文档首页/ 对象存储服务 OBS/ 用户指南/ 数据安全/ 配置对象锁定(WORM)防止对象被更改或删除
更新时间:2024-11-26 GMT+08:00

配置对象锁定(WORM)防止对象被更改或删除

OBS提供WORM(Write Once Read Many)功能,即一次写入多次读取,实现对象在用户指定的时间段内不能被删除和篡改。目前OBS支持桶级和对象级的WORM功能,提供合规模式一种对象锁定模式。

使用场景

OBS提供合规模式的WORM功能,合规模式是指如果您给一个对象应用了WORM,那么任何用户在指定时间内都不能覆盖或删除受保护的对象版本,包括账号中的根用户。

根据作用目标的范围不同,WORM可以分为桶级WORM和对象级WORM。桶级WORM以桶为单位锁定,保护范围覆盖桶中的所有对象。对象级WORM以对象为单位锁定,保护范围仅覆盖与WORM策略绑定的对象。无论是对象级WORM策略还是桶级WORM策略,都要在开启桶级WORM开关后,才能生效,否则不会保护桶内对象。WORM策略只对策略生效之后新上传的对象生效。当对象同时被桶级WORM和对象级WORM覆盖时,优先遵从对象级WORM的保护策略。

注意事项

  • 开启了桶级WORM开关,系统将自动开启多版本,并且不允许暂停多版本。WORM保护是基于对象版本号的,配置WORM的版本受到WORM保护,没有配置WORM的版本可正常删除。例如,test.txt 001受到WORM保护。此时再次上传同名文件,产生新的对象版本test.txt 002,test.txt 002并未配置WORM,那么test.txt 002就不受保护可以正常删除。当您下载对象时,不指定版本号下载的是最新对象,也就是test.txt 002。
  • 处于保护中的对象不会被生命周期删除,但是能正常进行存储类别转换。受保护的对象不再受保护后,如果满足生命周期过期规则,将会被系统删除。
  • 桶级WORM开关一旦打开,则无法为该桶禁用桶级WORM开关 ,也无法暂停桶的版本控制,但可以禁用桶级默认WORM策略。
  • 开启桶级WORM开关的桶暂不支持跨区域复制能力。
  • 在客户销户、欠费超期情况下,WORM未到期数据会被删除而不做保留。
  • 不支持迁移场景。
  • WORM不阻止修改对象元数据。

配置桶级WORM

OBS支持通过控制台、API方式配置桶级WORM,不支持通过SDK、OBS Browser+、obsutil方式配置桶级WORM。

暂不配置WORM

  1. OBS管理控制台左侧导航栏选择“对象存储”
  2. 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。
  3. 在左侧导航栏,单击“概览”,进入“概览”页面。
  4. 在“基础配置”区域下,单击“WORM保留策略”卡片,系统弹出“配置保留策略”对话框。
  5. 选择“暂不配置”并单击“确定”。

    图2 暂不配置保留策略

延长保留期

配置WORM后,进入对象详情页面,在“版本”页签,可以对对象进行延长保留期操作。系统将阻止在指定时间点前删除受保护的对象版本。

  1. OBS管理控制台左侧导航栏选择“对象存储”
  2. 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。
  3. 在“对象”列表,选择待操作的对象,进入对象详情页面。
  4. 在“版本”页签,显示该对象的所有版本。
  5. 找到需要延长保留期的对象,单击“更多>延长保留期”,选择时间点。

    图3 延长保留期

    保留期不支持缩短,仅支持选择延后的指定时间点。

    例如:原保留期是2023年3月30日,如果您在2023年3月1日选择延长保留期,那么您可以选择2023年3月31日或以后的日期;如果您在2023年4月1日选择延长保留期,那么您可以选择当天(2023年4月1日)或以后的日期,如果您选择当天日期,在当天24点后该对象会失去WORM策略的保护。

手动彻底删除WORM对象

WORM桶内对象未配置保留策略或者保留策略已过期,可选择对应的版本进行手动删除操作;如果对象版本在保留期内,则无法成功删除。

  1. OBS管理控制台左侧导航栏选择“对象存储”
  2. 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。
  3. 启用“历史版本”开关。
  4. 勾选需要彻底删除的对象版本,单击搜索栏上方的“彻底删除”。

    图4 彻底删除对象版本

  5. 单击弹窗中的“确定”,完成对象版本的彻底删除。

配置生命周期规则删除WORM对象

配置对象过期删除规则后,WORM桶内对象未配置保留策略或者保留策略已过期,则受规则影响自动被OBS删除,WORM桶内对象如果在保留期内,无法对其执行删除操作。

当桶开启了WORM功能,则“已删除对象”列表不支持对文件夹进行彻底删除操作。如果需要彻底删除文件夹,仅支持配置生命周期规则进行过期删除。

  1. OBS管理控制台左侧导航栏选择“对象存储”
  2. 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。
  3. 在左侧导航栏单击“基础配置>生命周期规则”,进入“生命周期规则”界面。
  4. 单击“创建”,系统弹出如图5所示对话框。

    图5 创建生命周期规则

  5. 配置生命周期管理规则。

    基本信息:
    • “状态”:选中“启用”,启用本条生命周期规则。
    • “规则名称”:用于识别不同的生命周期配置,其长度需不超过255字符。
    • “前缀”:可选。
      • 填写前缀:满足该前缀的对象将受生命周期规则管理,输入的对象前缀不能包括\:*?"<>|特殊字符,不能以/开头,不能两个/相邻。
      • 未填写前缀:桶内所有对象都将受生命周期规则管理。

    配置当前版本或历史版本:

    对象过期删除天数:勾选后指定在对象最后一次更新后多少天,受规则影响的对象将过期并自动被OBS删除。过期时间必须大于上方存储类别转换时间的最大值。

    例如,您于2023年11月7日在OBS中更新了(最后一次更新)以下几个文件:
    • log/未配置-1.log(注:此文件未配置WORM保留策略)
    • log/已过期-1.log(注:此文件配置的WORM保留策略已过期)
    • doc/保留期内-1.doc(注:此文件配置的WORM保留策略在2023年11月30日过期)
    您于2023年11月10日在OBS中更新了(最后一次更新)以下几个文件:
    • log/未配置-2.log(注:此文件未配置WORM保留策略)
    • log/已过期-2.log(注:此文件配置的WORM保留策略已过期)
    • doc/保留期内-2.doc(注:此文件配置的WORM保留策略在2023年11月30日过期)

    如果您在2023年11月10日设置前缀为“log”的对象,过期删除的时间设置为一天,可能出现如下情况:

    • 11月7日更新的对象“log/未配置-1.log”和“log/已过期-1.log”会在最近一次系统自动扫描后被删除,可能在11月10日当天,也可能在11月11日,这取决于系统的下一次扫描在何时进行。“doc/保留期内-1”不会被删除。
    • 11月10日更新的对象“log/未配置-2.log”和“log/已过期-2.log”,每下一次系统扫描均会判断距上一次对象更新是否已满一天。如果已满一天,则在本次扫描时删除;如果未满一天,则会等到下次扫描再判断,直到满一天时删除,一般可能在11月11日或11月12日删除。“doc/保留期内-2”不会被删除。

    更多配置生命周期规则详情请参见配置生命周期规则

  6. 单击“确定”,完成生命周期规则配置过期删除WORM对象的操作。

其他相关操作

上传对象时,可为对象配置保留策略,详细操作参见上传对象

普通删除WORM对象,详细操作请参见删除对象