Configurar Imutabilidade no Object Storage S3 via S3 Browser

Configurando Imutabilidade através do software S3 Browser

Neste artigo fazer a criação de buckets imutáveis via S3 Browser, este software é um cliente Windows freeware para S3 . O S3 Browser fornece uma interface de serviços web simples que pode ser usada para armazenar e recuperar qualquer quantidade de dados, a qualquer hora, de qualquer lugar na web.

Pré requisito.

Para que seja possível habilitar o recurso de imutabilidade nos buckets S3 usando o S3 Browser o mesmo deve estar na versão 11 em diante.

Criando um bucket e ativando os parâmetros de Imutabilidade via S3 Browser

Após realizar o vínculo  do Object Storage no S3 Browser, o bucket pode ser criado diretamente pelo S3 Browser habilitando o parâmetro de imutabilidade.

Passo 1 – Criar o Bucket

Passo 2 – Habilitando Imutabilidade e configurando.

Passo 3 – Definindo o modo de imutabilidade

Passo 4 – Definindo a quantidade de dias de imutabilidade.

Diferenças entre os modos

O S3 Object Lock fornece dois modos de retenção, esses modos aplicam diferentes níveis de proteção aos seus objetos:

COMPLIANCE: No modo de compliance, uma versão de objeto protegido não pode ser substituída ou excluída por qualquer usuário, incluindo o usuário root em sua conta AWS

GOVERNANCE: No modo de governance, os usuários não podem substituir e excluir uma versão do objeto ou alterar suas configurações de bloqueio, a menos que tenham permissões especiais.

Abaixo imagem evidenciando que após subir alguns arquivos, e tentar fazer algumas alterações, ocorreu o versionamento de cada alteração

Cada objeto possui um cabeçalho “Headers”. Quando o bucket é criado com a opção de imutabilidade ele aplica a variável x-amz-object-lock-retain-ultil-date em todo novo objeto. É nesse parâmetro que é configurado a retenção, ou seja, até que a data da variável x-amz-object-lock-retain-ultil-date seja atingida, o objeto não poderá ser alterado.

Na imagem abaixo, é apresentando as informações do cabeçalho, onde a data do campo x-amz-object-lock-retain-ultil-date é superior à data da variável Date. Sendo assim este arquivo não poderá ser alterado ou excluído até que seja atingida a data da variável x-amz-object-lock-retain-ultil-date.

Evidência da variável Date

Pontos importantes:

1. 1. A imutabilidade pode ser habilitada APENAS quando está sendo criado o Bucket.

1. 1. O volume do bucket aumenta toda vez que um arquivo é versionado. A formula a ser considerada para cálculo do volume é: qtd de versões x tamanho do arquivo.

1. 1. É possível fazer a recuperação de versionamento a qualquer momento.

1. 1. Enquanto existirem objetos visionados com a data de retenção superior à variável date, não será possível fazer a deleção do bucket. (através de acesso com accesskey secretkey)

1. 1. Cada objeto pode receber a variável x-amz-object-lock-retain-ultil-date independente do bucket, ou seja, a informação mais específica sobrepõe as informações do bucket;

1. 1. É possível fazer a criação de uma nova versão de um determinado objeto, fazendo uma alteração na variável x-amz-object-lock-retain-ultil-date.

1. 1. Não houve diferença no comportamento do S3 utilizando os parâmetros GOVERNANCE ou COMPLIANCE na variável x-amz-object-lock-mode.

Nos dois formatos, não foi possível efetuar a deleção dos objetos versionados. Em todo caso recomendo FORTEMENTE a utilização do parâmetro COMPLIANCE.

• • O volume total do bucket é a soma de todos os arquivos considerando os versionamentos.  É importante tomar cuidado, pois as ferramentas (ex. S3Browser desconsideram as informações de utilização de versionamento).

---

Links úteis:

• • https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html

• • https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-aws-cli&locale=pt-BR

• • https://docs.aws.amazon.com/cli/latest/reference/s3api/put-object-lock-configuration.html

• https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html