まず、オブジェクトロックとは何かという話があります。
S3 オブジェクトロックの使用
S3オブジェクトのロック(なにをどうやっても改竄削除が不可)がリリースされました! #reinvent
S3 オブジェクトロックをガバナンスモードで利用するときの権限について調べてみた
S3 オブジェクトロックは、Amazon S3 オブジェクトが一定期間または無期限に削除または上書きされるのを防ぐのに役立ちます。オブジェクトロックは、write-once-read-many (WORM) モデルを使用してオブジェクトを保存します。オブジェクトロックを使用して、WORM ストレージを必要とする規制要件を満たしたり、オブジェクトの変更や削除に対する保護レイヤーを追加したりできます。
IAMやバケットポリシーで制御するのはバケットやオブジェクトを制御するAPIに対するアクセスであり、オブジェクトロックのように各オブジェクトの設定として指定するものではありません。
また、IAMのポリシーの設定は時に複雑で、個別のリソースに対する制御をいちいち書こうとするとかなり面倒ですし、ミスをすれば想定していないリソースへのアクセスができなくなることも十分想定されます。
例えば法的な要件やコンプライアンス的な要件で、特定の期間該当のオブジェクトを確実に保護したい、という用途で使えるでしょう。
ガバナンスモードは特定の権限を持つものしか消せない
通常のIAMやバケットポリシーでの一括制御と比較して、特定の権限を持っていなければ使えないという条件がつくのであれば、仮にオブジェクトロックの対象だったオブジェクトが削除されたとき、CloudTrailでの追跡が容易に行える、というメリットがぱっと思いつくところです。
0 コメント