Object Lock Overview

I. Object Lock là gì?

Object Lock là một tính năng cung cấp khả năng chặn các hành động xóa Object Version ngoài ý muốn. Sử dụng model WORM – Write Once, Read Many (Ghi một lần và đọc nhiều lần), Object Lock được ứng dụng trong các trường hợp cần sử dụng S3 làm nơi lưu trữ dữ liệu cố định như: Log, các record history, dữ liệu quan trọng… để đảm bảo dữ liệu không bị xóa, tăng cường bảo mật thông tin và khả năng kiểm soát dữ liệu S3 của người dùng.

II. Object Lock của Sunteco Cloud hoạt động như thế nào?

  • Object Lock quản lý việc lưu giữ đối tượng trong Bucket bằng cách xác định một khoảng thời gian cố định (Retention Period). Trong khoảng thời gian đó, Object Version sẽ bị khóa. Thời hạn khóa đối tượng sẽ được đếm lùi và lưu trong metadata của mỗi Object Version. Hết thời hạn đó, Object Version sẽ được phép xóa hoàn toàn khỏi Sun S3 Pool.

  • Object Lock hoạt động song song với tính năng Versioning, không block các hành động chỉnh sửa, update phiên bản mới của Object. Mọi thao tác thay đổi Object sẽ được lưu lại dưới dạng Version, người dùng có thể truy soát và khôi phục lại bất cứ khi nào. Nếu người dùng upload một Object trùng tên với Object có sử dụng Object Lock đang tồn tại trong Bucket, Object mới sẽ trở thành Version mới nhất của Object đang tồn tại, Object cũ sẽ được khóa cố định với thời hạn như cũ dưới dạng một Version gần nhất.

  • Cấu hình Object Lock trên một Bucket là cấu hình mặc định cho các Object mới sẽ được upload vào Bucket (Lock new objects put into this bucket), không có tác dụng trực tiếp khóa đối tượng. Người dùng có thể cấu hình chế độ lưu trữ và thời gian lưu giữ mặc định. Tất cả những Object mới được upload vào Bucket sau khi cập nhật cấu hình mặc định sẽ thừa kế cấu hình mặc định đó. Cài đặt Lock new objects put into this bucket có thể được tắt để người dùng tự thiết lập Object Lock cho từng Object Version.

  • Cấu hình Object Lock đặt riêng cho từng Object Version có tác dụng trực tiếp khóa đối tượng mà nó đính kèm. Người dùng có thể cấu hình thời gian lưu giữ riêng cho mỗi Object Version để đáp ứng nhu cầu lưu giữ không đồng nhất.

  • Người dùng chỉ có thể enable tính năng Object Lock cho những Object Version ở trong Bucket đã enable tính năng “Object Lock”.

  • Người dùng có thể xóa Folder chứa Object đang bị khóa, tất cả các Object bên trong sẽ bị xóa và được lưu lại dưới dạng Version của “Delete Marker”. Folder sẽ bị ẩn đi giống Version và sẽ được khôi phục khi người dùng tạo Folder mới hoặc upload 1 Folder trùng tên. Khi một Object trong Folder đã xóa được khôi phục, Folder cũng sẽ được khôi phục theo. Người dùng chỉ có thể xóa hoàn toàn Folder rỗng.

III. Cấu hình của Object Lock

  • Object Lock chỉ có thể enable/disable cho Bucket tại giao diện tạo mới Bucket. Sau khi tạo Bucket, người dùng không thể thay đổi trạng thái enable/disable của tính năng Object Lock ở Bucket.

  • Object Lock được cấu hình riêng cho mỗi Object Version (Object được tính là 1 Version).

  • Người dùng có thể tùy chọn khả năng khóa tự động các dữ liệu S3 được upload lên bằng cách thay đổi lựa chọn “Lock new Objects put into this Bucket”. Khi bỏ chọn, tất cả những Object được upload vào Bucket sẽ có cấu hình Object Lock ở trạng thái Disabled.

  • Để đảm bảo dữ liệu chắc chắn được an toàn, trong cấu hình Object Lock của 1 Object Version, người dùng sẽ không có quyền thay đổi thời hạn khóa nhỏ hơn thời hạn hiện tại đã được cấu hình.

Cấu hình chi tiết của Object Lock bao gồm các thành phần:

Retention Mode: Object Lock cung cấp 2 chế độ lock:

  • Compliance (Default):

    • Ở chế độ này, Object Version không thể bị xóa bởi bất kỳ người dùng nào, bao gồm cả Admin hay người sở hữu Bucket. Nó thường được sử dụng cho những dữ liệu cố định, quan trọng cần lưu giữ chắc chắn.

    • Ở cấu hình Object Lock của Bucket, Retention Mode có thể thay đổi qua lại giữa “Compliance” và “Governance”. Cấu hình Object Lock ở Bucket là cấu hình định sẵn cho các Object mới được tải lên, không có chức năng lưu giữ dữ liệu S3, nên sẽ không có ảnh hưởng tới mức độ bảo mật, an toàn dữ liệu.

    • Ở cấu hình Object Lock của Object Version, để đảm bảo an toàn dữ liệu theo chế độ “Compliance”, Retention Mode sẽ không thể thay đổi sang “Governance”

  • Governance:

    • Chế độ “Governance” là chế độ dành cho quản trị, chỉ cho phép “user có quyền đặc biệt” - thường là quản trị viên có thể xóa Object Version, bao gồm:

      • Owner của Organization hoặc Workspace có Pool chứa Object Version đó.

      • Admin của Organization, Workspace hoặc Pool chứa Object Version đó.

      • Key Access có quyền “write” hoặc “read_write” Bucket chứa Object Version đó.

    • Người dùng có thể thay đổi sang chế độ “Compliance” để tăng cường mức độ an toàn cho những dữ liệu quan trọng.

Retention Period: Thời hạn bảo vệ Object (số ngày):

  • Là thời hạn khóa đối tượng, Object Version sẽ được khóa trong khoảng thời gian này, người dùng không thể xóa Object Version trước thời hạn đã được cấu hình.

  • Thời hạn mặc định là 360 ngày, người dùng có thể cấu hình thời hạn tối thiểu là 1 ngày, tối đa 18000 ngày.

  • Ở cấu hình Object Lock của Object Version, thời hạn lưu giữ sẽ được đếm ngược và lưu trong metadata của Object Version. Vì nó giữ vai trò khóa đối tượng nên để đảm bảo an toàn dữ liệu, người dùng sẽ chỉ có thể tăng thời hạn lưu giữ, không thể giảm thời hạn lưu giữ đã được cấu hình.

  • Ở cấu hình Object Lock của Bucket, người dùng có thể thay đổi tùy ý trong giới hạn từ 1 đến 18000, thời hạn này sẽ áp dụng cho những Object mới được upload vào Bucket sau thời điểm cập nhật cấu hình mặc định.

Lock new objects put into this bucket:

  • Chỉ dành riêng cho Bucket.

  • Các Object mới được upload vào Bucket sử dụng lựa chọn này sẽ được cấu hình chế độ và thời hạn Object Lock tự động theo cấu hình Object Lock của Bucket.

  • Nếu không sử dụng, Object mới được upload sẽ có cấu hình Object Lock ở trạng thái disabled, người dùng có thể chỉnh sửa hoặc xóa.