụng cấu hình cấp đối tượng hoặc cấp thùng của WORM và các thuộc tính lưu giữ. Chính sách lưu giữ được xác định bằng API S3 hoặc các mặc định cấp thùng. Các đối tượng bị khóa trong thời gian lưu giữ và các tình huống giữ hợp pháp cũng được hỗ trợ.

Có hai loại khóa cho khóa đối tượng:

Thời gian lưu giữ — Chỉ định khoảng thời gian cố định trong đó phiên bản đối tượng vẫn bị khóa. Trong khoảng thời gian này, phiên bản đối tượng của bạn được WORM bảo vệ và không thể ghi đè hoặc xóa.
Giữ hợp pháp — Cung cấp cùng mức bảo vệ như thời hạn lưu giữ, nhưng không có ngày hết hạn. Thay vào đó, giữ hợp pháp vẫn có hiệu lực cho đến khi bạn xóa nó một cách rõ ràng. Giữ hợp pháp không phụ thuộc vào thời hạn lưu giữ.

Có hai chế độ lưu giữ:

Chế độ quản trị — người dùng không thể ghi đè hoặc xóa phiên bản đối tượng hoặc thay đổi cài đặt khóa trừ khi họ có quyền đặc biệt. Với chế độ quản trị, bạn bảo vệ đối tượng khỏi bị hầu hết người dùng xóa, nhưng bạn vẫn có thể cấp cho một số người dùng quyền thay đổi cài đặt lưu giữ hoặc xóa đối tượng nếu cần. Bạn cũng có thể sử dụng chế độ quản trị để kiểm tra cài đặt thời gian lưu giữ trước khi tạo thời gian lưu giữ chế độ tuân thủ.
Chế độ tuân thủ — phiên bản đối tượng được bảo vệ không thể bị ghi đè hoặc xóa bởi bất kỳ người dùng nào, bao gồm cả người dùng gốc trong tài khoản của bạn. Khi một đối tượng bị khóa ở chế độ tuân thủ, chế độ lưu giữ của đối tượng đó không thể thay đổi và thời gian lưu giữ của đối tượng đó không thể bị rút ngắn. Chế độ tuân thủ giúp đảm bảo rằng phiên bản đối tượng không thể bị ghi đè hoặc xóa trong suốt thời gian lưu giữ.

Khóa đối tượng và vòng đời

Các đối tượng bị khóa sẽ được bảo vệ khỏi việc xóa trong vòng đời.

Logic vòng đời trở nên khó khăn vì tính đa dạng của hành vi của các khóa khác nhau. Theo quan điểm vòng đời, có các khóa không có ngày, khóa có ngày có thể mở rộng và khóa có ngày có thể giảm.

Đối với chế độ tuân thủ, thời gian lưu giữ đến ngày không thể giảm nhưng có thể tăng.
Đối với chế độ quản trị, ngày khóa có thể tăng, giảm hoặc xóa.
Đối với lệnh giữ hợp pháp, lệnh khóa có thời hạn vô thời hạn.

Một số điểm chính cho khóa đối tượng S3 với ECS

Khóa đối tượng yêu cầu FS (Hệ thống tệp) bị vô hiệu hóa trên thùng trong ECS phiên bản 3.6.2.
Khóa đối tượng yêu cầu ADO (Truy cập khi mất điện) bị vô hiệu hóa trên thùng trong ECS phiên bản 3.6.2.
Khóa đối tượng chỉ được hỗ trợ bởi S3 API, không phải quy trình làm việc UI trong ECS phiên bản 3.6.2.
Khóa đối tượng chỉ hoạt động với IAM, không phải tài khoản cũ.
Khóa đối tượng chỉ hoạt động trong các thùng có phiên bản.
Việc bật khóa trên bucket sẽ tự động biến nó thành phiên bản.
Sau khi khóa bucket được bật, không thể tắt khóa đối tượng hoặc tạm dừng phiên bản cho bucket.
Mỗi thùng có cấu hình mặc định bao gồm chế độ lưu giữ (quản lý hoặc tuân thủ) và thời gian lưu giữ (tính bằng ngày hoặc năm).
Khóa đối tượng chỉ áp dụng cho từng phiên bản đối tượng.
Các phiên bản khác nhau của một đối tượng có thể có chế độ lưu giữ và thời gian lưu giữ khác nhau.
Khóa ngăn không cho đối tượng bị xóa hoặc ghi đè. Ghi đè không có nghĩa là không thể tạo phiên bản mới (có thể tạo phiên bản mới bằng cài đặt khóa riêng).
Một đối tượng vẫn có thể bị xóa. Nó tạo ra một dấu xóa và phiên bản vẫn tồn tại và bị khóa.
Chế độ tuân thủ nghiêm ngặt hơn, không thể gỡ bỏ, giảm bớt hoặc hạ cấp khóa xuống chế độ quản trị.
Chế độ quản trị ít nghiêm ngặt hơn, có thể loại bỏ, bỏ qua hoặc nâng lên chế độ tuân thủ.
Một đối tượng vẫn có thể bị xóa, nhưng phiên bản vẫn tồn tại và bị khóa.
Việc cập nhật siêu dữ liệu của phiên bản đối tượng, xảy ra khi bạn đặt hoặc thay đổi khóa đối tượng, không ghi đè lên phiên bản đối tượng hoặc đặt lại dấu thời gian Lần sửa đổi cuối cùng của đối tượng đó.
Thời gian lưu giữ có thể được đặt cho một đối tượng một cách rõ ràng hoặc ngầm định thông qua thiết lập mặc định của thùng.
Việc đặt thiết lập lưu giữ mặc định cho một thùng sẽ không đặt bất kỳ thiết lập lưu giữ nào cho các đối tượng đã tồn tại trong thùng đó.
Việc thay đổi thời gian lưu giữ mặc định của thùng sẽ không thay đổi thời gian lưu giữ hiện tại của bất kỳ đối tượng nào trong thùng đó.
Khóa đối tượng và lưu giữ ECS đối tượng/thùng truyền thống có thể cùng tồn tại.

Các khóa điều kiện khóa đối tượng ECS

Kiểm soát truy cập bằng chính sách IAM là một phần quan trọng của chức năng khóa đối tượng. Quyền s3:BypassGovernanceRetention rất quan trọng vì nó là bắt buộc để xóa đối tượng được WORM bảo vệ ở chế độ Governance. Các điều kiện chính sách IAM đã được xác định bên dưới để cho phép bạn giới hạn thời gian lưu giữ và lệnh giữ hợp pháp có thể được chỉ định trong các đối tượng.

Điều kiện chìa khóa	Sự miêu tả
s3:object-lock-legal-hold	Cho phép thực thi trạng thái giữ hợp pháp của đối tượng được chỉ định
s3: chế độ khóa đối tượng	Cho phép thực thi chế độ lưu giữ đối tượng đã chỉ định
s3:object-lock-retain-until-date	Cho phép thực thi lệnh giữ lại cho đến ngày cụ thể
s3:object-lock-remaining-retention-days	Cho phép thực thi một đối tượng liên quan đến số ngày lưu giữ còn lại

Ví dụ về API khóa đối tượng ECS

Phần này liệt kê các ví dụ s3curl về API Khóa đối tượng. API Khóa đối tượng Put và Get có thể được sử dụng có hoặc không có tham số versionId. Nếu không sử dụng tham số versionId, thì hành động sẽ áp dụng cho phiên bản mới nhất.

Hoạt động	Ví dụ yêu cầu API
Tạo thùng có khóa	s3curl.pl –id=ecsflex –createBucket — http://${s3ip}/mybucket -H “x-amz-bucket-object-lock-enabled: đúng”
Bật khóa đối tượng trên thùng hiện có	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket?enable-objectlock -X ĐẶT
Nhận cấu hình khóa mặc định của bucket	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket?object-lock
Đặt khóa mặc định của bucket cấu hình	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket?object-lock -X ĐẶT \ -d “<ObjectLockConfiguration><ObjectLockEnabled>Đã bật</ ObjectLockEnabled> <Quy tắc><Giữ lại mặc định><Chế độ>QUẢN LÝ</Chế độ><Ngày>1</Ngày></ DefaultRetention></Rule></ObjectLockConfiguration>”
Có được sự nắm giữ hợp pháp	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket/obj?legal-hold
Đặt lệnh giữ hợp pháp khi tạo	s3curl.pl –id=ecsflex –put=/root/100b.tệp — http://${s3ip}/ my-bucket/obj -H “x-amz-object-lock-legal-hold: BẬT”
Đặt lệnh giữ pháp lý đối với đối tượng hiện có	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket/obj?legalhold -X PUT -d “<LegalHold><Status>TẮT</Status></LegalHold>”
Nhận được sự giữ chân	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket/obj?retention
Đặt giữ lại khi tạo	s3curl.pl –id=ecsflex –put=/root/100b.tệp — http://${s3ip}/ my-bucket/obj -H “x-amz-object-lock-mode: QUẢN TRỊ” -H “x-amz-object-lock-retain-until-date: 2030-01-01T00:00:00.000Z”
Đặt giữ lại đối tượng hiện có	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket/obj? giữ lại -X PUT -d “<Giữ lại><Chế độ>QUẢN LÝ</ Chế độ><Giữ lại cho đến ngày>2030-01-01T00:00:00.000Z</ Giữ lại cho đến ngày></Giữ lại>”
Đặt giữ lại trên hiện tại đối tượng (có bỏ qua)	s3curl.pl –id=ecsflex — http://${s3ip}/my-bucket/obj? giữ lại -X PUT -d “<Giữ lại><Chế độ>QUẢN LÝ</ Chế độ><Giữ lại cho đến ngày>2030-01-01T00:00:00.000Z</ RetainUntilDate></Retention>” -H “x-amz-bypass-governance-retention: ĐÚNG VẬY”

Phần kết luận

Khóa đối tượng Dell EMC ECS giúp bảo vệ các phiên bản đối tượng khỏi việc xóa vô tình hoặc cố ý, chẳng hạn như tấn công ransomware. Nó thực hiện điều này bằng cách cho phép các phiên bản đối tượng vào trạng thái WORM, trong đó quyền truy cập bị hạn chế dựa trên các thuộc tính được đặt trên phiên bản đối tượng.