S3オブジェクトロックを試しました
S3オブジェクトロックが必要になる要件に今のところ、出会ってないのでまだ設定したことがありません。
なので試しておきます。
目次
バケットの作成
現時点で既存のバケットではオブジェクトロックを有効にできません。
ただし、「Amazon S3は現在、バケット作成後のオブジェクトロックの有効化をサポートしていません。このバケットのオブジェクトロックを有効にするには、カスタマーサポートに連絡してください」と記載があるので、サポートに連絡したらできるのかもしれません。
できるのであれば、そのうちサポートに連絡しなくてもできるようになるかもですね。
今回は新規でバケットを作成して有効化しました。
オブジェクトロックを有効にすると、自動的にバージョニングも有効になりました。
そしてバージョニングは停止することはできない。と。
2つのモードがありますのでその比較をするために2つのオブジェクトをアップロードしました。
コンプライアンスモード
1つはコンプライアンスモードにしました。
ルートユーザーであっても、保持期間内は、削除、上書きできないモードです。
頼もしいですね。
まさに「コンプライアンス要件を満たす」オブジェクトになりました。
とりあえずオブジェクトを選択して削除してみました。
できました。当然です。
バージョニングが有効なので、オブジェクトの実体が削除されたのではなく、新しいバージョンとして削除マーカーが作成されました。
次はバージョン指定して削除してみます。
アクションが拒否されました。
また、1/5になったら削除してしまおうと思います。
ガバナンスモード
s3:BypassGovernanceRetention
s3:GetBucketObjectLockConfiguration
保持期間内であっても上記のアクションが許可されたIAMユーザーなら削除、上書きできます。
ということで、特定ユーザー以外に対してロックされた、「ガバナンスの効いた」オブジェクトにすることができました。
では、こちらは権限のあるユーザーでバージョンを指定して削除してみます。
正常に削除できました。
保持期間内には削除する必要が一切ない場合は、コンプライアンスモードが確実で安全ですね。
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
AWS Cost Anomaly Detectionでコストモニターを作成しました
[ご利用開始にあたって]を押下しました。 このあと画面を説明してくれるツアーがあ …
-
IAMユーザーにパスワード変更とMFA設定を許可する
組織管理のIAMで、ユーザーにMFAを使ってサインインしない限り操作は許可しない …
-
EC2インスタンスが到達不能になって復旧してMackerelで監視し始めた
きっとばりばり使っておられる方ならよくある事なんだろうけど、はじめて体験したので …
-
Cloud9でSAMローカルテスト
せっかくテストするので、Amazon CloudSearchからAmazon E …
-
Amazon LinuxにRedmine をインストールする(手順整理版)
Amazon LinuxにRedmineをインストールしました手順を記載します。 …
-
AWS Lambda(Python)からTwitterに投稿する
「GoogleフォームからAPI Gatewayで作成したREST APIにPO …
-
AWS Organizationsでアカウントを50作って指定したOUに移動するスクリプト
AWS Organizationsでアカウントを50個作る必要がありましたので、 …
-
AWS AmplifyでTodoアプリを作るハンズオンをやってみました
【お手軽ハンズオンで AWS を学ぶ】AWS Amplify で Todo アプ …
-
Amazon API Gatewayでモックを作る
超シンプルなAPI Gatewayのサンプルがほしかったので、ユーザーガイドの手 …
-
ブログの画像を別アカウントのS3に移動するためにIAMロールでクロスアカウントアクセス
ずっと先延ばしにしていたのですが、このブログの画像はEC2から直接配信しています …