Protéger les données sur Amazon S3 des suppressions accidentelles ou des bogues de l'application avec la gestion des versions S3, S3 Object Lock et la réplication S3

DIDACTICIEL

Présentation

Amazon S3 est un service de stockage d'objets offrant une capacité de mise à l'échelle, une disponibilité des données, une sécurité, des performances et une durabilité des données de 99,999999999 % (11 9). Cependant, même le stockage le plus durable ne peut pas protéger contre les erreurs humaines ou les bogues logiciels qui pourraient entraîner la corruption de vos applications ou la suppression accidentelle de données. Avec l'augmentation des rançongiciels, les clients de toutes tailles évaluent des options de protection supplémentaires contre l'altération malveillante de leurs données critiques dans Amazon S3.

Comme pour n'importe quel type de données, la bonne pratique en vigueur est de conserver une sauvegarde et de mettre en place des protections contre les suppressions accidentelles ou malveillantes. Ce guide de démarrage Amazon S3 vous montre comment suivre les bonnes pratiques avec la Gestion des versions Amazon S3, qui vous permet de préserver, de récupérer et de restaurer toutes les versions de chacun des objets stockés dans un compartiment Amazon S3. Amazon S3 Object Lock peut ensuite être ajouté à la gestion des versions S3 pour empêcher la suppression ou l'écrasement des données pendant une durée déterminée ou indéfinie. Pour créer des copies supplémentaires de vos données dans une autre région AWS en vue d'une protection multi-régionale, la réplication Amazon S3 fonctionne avec la gestion des versions S3 et S3 Object Lock pour copier automatiquement des objets entre des régions AWS et des comptes AWS distincts. Enfin, vous pouvez rassembler la visibilité de vos niveaux actuels de protection des données et de l'utilisation de ces fonctionnalités dans un tableau de bord unique avec Amazon S3 Storage Lens.

Votre projet

  • Créer un compartiment Amazon S3
  • Activer la gestion des versions S3 pour éviter que les objets ne soient écrasés
  • Configurer S3 Object Lock pour empêcher la suppression accidentelle d'objets
  • Examiner l'état de la protection des données des compartiments S3 à l'aide de S3 Storage Lens

Conditions préalables

Pour suivre ce didacticiel, vous devez disposer d'un compte AWS. Accédez à cette page de support pour plus d'informations sur la procédure de création et d'activation d'un nouveau compte AWS.

Remarque : puisque nous faisons la démonstration de S3 Object Lock, les données de cet atelier ne peuvent être supprimées qu'un jour après leur création.

 Expérience en matière d'utilisation des services AWS

Débutant

 Durée

30 minutes

 Coût de réalisation (avec métriques gratuites)

 Éléments requis

Compte AWS

 Services utilisés

 Date de la dernière mise à jour

3 octobre 2022

Implémentation

Étape 1 : création d'un compartiment Amazon S3

1.1 – Se connecter à la console Amazon S3

  • Si vous ne l'avez pas encore fait, créez un compte AWS.
  • Connectez-vous à la Console de gestion AWS en utilisant les informations de votre compte.
  • Dans la barre de recherche des services de la console AWS, saisissez S3. Dans la section des résultats de recherche des services, sélectionnez S3.

Cliquez sur les captures d'écran de ce didacticiel pour agrandir l'image.

1.2 – Créer un compartiment S3

  • Dans le volet de navigation de gauche, choisissez Compartiments, puis choisissez Créer un compartiment dans la section Compartiments.

1.3

  • Saisissez un nom descriptif pour votre compartiment. Les noms des compartiments sont uniques pour tous les comptes AWS. Si vous rencontrez une erreur avec le nom que vous avez sélectionné, essayez une autre combinaison. Ensuite, sélectionnez la région AWS dans laquelle vous souhaitez que votre compartiment soit créé.

1.4

  • Ensuite, dans la section Propriétaire de l'objet, laissez le paramètre par défaut ACLs disabled (ACL désactivées). Nous vous recommandons de désactiver les listes de contrôle d'accès (ACL), sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement. Avec Propriétaire de l'objet, vous pouvez désactiver les listes de contrôle d'accès et vous appuyer sur des stratégies pour le contrôle d'accès. Pour en savoir plus, consultez le Guide de l'utilisateur d'Amazon S3.

 1.5

  • Dans la section Bloquer l'accès public pour ce compartiment, le paramètre par défaut pour bloquer l'accès public est approprié pour cette charge de travail. Laissez donc les paramètres par défaut.

1.6 – Activer la gestion des versions

  • Ensuite, dans la section Gestion des versions de compartiment, assurez-vous de sélectionner Activer la gestion des versions de compartiment. La gestion des versions dans Amazon S3 est un moyen de conserver plusieurs variantes d'un objet dans le même compartiment. Vous pouvez utiliser la fonctionnalité Gestion des versions S3 pour préserver, récupérer et restaurer toutes les versions de chacun des objets stockés dans vos compartiments. Avec la gestion des versions S3, vous pouvez récupérer plus facilement les objets perdus à la suite d'actions involontaires d'utilisateurs et de défaillances d'applications. Une fois la gestion des versions activée pour un compartiment, si Amazon S3 reçoit simultanément plusieurs demandes d'écriture pour le même objet, il stocke tous ces objets.

1.7 – Activer le chiffrement par défaut

  • Maintenant, dans la section Chiffrement par défaut, activez le chiffrement par défaut pour le compartiment. Ces paramètres définis s'appliquent à tous les objets chargés dans le compartiment pour lesquels vous n'avez pas défini les détails du chiffrement au repos lors du processus de chargement. Pour cette charge de travail, sous Chiffrement côté serveur, sélectionnez Activer. Ensuite, sous Type de clé de chiffrement, sélectionnez Amazon S3-managed keys (SSE-S3) (Clés gérées par Amazon S3 [SSE-S3]). Si SSE-S3 ne satisfait pas aux exigences de votre charge de travail, vous pouvez également utiliser AWS Key Management Service (AWS KMS). Pour plus d'informations sur l'utilisation d'AWS KMS par Amazon S3, veuillez consulter le Guide du développeur AWS Key Management Service.

1.8

  • Ensuite, dans la section Paramètres avancés, sous Object Lock, sélectionnez Activer.
  • Vous pouvez utiliser S3 Object Lock pour stocker des objets en utilisant un modèle WORM (write-once-read-many). S3 Object Lock permet d'empêcher la suppression ou l'écrasement d'objets pendant une durée déterminée ou indéfinie. Vous pouvez utiliser S3 Object Lock pour répondre aux exigences réglementaires qui requièrent un stockage WORM ou pour ajouter une couche supplémentaire de protection contre les modifications et les suppressions d'objets.
  • Notez que cette étape a simplement permis d'activer Object Lock sur le compartiment. Nous définirons des paramètres spécifiques, tels que le Mode de rétention et la Période de rétention, plus loin dans ce didacticiel.
  • Créez le compartiment S3 en choisissant Créer un compartiment.

Étape 2 : configuration de la gestion des versions S3

2.1 – Charger un objet

  • Sur votre poste de travail, créez un fichier texte contenant les mots Version 1 et sauvegardez-le sur votre poste de travail.

2.2

  • Dans la console Amazon S3, recherchez le compartiment que vous avez créé à l'étape 1 et sélectionnez le nom du compartiment.
  • Sélectionnez ensuite l'onglet Objets. Puis, depuis la section Objets, sélectionnez Charger.

2.3

  • Ensuite, dans la section Charger, choisissez Ajouter des fichiers. Naviguez dans votre système de fichiers local pour localiser le fichier de test que vous avez créé ci-dessus. Sélectionnez le fichier approprié, puis choisissez Ouvrir. Votre fichier est répertorié dans la section Fichiers et dossiers. Laissez le reste des options sur les paramètres par défaut et cliquez sur le bouton Charger.

2.4

  • Une fois les opérations de chargement de fichiers terminées, un message d'état vous indique si le chargement a réussi ou non. Dans ce cas, le chargement du fichier a réussi. Ensuite, choisissez Fermer.
  • Vous pouvez maintenant voir l'objet dans la console S3.

2.5

  • Sur votre poste de travail, éditez le fichier que vous avez créé. Modifiez le texte en version 2, puis enregistrez le fichier sous le même nom. Chargez le fichier mis à jour sur Amazon S3 en répétant les étapes 2.2 à 2.4.

2.6

  • Pour afficher une liste des versions des objets contenus dans le compartiment, sélectionnez l'option Afficher les versions. Pour chaque version d'objet, la console affiche un identifiant de version unique, la date et l'heure de création de la version de l'objet, ainsi que d'autres propriétés. 

Maintenant que vous avez activé la gestion des versions d'objets S3, toutes les versions de cet objet continueront d'être préservées dans votre compartiment Amazon S3 et pourront être récupérées ou restaurées. Lorsque la gestion des versions S3 est activée, seul le propriétaire d'un compartiment Amazon S3 peut supprimer une version de manière définitive. Lorsqu'une opération SUPPRIMER est effectuée sur un objet, les requêtes simples (non versionnées) ultérieures ne récupèrent plus l'objet, mais celui-ci reste dans S3 en tant que version antérieure.

Lorsque la gestion des versions est activée, un simple SUPPRIMER ne peut pas supprimer définitivement un objet. Au lieu de cela, Amazon S3 insère un marqueur de suppression dans le compartiment, et ce marqueur devient la version actuelle de l'objet avec un nouvel identifiant. 

La conservation de versions non actuelles d'objets peut augmenter vos coûts de stockage. Vous pouvez utiliser des règles de cycle de vie pour gérer la durée de vie et le coût de stockage de plusieurs versions de vos objets. Vous pouvez configurer des règles de cycle de vie pour supprimer définitivement ces anciennes versions ou pour obtenir des fenêtres de protection supplémentaires à un coût de stockage moindre. Vous pouvez également définir une règle de cycle de vie qui archive toutes vos versions antérieures dans les classes de stockage Amazon S3 Glacier Instant Retrieval ou Amazon S3 Glacier Flexible Retrieval économique, puis les supprime après 100 jours, ce qui vous laisse un délai de 100 jours pour annuler des modifications apportées à vos données, tout en diminuant vos coûts de stockage.

Cochez la case située à gauche de l'objet de niveau supérieur et sélectionnez Ouvrir. Cet objet représente la version la plus récente du fichier et devrait indiquer Version 2. Répétez l'opération sur l'ancienne version de l'objet et confirmez qu'il indique Version 1.

2.7 – Démontrer la suppression d'objets

  • Désactivez Afficher les versions pour réduire la liste des versions. 

Saisissez Supprimer dans le champ de saisie de texte et cliquez sur le bouton Supprimer les objets.

  • Choisissez Fermer.
  • Ensuite, dans l'onglet Objets, vous verrez que l'objet semble avoir été supprimé.
  • Activez Afficher les versions. Notez que l'objet de niveau supérieur est désormais répertorié comme Marqueur de suppression dans la colonne Type, mais que les deux versions de l'objet sont toujours disponibles.

2.8 – Démontrer la restauration d'un objet

  • Pour restaurer l'objet, supprimez le Marqueur de suppression en cochant la case de l'objet de niveau supérieur. Puis, cliquez sur Supprimer.
  • Saisissez Supprimer définitivement dans le champ de saisie de texte et sélectionnez Supprimer les objets.
  • Choisissez Fermer.
  • La suppression du marqueur de suppression a restauré l'objet.
  • Cochez la case située à gauche de l'objet de niveau supérieur et sélectionnez Ouvrir. Cet objet doit s'ouvrir en tant que Version 2.
  • Cochez la case située à gauche de l'ancienne version de l'objet et sélectionnez Ouvrir. Cet objet doit s'ouvrir en tant que Version 1.

2.9 – Supprimer définitivement une version spécifique d'un objet

Il est également possible de supprimer une version spécifique d'un objet sans créer de marqueur de suppression. Dans l'étape suivante, nous supprimerons la version la plus récente de l'objet.

  • Lorsque la case Afficher les versions est activée, cochez la case située à gauche de l'objet de niveau supérieur et sélectionnez Supprimer.
  • Saisissez Supprimer définitivement dans le champ de saisie de texte et sélectionnez Supprimer les objets.
  • Nous avons supprimé la version la plus récente de l'objet.
  • Pour le confirmer, cochez la case située à gauche de l'objet restant et sélectionnez Ouvrir
  • En procédant à la sélection ci-dessus, vous ouvrirez un nouvel onglet dans votre navigateur, avec le texte Version 1.

Étape 3 : configuration de S3 Object Lock

3.1

  • Affichez les fonctionnalités détaillées au niveau du compartiment. Dans votre compartiment, choisissez Propriétés.

3.2

  • Accédez à la section Object Lock. Ensuite, choisissez Modifier.

3.3

  • Dans la section Rétention par défaut, choisissez Activer.
  • Définissez le Mode de rétention par défaut sur Conformité.
  • Pour la Période de rétention par défaut, saisissez 1 dans le champ de saisie et laissez la valeur Jours dans la liste déroulante. Sélectionnez ensuite Enregistrer les modifications.

Nous avons désormais défini les paramètres d'Object Lock par défaut pour tous les nouveaux objets qui sont chargés dans le compartiment. Les objets existants dans le compartiment ne sont pas affectés par ces paramètres. Pour verrouiller des objets existants, vous pouvez utiliser S3 Batch Operations.

En mode Gouvernance, vous ne pouvez pas écraser ou supprimer la version d'un objet ni modifier ses paramètres de verrouillage, sauf si vous disposez de l'autorisation s3:BypassGovernanceRetention. La console S3 inclut par défaut l'en-tête x-amz-bypass-governance-retention:true. Si vous essayez de supprimer des objets protégés par le mode de gouvernance et que vous disposez des autorisations s3:BypassGovernanceRetention, l'opération réussira. C'est pourquoi nous utilisons le mode Conformité dans ce didacticiel.

Lorsqu'un objet est verrouillé en mode Conformité, la version de l'objet ne peut être supprimée par aucun utilisateur, y compris l'utilisateur root, avant l'expiration de la période de rétention. En outre, son mode de rétention ne peut être modifié et sa période de rétention ne peut être raccourcie.  

Ce didacticiel démontre que même un utilisateur disposant de droits d'administration n'est pas en mesure de supprimer des objets protégés par le mode Conformité. Notez que les objets qui sont verrouillés et ne peuvent pas être supprimés continueront à être facturés. Pour minimiser les coûts de ce didacticiel, assurez-vous que vous avez fixé la rétention par défaut à 1 jour seulement et que vous ne chargez que des fichiers de petite taille.

3.4 – Importer un nouvel objet

  • Depuis l'onglet Objets, sélectionnez Charger

3.5

  • Ensuite, dans la section Charger, sous Fichiers et dossiers, choisissez Ajouter des fichiers. Accédez à votre système de fichiers local et sélectionnez un petit fichier à utiliser pour les tests, puis choisissez Ouvrir. Votre fichier est répertorié dans la section Fichiers et dossiers. Laissez le reste des options sur les paramètres par défaut et choisissez le bouton Charger.

3.6

  • Une fois les opérations de chargement de fichiers terminées, un message d'état vous indique si le chargement a réussi ou non. Dans ce cas, le chargement du fichier a réussi. Ensuite, choisissez Fermer.

3.7

  • Dans l'onglet Objets, sélectionnez le nouvel objet de test que vous avez chargé.

Dans l'onglet Propriétés de l'objet, consultez la section Présentation de la gestion des objets. Notez que les valeurs par défaut d'Object Lock que nous avons définies ont été appliquées à l'objet. Vous pouvez également remplacer ces valeurs par défaut lors du chargement d'un nouvel objet et prolonger (mais pas réduire) la date de rétention appliquée à un objet verrouillé.

3.8 – Essayer de supprimer l'objet

Dans cette section, nous allons explorer une autre méthode pour supprimer définitivement une version spécifique d'un objet, sans créer de marqueur de suppression. 

  • Choisissez l'onglet Versions.  
  • Cochez la case située à gauche de l'objet, puis sélectionnez Supprimer.

Saisissez Supprimer définitivement dans le champ de saisie de texte et sélectionnez Supprimer les objets.

  • Vous devriez recevoir un message d'erreur indiquant que l'objet ne peut pas être supprimé. C'est le comportement attendu lors de l'utilisation d'Object Lock en mode Conformité. Vous devrez attendre que la période de rétention (que nous avons fixée à 1 jour) ait expiré avant que cet objet puisse être supprimé.
  • Cliquez ensuite sur Fermer pour quitter cette fenêtre.

Étape 4 : découverte des fonctionnalités supplémentaires de protection des données S3

Bien qu'ils sortent du cadre de ce didacticiel, il existe deux autres sujets relatifs à la protection des données du S3 que vous devez connaître :

La réplication S3 permet la copie automatique et asynchrone d'objets dans les compartiments Amazon S3. Les compartiments configurés pour la réplication d'objets peuvent appartenir au même compte AWS ou à des comptes différents. Vous pouvez répliquer des objets vers un seul compartiment de destination ou vers plusieurs compartiments de destination. Les compartiments de destination peuvent se trouver dans différentes régions AWS ou dans la même région que le compartiment source.

La réplication S3 nécessite l'activation de la gestion des versions S3 sur les compartiments source et destination.  

Si S3 Object Lock est activé dans le compartiment source, S3 Object Lock doit également être activé dans le ou les compartiments de destination. Pour activer la réplication sur un compartiment pour lequel Object Lock est activé, vous devez d'abord contacter AWS Support. Lorsque Amazon S3 réplique des objets auxquels sont appliquées des informations de rétention, il applique ces mêmes contrôles de rétention à vos réplicas, en remplaçant la période de rétention par défaut configurée sur vos compartiments de destination. Si vous n'avez pas appliqué de contrôles de rétention aux objets de votre compartiment source et que vous répliquez dans des compartiments de destination pour lesquels une période de rétention par défaut a été définie, la période de rétention par défaut du compartiment de destination est appliquée à vos réplicas d'objets. 

Options de journalisation

Amazon S3 est intégré à AWS CloudTrail, un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un service AWS dans Amazon S3. CloudTrail capture un sous-ensemble d'appels API pour Amazon S3 en tant qu'événements, y compris les appels de la console Amazon S3 et les appels de code aux API Amazon S3.

La journalisation des accès au serveur fournit des informations détaillées sur les requêtes adressées à un compartiment. Les journaux d'accès au serveur sont utiles pour de nombreuses applications. Par exemple, les informations des journaux d'accès peuvent être utiles pour les audits de sécurité et d'accès. Il peut également vous aider à connaître votre clientèle et à comprendre votre facture Amazon S3.

Utilisez AWS Backup pour centraliser et automatiser la protection des données sur les services AWS et les charges de travail hybrides. AWS Backup fournit un service économique, entièrement géré et basé sur des politiques, qui simplifie davantage la protection des données à grande échelle. AWS Backup vous aide également à soutenir votre conformité réglementaire ou vos stratégies métier en matière de protection des données.  

Amazon S3 est l'une des nombreuses ressources AWS Backup prises en charge. AWS Backup tire également parti de la gestion des versions S3.

Étape 5 : affichage des métriques de protection des données S3 avec Amazon S3 Storage Lens

Amazon S3 Storage Lens offre une visibilité à l'échelle de l'entreprise sur l'état de la protection de vos données stockées sur Amazon S3. S3 Storage Lens peut facilement vous indiquer les pourcentages de vos données qui sont chiffrées, versionnées, répliquées et traitées par Object Lock. Cette visibilité de la protection des données dans S3 Storage Lens peut être visualisée pour vos données sur plusieurs compartiments Amazon S3, comptes AWS et AWS Organizations, sans frais supplémentaires, avec 14 jours d'historique des niveaux de protection des données pour une mise en œuvre immédiate.

Vous pouvez utiliser S3 Storage Lens pour afficher un résumé des métriques de protection des données, exprimées en pourcentage de la quantité totale de données. Il s'agit notamment des octets de la version actuelle, des octets de la version non actuelle, des octets chiffrés, des octets répliqués et des octets Object Lock.

5.1

  • Sur la console S3, recherchez Storage Lens dans le volet de navigation.
  • Choisissez Tableaux de bord, puis default-account-dashboard.

5.2

  • Sélectionnez l'onglet Protection des données pour consulter les statistiques relatives à la gestion des versions, au chiffrement, à la réplication et à Object Lock.

Étape 6 : nettoyage

Les étapes suivantes consistent à nettoyer les ressources que vous avez créées dans le cadre de ce didacticiel. Il est recommandé de supprimer les ressources que vous n'utilisez plus, afin de ne pas encourir de frais imprévus.

Notez que vous devrez attendre un jour pour que S3 Object Lock expire avant de procéder à ces étapes.

6.1 – Supprimer les objets de test  

  • Si vous vous êtes déconnecté de votre session de console de gestion AWS, reconnectez-vous. Accédez à la console S3 et sélectionnez Compartiments dans le volet de navigation. Tout d'abord, vous devez supprimer le ou les objets de test de votre compartiment de test. Sélectionnez le bouton radio à gauche du compartiment que vous avez créé pour ce didacticiel, puis sélectionnez le bouton Vider.
  • Sur la page Vider le compartiment, saisissez Supprimer définitivement dans la zone de confirmation Permanently delete all objects (Supprimer définitivement tous les objets). Ensuite, choisissez Vider pour continuer.
  • Ensuite, une bannière vous indique si la suppression a réussi. Choisissez Quitter.

6.2 – Supprimer le compartiment de test

  • Pour finir, vous devez supprimer le compartiment de test que vous avez créé. Retournez à la liste des compartiments de votre compte. Sélectionnez le bouton radio à gauche du compartiment que vous avez créé pour ce didacticiel, puis choisissez Supprimer.
  • Consultez le message d'avertissement. Si vous souhaitez poursuivre la suppression de ce compartiment, saisissez-en le nom dans le champ de saisie de texte puis sélectionnez Supprimer le compartiment.

Conclusion

Félicitations ! Vous avez appris à protéger les données dans Amazon S3 à l'aide de la gestion des versions S3 et de S3 Object Lock, et vous avez revu ces paramètres à l'aide de S3 Storage Lens.

Cette page vous a-t-elle été utile ?

Étapes suivantes

Pour en savoir plus sur Amazon S3, consultez les ressources suivantes.