¶ Bucketverwaltung
Buckets sind S3 Ordner bei welchem verschiedene S3 Eigenschaften konfiguriert werden können.
Klicken Sie auf Buckets um auf die Bucketverwaltungsseite zu gelangen.
¶ Bucket Übersicht
Sie sehen hier Ihre Buckets, den Namen, Eigentümer, Erstellungszeit. Sie können hier Buckets löschen, Richtlinien (Policy) und Eigenschaften bearbeiten.
¶ Bucket erstellen
Klicken Sie auf "+ Add Bucket" um einen neuen Bucket zu erstellen. Geben Sie dem Bucket einen Namen und wählen ob die Eigenschaft Worm Bucket konfiguriert werden soll (Detailierte Informationen "Worm Bucket / Object lock" finden Sie weiter unten in der Anleitung. Klicken Sie anschliessend auf "Add Bucket".
¶ Bucket löschen
Wenn Sie auf Delete Bucket klicken dann wird der Bucket und die darin liegenden Dateien unwiederuflich gelöscht.
¶ Eigenschaften
In den Bucket Eigenschaften sehen Sie ob es sich um einen Worm Bucket handelt und ob die Versionierung konfigueriert ist. Die Versionierung können Sie wenn es kein Worm Bucket ist, ein und ausschalten. Bei eingeschaltener Versionierung werden gelöschte, überschriebene oder veränderte Dateien beibehalten. Die können bei eingeschaltener Versionierung auf ältere oder gelöschte Dateien zugreifen.
¶ Bucket Richtlinien
Sie haben die Möglichkeit mit verschiedene Richtlinien ihre Buckets zu Schützen und mit Richlinien zu versehen.
Klicken Sie hierfür bei den Buckets beim gewünschten Bucket auf Richlinie.
Es öffnet sich ein Fenster mit einer leeren Seite wenn noch keine Richtlinie erstellt wurde.
Die Richtlinie muss in einem Kompatiblen Format eingegeben werden.
¶ Beispiel 1
Sie möchten einen Unterbenutzer welcher die Berechtigung "none" hat auf einem Bucket "myPictures" leserechte erteilen.
{
"Version": "2012-10-17",
"Id": "uniqueID",
"Statement": [
{
"Sid": "BucketAllow",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::user/john.doe@emaildomain.com:subuser1"
]
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::myPictures",
"arn:aws:s3:::myPictures/*"
]
}
]
}
Unter "Id": "uniqieID" muss einen Einzigartigen Namen oder Zeichenfolge eingetragen werden. z. B. "allow-subuser1-read-mypictures".
Bei "arn:aws:iam:::user/..." muss der Benutzer welcher Rechte bekommen soll eingetragen werden. z.B. john.doe@emaildomain.com:subuser1.
Unter "Resource": muss der Bucket bzw. der Unterordner eingetragen werden. z. B:
"arn:aws:s3:::myPictures" -> Rechte für den Bucket.
"arn:aws:s3:::myPictures"/* -> Rechte für alle Unterordner.
Bei "Action": "s3:ListBucket", "s3:GetObject" -> Leserechte.
¶ Beispiel 2
Sie möchten einen Unterbenutzer welcher die Berechtigung "none" hat auf einem Bucket "myPictures" Vollzugriff erteilen.
{
"Version": "2012-10-17",
"Id": "uniqueID",
"Statement": [
{
"Sid": "BucketAllow",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::user/john.doe@emaildomain.com:subuser1"
]
},
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::myPictures",
"arn:aws:s3:::myPictures/*"
]
}
]
}
Unter "Id": "uniqieID" muss einen Einzigartigen Namen oder Zeichenfolge eingetragen werden. z. B. "allow-subuser1-read-mypictures".
Bei "arn:aws:iam:::user/..." muss der Benutzer welcher Rechte bekommen soll eingetragen werden. z.B. john.doe@emaildomain.com:subuser1.
Unter "Resource": muss der Bucket bzw. der Unterordner eingetragen werden. z. B:
"arn:aws:s3:::myPictures" -> Rechte für den Bucket.
"arn:aws:s3:::myPictures"/* -> Rechte für alle Unterordner.
Bei "Action": ["s3:*] -> Alle Vollzugriff.
¶ Worm Bucket / Object lock
S3 Object Lock ist eine Funktion von Simple Storage Service (S3), die es ermöglicht, Objekte in einem S3-Bucket vor unbeabsichtigtem oder böswilligem Löschen oder Überschreiben zu schützen. Dies wird oft als "Write Once, Read Many" (WORM) bezeichnet. Die S3 Object Lock-Funktion stellt sicher, dass Daten in einem unveränderbaren Zustand verbleiben und für einen bestimmten Zeitraum oder auf unbestimmte Zeit nicht geändert oder gelöscht werden können.
¶ Funktionsweise von S3 Object Lock
S3 Object Lock bietet zwei Arten von Schutz:
Governance Mode: In diesem Modus können Benutzer mit speziellen Berechtigungen (z.B. Administratoren) Objekte vor Ablauf ihrer Sperrfrist löschen oder ändern. Der Governance-Modus ist ideal, wenn Unternehmen eine zusätzliche Schutzebene benötigen, aber dennoch die Flexibilität haben möchten, Objekte bei Bedarf zu verwalten.
Compliance Mode: Dieser Modus bietet einen strengeren Schutz. Einmal aktiviert, kann kein Benutzer, auch kein Administrator, das Objekt bis zum Ablauf der Sperrfrist löschen oder ändern. Compliance Mode ist ideal für Szenarien, in denen gesetzliche Vorschriften eine strenge Aufbewahrung und Schutz von Daten erfordern.
Zusätzlich zur Sperrfrist bietet S3 Object Lock auch die Möglichkeit, eine Legal Hold auf Objekte zu setzen. Diese Sperre bleibt so lange bestehen, bis sie explizit entfernt wird, unabhängig von den festgelegten Sperrfristen. Dies ist nützlich, wenn Daten im Rahmen eines rechtlichen Verfahrens gesichert werden müssen.
¶ Vorteile von S3 Object Lock
Datenintegrität und Schutz vor Löschung: S3 Object Lock verhindert das Löschen oder Überschreiben von Daten, was besonders wichtig ist, um versehentliche Löschungen oder böswillige Aktivitäten zu vermeiden.
Einhaltung gesetzlicher Vorschriften: Viele Branchen haben strenge Aufbewahrungsanforderungen für Daten. Mit S3 Object Lock im Compliance-Modus können Unternehmen sicherstellen, dass ihre Daten für die gesetzlich vorgeschriebene Dauer unverändert bleiben.
Revisionssicherheit: S3 Object Lock hilft Unternehmen, Revisionsanforderungen zu erfüllen, indem es sicherstellt, dass Daten nicht manipuliert werden können. Dies ist besonders wichtig für Unternehmen, die regelmäßig Audits durchlaufen oder für die Datenintegrität von entscheidender Bedeutung ist.
Flexibilität: Der Governance-Modus bietet die Flexibilität, Daten zu verwalten, während der Compliance-Modus strengere Kontrollen ermöglicht. Unternehmen können je nach ihren spezifischen Anforderungen entscheiden, welcher Modus am besten geeignet ist.
Schutz vor Ransomware: In Zeiten, in denen Ransomware-Angriffe zunehmen, bietet S3 Object Lock einen zusätzlichen Schutz, da Angreifer gespeicherte Daten nicht löschen oder verändern können, selbst wenn sie Zugriff auf das System haben.
¶ Zusammenfassung
S3 Object Lock ist eine wertvolle Funktion für Unternehmen, die sicherstellen müssen, dass ihre Daten sicher, unveränderbar und für eine bestimmte Zeit geschützt sind. Ob zum Schutz vor menschlichen Fehlern, zur Einhaltung von Vorschriften oder zum Schutz vor böswilligen Angriffen, S3 Object Lock bietet einen robusten Mechanismus zur Datenbewahrung und -sicherheit.