Proteggi i dati su Amazon S3 dall'eliminazione accidentale o dai bug delle applicazioni utilizzando il Controllo delle versioni S3, S3 Object Lock e Replica S3

TUTORIAL

Panoramica

Amazon S3 è un servizio di archiviazione di oggetti con scalabilità, disponibilità dei dati, sicurezza, prestazioni all'avanguardia e durabilità dei dati del 99,999999999% (11 nove). Tuttavia, anche l'archiviazione più durevole non è in grado di proteggere da errori umani o bug software che potrebbero causare il danneggiamento delle applicazioni o l'eliminazione accidentale dei dati. Con l'aumento degli eventi ransomware, clienti di tutte le dimensioni stanno valutando opzioni di protezione aggiuntive contro la manomissione dolosa dei dati critici in Amazon S3.

Come per tutti i dati, le best practice prevedono di creare un backup e di mettere in atto misure di sicurezza contro l'eliminazione accidentale o fraudolenta. Per i dati archiviati in Amazon S3, le best practice iniziano con il controllo delle versioni Amazon S3, che consente di conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato in un bucket Amazon S3. Puoi quindi aggiungere Amazon S3 Object Lock al controllo delle versioni S3 per impedire che i dati vengano eliminati o sovrascritti per un periodo di tempo fisso o anche a tempo indeterminato. Per creare copie aggiuntive dei dati in un'altra regione AWS per la protezione in più regioni, Replica Amazon S3 funziona sia con il controllo delle versioni S3 che con S3 Object Lock e copia automaticamente oggetti tra Regioni AWS e account AWS separati. Infine, puoi riunire la visibilità dei tuoi attuali livelli di protezione dei dati e dell'utilizzo di queste funzionalità in un unico pannello di controllo con Amazon S3 Storage Lens.

Obiettivi

  • Creare un bucket Amazon S3
  • Abilitare il controllo delle versioni S3 per evitare che gli oggetti vengano sovrascritti
  • Configurare S3 Object Lock per prevenire l'eliminazione accidentale di oggetti
  • Verificare lo stato di protezione dei dati dei bucket S3 utilizzando S3 Storage Lens

Prerequisiti

Per seguire questo tutorial devi disporre di un account AWS. Accedi a questa pagina di supporto per ulteriori informazioni su come creare e attivare un nuovo account AWS.

Nota: poiché stiamo descrivendo S3 Object Lock, i dati in questo lab non possono essere eliminati fino a 1 giorno dopo la loro creazione.

 Esperienza AWS

Principiante

 Tempo per il completamento

30 minuti

 Costo per il completamento (con parametri gratuiti)

 Requisiti

Account AWS

 Servizi utilizzati

 Ultimo aggiornamento

3 ottobre 2022

Implementazione

Fase 1: Creazione di un bucket Amazon S3

1.1 - Accesso alla console Amazon S3

  • Se non l'hai già fatto, crea un account AWS.
  • Accedi alla Console di gestione AWS utilizzando le informazioni del tuo account.
  • Nella barra di ricerca dei servizi della console AWS, inserisci S3. Nella sezione dei risultati della ricerca dei servizi, seleziona S3.

Fai clic sugli screenshot di questo tutorial per ingrandire l'immagine.

1.2 - Creazione di un bucket S3

  • Nel pannello di navigazione sulla sinistra, seleziona Bucket, quindi scegli Crea bucket nella sezione Bucket.

1.3

  • Specifica di un nome descrittivo per il bucket. I nomi dei bucket sono univoci a livello globale per tutti gli account AWS. Se riscontri un errore con il nome selezionato, prova un'altra combinazione. Quindi, seleziona la Regione AWS in cui desideri creare il bucket.

1.4

  • Successivamente, nella sezione Proprietà dell'oggetto, lascia l'impostazione predefinita con le ACL disabilitate. Si consiglia di disabilitare le ACL (liste di controllo accessi) tranne in circostanze insolite in cui è necessario controllare l'accesso per ogni oggetto singolarmente. Con la proprietà degli oggetti, è possibile disabilitare le ACL e fare affidamento sulle policy per il controllo degli accessi. Per ulteriori informazioni, consulta la Guida per l'utente di Amazon S3.

 1.5

  • Nelle impostazioni di Blocca accesso pubblico per questo bucket, l'impostazione predefinita di blocco dell'accesso pubblico è adatta a questo carico di lavoro, quindi lascia le impostazioni predefinite.

1.6 - Abilita il controllo delle versioni

  • Successivamente, nella sezione Controllo delle versioni del bucket, assicurati di abilitare il controllo delle versioni del bucket. Il controllo delle versioni in Amazon S3 è un modo per mantenere più varianti di un oggetto nello stesso bucket. Puoi impiegare la funzione di controllo delle versioni di S3 per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel tuo bucket. Con il controllo delle versioni S3 è possibile recuperare più facilmente sia in seguito ad azioni involontarie dell'utente sia in seguito a guasti dell'applicazione. Dopo aver abilitato il controllo delle versioni per un bucket, se Amazon S3 riceve più richieste di scrittura per lo stesso oggetto contemporaneamente, memorizza tutti questi oggetti.

1.7 — Abilita la crittografia predefinita

  • Ora, nella sezione Crittografia predefinita, abilita la crittografia predefinita per il bucket. Le impostazioni qui si applicheranno a tutti gli oggetti caricati nel bucket in cui non hai definito i dettagli della crittografia a riposo durante il processo di caricamento. Per questo carico di lavoro, in Crittografia lato server, seleziona Abilita. Quindi, in Tipo di chiave di crittografia, seleziona Chiavi gestite da Amazon S3 (SSE-S3). Se i requisiti del carico di lavoro non sono soddisfatti da SSE-S3, puoi utilizzare anche il servizio di gestione delle chiavi AWS (AWS KMS). Per ulteriori informazioni su come Amazon S3 utilizza AWS KMS, consulta la Guida per gli sviluppatori del Servizio di gestione delle chiavi AWS (AWS KMS).

1.8

  • Successivamente, nella sezione Impostazioni avanzate, in Blocco oggetti, seleziona Abilita.
  • Con S3 Object Lock, puoi archiviare gli oggetti utilizzando un modello Write-Once-Read-Many (WORM). S3 Object Lock può aiutare a impedire che gli oggetti vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinito. Inoltre, è possibile utilizzare S3 Object Lock per soddisfare i requisiti normativi che richiedono l'archiviazione WORM o per aggiungere un altro livello di protezione contro le modifiche e l'eliminazione degli oggetti.
  • Nota che questo passaggio ha semplicemente abilitato il blocco oggetti sul bucket. Configureremo impostazioni specifiche, come la modalità di conservazione e il periodo di conservazione, più avanti nel tutorial.
  • Crea il bucket S3 scegliendo Crea bucket.

Fase 2: Configurazione del controllo delle versioni S3

2.1 - Caricamento di un oggetto

  • Sulla tua postazione di lavoro, crea un file di testo che contenga le parole Versione 1 e salvalo.

2.2

  • Quindi, seleziona la scheda Oggetti. Dalla sezione Oggetti, scegli Carica.

2.3

  • Quindi, nella sezione Carica, scegli Aggiungi file. Accedi al file system locale per individuare il file di test creato in precedenza. Seleziona il file appropriato, quindi scegli Apri. Il file verrà visualizzato nella sezione File e cartelle. Lascia il resto delle opzioni sulle impostazioni predefinite, quindi seleziona Carica.

2.4

  • Una volta completate le operazioni di caricamento del file, verrà visualizzato un messaggio di stato che indica se il caricamento è andato a buon fine o meno. In questo caso, il file è stato caricato correttamente. Quindi, scegli Chiudi.
  • Ora puoi vedere l'oggetto nella console S3.

2.5

  • Sulla tua postazione di lavoro, modifica il file creato. Cambia il testo in Versione 2, quindi salvalo con lo stesso nome. Carica il file aggiornato su Amazon S3 ripetendo le fasi da 2.2 a 2.4.

2.6

  • Per visualizzare un elenco delle versioni degli oggetti nel bucket, scegli la selezione Mostra versioni. Per ogni versione dell'oggetto, la console mostra un ID di versione univoco, la data e l'ora di creazione della versione dell'oggetto e altre proprietà. 

Adesso che il controllo delle versioni degli oggetti S3, tutte le versioni di quell'oggetto continueranno ad essere mantenute nel bucket di Amazon S3 e potranno essere recuperate o ripristinate. Con il controllo delle versioni S3 abilitato, soltanto il proprietario del bucket Amazon S3 può eliminare definitivamente una versione. Quando viene eseguita un'operazione DELETE su un oggetto, le successive richieste semplici (senza versione) non recupereranno più l'oggetto, ma rimarranno comunque in S3 come versione precedente.

Quando il controllo delle versioni è abilitato, un semplice DELETE non può eliminare definitivamente un oggetto. Amazon S3 inserisce invece un contrassegno di eliminazione nel bucket e tale contrassegno diventa la versione corrente dell'oggetto con un nuovo ID. 

La conservazione di versioni non correnti degli oggetti può aumentare i costi di archiviazione. È possibile impostare delle regole del ciclo di vita per gestire la durata e il costo di archiviazione di molteplici versioni degli oggetti. È possibile configurare le regole del ciclo di vita per rimuovere definitivamente queste versioni precedenti o per finestre di protezione aggiuntive a un costo di archiviazione inferiore. È inoltre possibile impostare una regola che determini l'archiviazione di tutte le versioni precedenti nella classe di archiviazione di recupero istantaneo Amazon S3 Glacier o recupero flessibile Amazon S3 Glacier, la più economica, e la loro eliminazione dopo 100 giorni; in tal modo si avrà un intervallo di ripristino dello stato precedente di 100 giorni per annullare le modifiche, riducendo allo stesso tempo i costi di archiviazione.

Seleziona la casella di controllo a sinistra dell'oggetto di primo livello e scegli Apri. Questo oggetto rappresenta la versione più recente del file e dovrebbe indicare la Versione 2. Ripeti il processo sulla versione precedente dell'oggetto e conferma che sia indicata la Versione 1.

2.7 - Dimostrazione dell'eliminazione di oggetti

  • Disattiva Mostra versioni per comprimere l'elenco delle versioni. 

Inserisci delete nel campo di immissione del testo e scegli il pulsante Elimina oggetti.

  • Seleziona Chiudi.
  • Quindi, nella scheda Oggetti, vedrai che l'oggetto sembra essere stato eliminato.
  • Attiva Mostra versioni. Nota che l'oggetto di primo livello è ora elencato come Contrassegno di eliminazione nella colonna Tipo, ma entrambe le versioni dell'oggetto sono ancora disponibili.

2.8 - Dimostrazione del ripristino di un oggetto

  • Per ripristinare l'oggetto, elimina il contrassegno di eliminazione selezionando la casella di controllo dell'oggetto di primo livello. Quindi, seleziona Elimina.
  • Inserisci permanently delete nel campo di immissione del testo e scegli Elimina oggetti.
  • Seleziona Chiudi.
  • L'eliminazione del contrassegno di eliminazione ha ripristinato l'oggetto.
  • Seleziona la casella di controllo a sinistra dell'oggetto di primo livello e scegli Apri. Questo oggetto dovrebbe aprirsi come Versione 2.
  • Seleziona la casella di controllo a sinistra della versione precedente dell'oggetto e scegli Apri. Questo oggetto dovrebbe aprirsi come Versione 1.

2.9 - Elimina definitivamente una versione specifica di un oggetto

Possiamo anche eliminare una versione specifica di un oggetto senza creare un contrassegno di eliminazione. Nel passaggio successivo, elimineremo la versione più recente dell'oggetto.

  • Con l'interruttore Mostra versioni attivato, seleziona la casella di controllo a sinistra dell'oggetto di primo livello e scegli Elimina.
  • Inserisci permanently delete nel campo di immissione del testo e scegli Elimina oggetti.
  • A questo punto, è stata eliminata la versione più recente dell'oggetto.
  • Per confermare, seleziona la casella di controllo a sinistra dell'oggetto rimanente e scegli Apri
  • Effettuando la selezione precedente si aprirà quindi una nuova scheda nel browser, con il testo Versione 1.

Fase 3: Configurazione di S3 Object Lock

3.1

  • Mostra le funzionalità dettagliate a livello di bucket. Dal tuo bucket, scegli Proprietà.

3.2

  • Scorri verso il basso fino alla sezione Blocco oggetti. Quindi, seleziona Modifica.

3.3

  • Nella sezione Conservazione predefinita, scegli Abilita.
  • Imposta la modalità di conservazione predefinita su Conformità.
  • Per Periodo di conservazione predefinito, inserisci 1 nel campo di immissione del testo e lascia la casella a discesa su Giorni. Quindi scegli Salva modifiche.

A questo punto sono state configurate le impostazioni predefinite di blocco oggetti per tutti i nuovi oggetti caricati nel bucket. Gli oggetti esistenti nel bucket non sono interessati da queste impostazioni. Per bloccare oggetti esistenti, puoi utilizzare S3 Batch Operations.

In modalità Governance, non è possibile sovrascrivere o eliminare una versione dell'oggetto o modificarne le impostazioni di blocco a meno che non si disponga dell'autorizzazione s3:BypassGovernanceRetention. La console S3 per impostazione predefinita include l'intestazione x-amz-bypass-governance-retention:true. Se si prova a eliminare oggetti protetti dalla modalità di governance e si dispone delle autorizzazioni s3:BypassGovernanceRetention, l'operazione avrà esito positivo. Per questo motivo, in questo tutorial utilizziamo la modalità di conformità.

Quando un blocco viene posizionato su un oggetto utilizzando la modalità Conformità, la versione dell'oggetto non può essere eliminata da nessun utente, incluso l'utente root, fino alla scadenza del periodo di conservazione. Inoltre, la sua modalità di conservazione non può essere modificata e il suo periodo di conservazione non può essere abbreviato.

Questo tutorial dimostrerà come anche un utente con diritti amministrativi non sia in grado di eliminare oggetti protetti con la modalità di conformità. Tieni presente che gli oggetti bloccati e che non possono essere eliminati continueranno a essere fatturati. Per ridurre al minimo i costi di questo tutorial, assicurati di aver impostato la conservazione predefinita su un solo giorno e carica solo file di piccole dimensioni.

3.4 - Carica un nuovo oggetto

  • Dalla scheda Oggetti, scegli Carica

3.5

  • Quindi, nella sezione Carica, in File e cartelle, scegli Aggiungi file. Accedi al file system locale e seleziona un file di piccole dimensioni da utilizzare per il test, quindi scegli Apri. Il file verrà visualizzato nella sezione File e cartelle. Lascia il resto delle opzioni sulle impostazioni predefinite, quindi scegli Carica.

3.6

  • Una volta completate le operazioni di caricamento del file, verrà visualizzato un messaggio di stato che indica se il caricamento è andato a buon fine o meno. In questo caso, il file è stato caricato correttamente. Quindi, scegli Chiudi.

3.7

  • Dalla scheda Oggetti, scegli il nuovo oggetto di test che è stato caricato.

Nella scheda Proprietà dell'oggetto, consulta la sezione Panoramica della gestione degli oggetti. Nota che le impostazioni predefinite del blocco oggetti che abbiamo impostato sono state applicate all'oggetto. Puoi anche sovrascrivere queste impostazioni predefinite quando carichi un nuovo oggetto ed estendere (ma non ridurre) la data di conservazione applicata a un oggetto bloccato.

3.8 - Prova a eliminare l'oggetto

In questa sezione, esploreremo un altro metodo per eliminare definitivamente una versione specifica di un oggetto, senza creare un contrassegno di eliminazione. 

  • Scegli la scheda Versioni.  
  • Seleziona la casella di controllo a sinistra dell'oggetto, quindi scegli Elimina.

Inserisci permanently delete nel campo di immissione del testo e scegli Elimina oggetti.

  • Dovresti ricevere un messaggio di errore che indica che l'oggetto non può essere eliminato. Questo è il comportamento previsto quando si utilizza il blocco oggetti in modalità conformità. Prima che questo oggetto possa essere eliminato, bisognerà attendere la scadenza del periodo di conservazione (che è stato impostato su 1 giorno).
  • Quindi, scegli Chiudi per uscire da questa finestra.

Fase 4: Esplorazione delle funzionalità aggiuntive di protezione dei dati di S3

Sebbene non rientri nell'ambito di questo tutorial, ci sono altri due argomenti sulla protezione dei dati di S3 che dovresti conoscere:

La Replica S3 permette di copiare in modo automatico e asincrono gli oggetti nei bucket di Amazon S3. I bucket configurati per la replica di oggetti possono appartenere allo stesso account AWS o ad account differenti. È possibile replicare oggetti in un singolo bucket o in più bucket di destinazione. I bucket di destinazione possono trovarsi in diverse Regioni AWS o all'interno della stessa Regione del bucket di origine.

La replica S3 richiede l'abilitazione del controllo delle versioni S3 sia sui bucket di origine che su quelli di destinazione.  

Se il bucket di origine ha S3 Object Lock abilitato, questo dovrà essere abilitato anche nei bucket di destinazione. Per abilitare la replica su un bucket con il blocco oggetti abilitato, devi prima contattare il supporto AWS. Quando Amazon S3 replica oggetti a cui sono applicate informazioni di conservazione, applica gli stessi controlli di conservazione alle tue repliche, sostituendo il periodo di conservazione predefinito configurato nei bucket di destinazione. Se non disponi di controlli di conservazione applicati agli oggetti nel bucket di origine ed esegui la replica nei bucket di destinazione con un periodo di conservazione predefinito, il periodo di conservazione predefinito del bucket di destinazione viene applicato alle repliche degli oggetti. 

Opzioni di registrazione

Amazon S3 è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, da un ruolo o da un servizio AWS in Amazon S3. CloudTrail acquisisce un sottoinsieme di chiamate API per Amazon S3 come eventi, incluse le chiamate dalla console Amazon S3 e le chiamate di codice alle API Amazon S3.

La registrazione degli accessi al server fornisce record dettagliati per le richieste inviate a un bucket. I log di accesso al server sono utili per molte applicazioni. Ad esempio, le informazioni del log di accesso possono essere utili nei controlli di sicurezza e di accesso. Possono anche aiutarti a conoscere la tua base di clienti e a capire la fattura Amazon S3.

Utilizza Backup AWS per centralizzare e automatizzare la protezione dei dati nei servizi AWS e nei carichi di lavoro ibridi. AWS Backup offre un servizio a costi ridotti, completamente gestito e basato su policy che semplifica ulteriormente la protezione dei dati su larga scala. Backup AWS ti aiuta inoltre a mantenere la conformità alle normative o alle policy aziendali per la protezione dei dati.  

Amazon S3 è una delle tante risorse Backup AWS supportate. Backup AWS sfrutta anche il controllo delle versioni S3.

Fase 5: Visualizzazione dei parametri di protezione dei dati di S3 con Amazon S3 Storage Lens

Amazon S3 Storage Lens offre visibilità a livello di organizzazione sullo stato di protezione dei dati archiviati in Amazon S3. S3 Storage Lens può mostrarti facilmente le percentuali dei tuoi dati crittografati, con controllo delle versioni, replicati e bloccati da oggetti. Questa visibilità sulla protezione dei dati in S3 Storage Lens può essere visualizzata per i tuoi dati su più bucket Amazon S3, account AWS e AWS Organizations senza costi aggiuntivi con 14 giorni di livelli storici di protezione dei dati per iniziare immediatamente.

Puoi utilizzare S3 Storage Lens per visualizzare un riepilogo dei parametri di protezione dei dati, espresse come percentuale della quantità totale di dati. Questi includono: byte della versione corrente, byte della versione non corrente, byte crittografati, byte replicati e byte di blocco oggetti.

5.1

  • Nella console S3, trova Storage Lens nel pannello di navigazione.
  • Scegli Pannelli di controllo, quindi seleziona default-account-dashboard.

5.2

  • Seleziona la scheda Protezione dei dati per visualizzare le statistiche relative al controllo delle versioni, alla crittografia, alla replica e al blocco degli oggetti.

Fase 6: Eliminazione

Nelle fasi successive, effettuerai la pulizia delle risorse create in questo tutorial. Per evitare di ricevere addebiti non desiderati, una best practice consigliata consiste nell'eliminare le risorse non più utilizzate.

Tieni presente che prima di completare queste operazioni, dovrai attendere 1 giorno che S3 Object Lock scada.

6.1 - Eliminazione degli oggetti di test

  • Se ti sei disconnesso dalla sessione della Console di gestione AWS, accedi di nuovo. Vai alla console S3 e seleziona Bucket nel pannello di navigazione. Per prima cosa dovrai eliminare gli oggetti di test dal tuo bucket di test. Seleziona il pulsante d'opzione alla sinistra del bucket creato per questo tutorial, quindi scegli Svuota.
  • Nella pagina Svuota bucket, digita permanently delete nella casella di conferma Elimina definitivamente tutti gli oggetti. Quindi scegli Svuota per continuare.
  • Successivamente, verrà visualizzato un banner che indica se l'eliminazione è andata a buon fine. Scegli Esci.

6.2 - Eliminazione del bucket di test

  • Infine, dovrai eliminare il bucket di test che hai creato. Torna all'elenco di bucket nel tuo account. Seleziona il pulsante d'opzione alla sinistra del bucket creato per questo tutorial, quindi scegli Elimina.
  • Rivedi il messaggio di avvertenza. Se desideri continuare con l'eliminazione del bucket, digita il nome del bucket nella casella di conferma del campo di immissione del testo, quindi seleziona Elimina bucket.

Conclusioni

Congratulazioni! Hai imparato a proteggere i dati in Amazon S3 utilizzando il controllo delle versioni S3 e S3 Object Lock e hai esaminato queste impostazioni utilizzando S3 Storage Lens.

Questa pagina è stata utile?

Fasi successive

Per ulteriori informazioni su Amazon S3, consulta la seguenti risorse: