Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überlegungen zu Object Lock
Amazon S3 Object Lock kann verhindern, dass Objekte für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden.
Sie können die Amazon S3 S3-Konsole AWS Command Line Interface (AWS CLI) oder die Amazon S3 S3-REST-API verwenden AWS SDKs, um Object Lock-Informationen anzuzeigen oder festzulegen. Weitere Informationen zu den Funktionen von S3 Object Lock finden Sie unter [Sperren von Objekten mit Object Lock](object-lock.md).
**Wichtig**
Wenn Sie Object Lock für einen Bucket aktiviert haben, können Sie Object Lock nicht deaktivieren oder die Versionsverwaltung für diesen Bucket aussetzen.
S3-Buckets mit Object Lock können nicht als Ziel-Buckets für Server-Zugriffsprotokolle verwendet werden. Weitere Informationen finden Sie unter [Protokollieren von Anfragen mit Server-Zugriffsprotokollierung](ServerLogs.md).
**Topics**
+ [
## Berechtigungen zum Anzeigen von Sperrinformationen
](#object-lock-managing-view)
+ [
## Umgehen des Governance-Modus
](#object-lock-managing-bypass)
+ [
## Verwenden von Object Lock mit der S3-Replikation
](#object-lock-managing-replication)
+ [
## Verwenden von Object Lock mit Verschlüsselung
](#object-lock-managing-encryption)
+ [
## Verwenden von Object Lock mit Amazon S3 Inventory
](#object-lock-inv-report)
+ [
## Verwalten von S3-Lebenszyklusrichtlinien mit Object Lock
](#object-lock-managing-lifecycle)
+ [
## Verwalten von Löschmarkierungen mit Object Lock
](#object-lock-managing-delete-markers)
+ [
## Verwenden von S3 Storage Lens mit Object Lock
](#object-lock-storage-lens)
+ [
## Hochladen von Objekten in einen Bucket mit aktivierter Object Lock
](#object-lock-put-object)
+ [
## Konfigurieren von Ereignissen und Benachrichtigungen
](#object-lock-managing-events)
+ [
## Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie
](#object-lock-managing-retention-limits)
## Berechtigungen zum Anzeigen von Sperrinformationen
Sie können den Object-Lock-Status einer Amazon-S3-Objektversion mithilfe der Vorgänge [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html) und [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) anzeigen. Beide Vorgänge geben den Aufbewahrungsmodus, die Aufbewahrungsfrist und den Status in Bezug auf eine rechtliche Aufbewahrungsfrist für die angegebene Objektversion an. Darüber hinaus können Sie mithilfe von S3 Inventory den Status von Object Lock für mehrere Objekte in Ihrem S3-Bucket anzeigen.
Um Aufbewahrungsmodus und Aufbewahrungszeitraum für eine Objektversion anzuzeigen, müssen Sie die Berechtigung `s3:GetObjectRetention` besitzen. Um den Status eines Objekts in Bezug auf rechtliche Aufbewahrungsfristen anzuzeigen, müssen Sie die Berechtigung `s3:GetObjectLegalHold` besitzen. Um die Standardaufbewahrungskonfiguration eines Buckets anzuzeigen, benötigen Sie die `s3:GetBucketObjectLockConfiguration`-Berechtigung. Wenn Sie eine Object-Lock-Konfiguration für einen Bucket anfordern, für den S3 Object Lock nicht aktiviert ist, gibt Amazon S3 einen Fehler zurück.
## Umgehen des Governance-Modus
Sie können für im Governance-Modus gesperrte Objektversionen, Vorgänge ausführen, als ob sie nicht geschützt wären, wenn Sie die `s3:BypassGovernanceRetention`-Berechtigung besitzen. Zu diesen Vorgängen gehören das Löschen einer Objektversion, das Verkürzen des Aufbewahrungszeitraums oder das Entfernen des Object-Lock-Aufbewahrungszeitraums durch die Platzierung einer neuen `PutObjectRetention`-Anforderung mit leeren Parametern.
Um den Governance-Modus umgehen zu können, müssen Sie in Ihrer Anforderung ausdrücklich angeben, dass Sie den Governance-Modus umgehen möchten. Fügen Sie dazu den `x-amz-bypass-governance-retention:true` Header Ihrer `PutObjectRetention` API-Operationsanforderung hinzu oder verwenden Sie den entsprechenden Parameter bei Anfragen, die über AWS CLI oder gestellt werden AWS SDKs. Die S3-Konsole übernimmt diesen Header automatisch für über die S3-Konsole gestellte Anforderungen, wenn Sie über die `s3:BypassGovernanceRetention`-Berechtigung verfügen, den Governance-Modus zu umgehen.
**Anmerkung**
Die Umgehung des Governance-Modus hat keine Auswirkungen auf den Status einer Objektversion in Bezug auf rechtliche Aufbewahrungsfristen. Wenn für eine Objektversion eine rechtliche Aufbewahrungsfrist aktiviert ist, bleibt diese in Kraft und verhindert, dass die Objektversion durch Anforderungen überschrieben oder gelöscht wird.
## Verwenden von Object Lock mit der S3-Replikation
Sie können Object Lock mit S3-Replikation verwenden, um automatisches asynchrones Kopieren von gesperrten Objekten und deren Aufbewahrungs-Metadaten über S3-Buckets hinweg zu aktivieren. Das bedeutet, dass Amazon S3 für replizierte Objekte die Object-Lock-Konfiguration des Quell-Buckets verwendet. In anderen Worten: Wenn für den Quell-Bucket Object Lock aktiviert ist, muss es für den Ziel-Bucket ebenfalls aktiviert sein. Wenn ein Objekt direkt in den Ziel-Bucket hochgeladen wird (außerhalb der S3-Replikation), verwendet es die im Ziel-Bucket festgelegte Object Lock. Wenn Sie Replikation verwenden, werden Objekte aus einem *Quell-Bucket* in einen oder mehrere *Ziel-Bucket(s)* repliziert.
Um die Replikation für einen Bucket mit aktivierter Objektsperre einzurichten, können Sie die S3-Konsole AWS CLI, die Amazon S3 S3-REST-API oder verwenden AWS SDKs.
**Anmerkung**
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).
Allgemeine Informationen zur S3-Replikation finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
Beispiele für die Einrichtung der S3-Replikation finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md).
## Verwenden von Object Lock mit Verschlüsselung
Amazon S3 verschlüsselt standardmäßig alle neuen Objekte. Sie können Object Lock mit Ihren verschlüsselten Objekten verwenden. Weitere Informationen finden Sie unter [Datenschutz durch Verschlüsselung](UsingEncryption.md).
Mit Object Lock können Sie zwar für einen bestimmten Zeitraum verhindern, dass Amazon-S3-Objekte gelöscht oder überschrieben werden. Es schützt jedoch nicht vor dem Verlust des Zugriffs auf die Verschlüsselungsschlüssel oder vor dem Löschen der Verschlüsselungsschlüssel. Wenn Sie beispielsweise Ihre Objekte mit AWS KMS serverseitiger Verschlüsselung verschlüsseln und Ihr AWS KMS Schlüssel gelöscht wird, können Ihre Objekte unlesbar werden.
## Verwenden von Object Lock mit Amazon S3 Inventory
Sie können Amazon S3 Inventory so konfigurieren, dass Listen der Objekte in einem S3-Bucket nach einem definierten Zeitplan erstellt werden. Sie können Amazon S3 Inventory so konfigurieren, dass es die folgenden Object-Lock-Metadaten für Ihre Objekte enthält:
+ Das Aufbewahrungsdatum
+ Der Aufbewahrungsmodus
+ Die gesetzliche Aufbewahrungsfrist
Weitere Informationen finden Sie unter [Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory](storage-inventory.md).
## Verwalten von S3-Lebenszyklusrichtlinien mit Object Lock
Konfigurationen für die Verwaltung des Objektlebenszyklus funktionieren für geschützte Objekte weiterhin normal. Dies schließt die Platzierung von Löschmarkierungen ein. Eine gesperrte Version eines Objekts kann jedoch nicht durch eine Ablaufrichtlinie von S3-Lebenszyklus gelöscht werden. Object Lock wird unabhängig davon beibehalten, in welcher Speicherklasse sich das Objekt befindet, selbst wenn es im Laufe seines S3-Lebenszyklus auf andere Speicherklassen übertragen wird.
Weitere Informationen zur Verwaltung von Objektlebenszyklen finden Sie unter [Verwalten des Lebenszyklus von Objekten](object-lifecycle-mgmt.md).
## Verwalten von Löschmarkierungen mit Object Lock
Sie können eine geschützte Objektversion zwar nicht löschen, aber eine Löschmarkierung für das betreffende Objekt erstellen. Durch das Setzen einer Löschmarkierung auf einem Objekt wird keine Objektversion gelöscht. Amazon S3 verhält sich dadurch aber zumeist so, als ob das Objekt gelöscht worden wäre. Weitere Informationen finden Sie unter [Arbeiten mit Löschmarkierungen](DeleteMarker.md).
**Anmerkung**
Löschmarkierungen sind nicht WORM-geschützt, unabhängig vom Aufbewahrungszeitraum oder der rechtlichen Aufbewahrungsfrist für das zugrunde liegende Objekt.
## Verwenden von S3 Storage Lens mit Object Lock
Wenn Sie Metriken für Object-Lock-fähige Speicherbytes und die Anzahl der Objekte sehen möchten, können Sie Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können.
Weitere Informationen finden Sie unter [Verwenden von S3 Storage Lens zum Schutz Ihrer Daten](storage-lens-data-protection.md).
Eine vollständige Liste der Metriken finden Sie unter [Amazon S3-Storage-Lens-Metrikglossar](storage_lens_metrics_glossary.md).
## Hochladen von Objekten in einen Bucket mit aktivierter Object Lock
Der Header `Content-MD5` oder `x-amz-sdk-checksum-algorithm` ist für jede Anforderung erforderlich, bei der es darum geht, mit Object Lock ein Objekt mit einem konfigurierten Aufbewahrungszeitraum hochzuladen. Diese Header bieten die Möglichkeit, die Integrität Ihres Objekts während des Uploads zu überprüfen.
Beim Hochladen eines Objekts über die Amazon-S3-Konsole fügt S3 automatisch den Header `Content-MD5` hinzu. Sie können optional über die Konsole eine zusätzliche Prüfsummenfunktion und einen Prüfsummenwert als Header `x-amz-sdk-checksum-algorithm` angeben. Wenn Sie die [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)API verwenden, müssen Sie den Header, den `Content-MD5` Header oder beide angeben, um den `x-amz-sdk-checksum-algorithm` Aufbewahrungszeitraum für Object Lock zu konfigurieren.
Weitere Informationen finden Sie unter [Überprüfen der Objektintegrität in Amazon S3](checking-object-integrity.md).
## Konfigurieren von Ereignissen und Benachrichtigungen
Sie können Amazon S3 Event Notifications verwenden, um den Zugriff und die Änderungen an Ihren Object Lock-Konfigurationen und -Daten nachzuverfolgen, indem Sie AWS CloudTrail Weitere Informationen dazu CloudTrail finden Sie unter [Was ist AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) im *AWS CloudTrail Benutzerhandbuch*.
Sie können Amazon auch verwenden CloudWatch , um Benachrichtigungen auf der Grundlage dieser Daten zu generieren. Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## Festlegen von Beschränkungen für Aufbewahrungsfristen mit einer Bucket-Richtlinie
Sie können mittels einer Bucket-Richtlinie mindestens erforderliche und maximal zulässige Aufbewahrungszeiträume für einen Bucket festlegen. Die maximale Aufbewahrungsfrist beträgt 100 Jahre.
Das folgende Beispiel zeigt eine Bucket-Richtlinie, die den Bedingungsschlüssel `s3:object-lock-remaining-retention-days` verwendet, um einen maximalen Aufbewahrungszeitraum von 10 Tagen festzulegen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "SetRetentionLimits",
"Statement": [
{
"Sid": "SetRetentionPeriod",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:PutObjectRetention"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"NumericGreaterThan": {
"s3:object-lock-remaining-retention-days": "10"
}
}
}
]
}
```
------
**Anmerkung**
Wenn es sich bei Ihrem Bucket um den Ziel-Bucket einer Replikationsrichtlinie handelt, können Sie minimal und maximal zulässige Aufbewahrungszeiträume für Objektreplikate einrichten, die mittels Replikation erstellt werden. Hierzu müssen Sie die `s3:ReplicateObject`-Aktion in Ihrer Bucket-Richtlinie zulassen. Weitere Informationen zur Verwendung von Replikationsberechtigungen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).
Weitere Informationen zu Bucket-Richtlinien finden Sie in den folgenden Themen:
+ [ Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in der *Referenz zur Serviceautorisierung*.
Weitere Informationen zu den Berechtigungen für S3-API-Operationen nach S3-Ressourcentypen finden Sie unter [Erforderliche Berechtigungen für Amazon-S3-API-Operationen](using-with-s3-policy-actions.md).
+ [Objektoperationen](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects)
+ [Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln](amazon-s3-policy-keys.md)