# S3オブジェクトロック ## ■概要 「**Write Once Read Many**」（WORM）モデルを提供しており、一定期間もしくは無期限にS3オブジェクトが削除または上書きされるのを防ぐことができる。(バケットではない。) 用途としては、企業のコンプライアンス等により一定期間データを保持し続けないといけないと定められている場合に、**データの完全性を保持したまま、期間中のデータ変更や削除を防げる**。 オブジェクト単位での規制要件を満たす必要がある場合などに利用される。 ## ■２つの保持管理方法(両方設定可能) - ### リテンションモード（保持期間設定） - オブジェクトロックの期間を明示的に指定する方法。 - **指定した期間中**は、オブジェクトはWORMで保護されており、**上書きや削除ができない**。 - 下記のどちらかのモードを選択して利用する。 - **ガバナンスモード**：期限内であってもIAMでガバナンスモード解除の権限を持っていれば解除が可能。 - **コンプライアンスモード**：期限内に解除することは不可能。たとえroot権限であっても解除できない。 - ### リーガルホールド（法定保留） - **保持期間の有効期限はなし**。 - 明示的に削除されるまでリーガルホールドは残る。 - リテンションモードと独立しており、両方の設定が可能。 ## ■制約事項 - オブジェクトロックは**バージョニングされたバケットでのみ利用**できる。 - リテンションモードとリーガルホールドはそれぞれのオブジェクトバージョンに適用される。 - オブジェクトロックを適用すると当該オブジェクトバージョンのみに適用され、**新バージョン作成を防止できるわけではない**。 ## ■メリット/デメリット - メリット - 内部関係者であろうと設定した期限内は該当オブジェクトの削除や上書きができない。 - デメリット - コンプライアンスモードを利用すると期限を過ぎるまで削除できない。 - 誤って設定した際に期限に関する設定変更ができない。(設定期限より後へ変更は可能) ------------------------------------------- ## 参考： - https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/object-lock-overview.html - https://qiita.com/suzuki-navi/items/d29ca26be7aca93c9045 - https://dev.classmethod.jp/articles/s3-object-lock/ - https://blog.serverworks.co.jp/tech/2019/05/15/post-70363/