MinIO 对象锁定

概述

MinIO 对象锁定（“对象保留”）强制执行一次写入多次读取 (WORM) 不变性，以保护已版本化的对象免遭删除。MinIO 支持基于时间的对象保留和无限期的法律保留。

MinIO 对象锁定提供了关键的数据保留合规性，并满足 SEC17a-4(f)、FINRA 4511(C) 和 CFTC 1.31(c)-(d) 的要求，如 Cohasset Associates 所述。

没有锁定的桶

MinIO 版本控制保留了对象变异的完整历史记录。但是，应用程序可以显式删除特定对象版本。

启用了锁定的桶

将默认的 30 天 WORM 锁应用于桶中的对象，可确保所有对象版本至少保留和保护一段时间。

锁定桶中的删除操作

删除操作在已版本化的桶中遵循正常行为，其中 MinIO 为对象创建 DeleteMarker。但是，对象的非 Delete Marker 版本仍处于保留规则下，并受保护，不受任何特定删除或覆盖尝试的影响。

锁定桶中的已版本化删除操作

MinIO 会阻止任何尝试删除处于 WORM 锁定下的特定对象版本。客户端可以删除版本的 earliest 时间是锁过期时。

MinIO 对象锁定与 AWS S3 的功能和 API 兼容。此页面总结了 MinIO 实现的对象锁定/保留概念。有关其他资源，请参阅 AWS S3 文档中的 S3 对象锁定工作原理。

您只能在创建桶时启用对象锁定，如 S3 行为所述。您无法在未启用锁定的桶上启用对象锁定。然后，您可以随时配置对象保留规则。对象锁定需要版本控制，并隐式启用该功能。

与版本控制的交互

处于 WORM 锁定下的对象在锁过期或被显式解除之前都是不可变的。锁定针对每个对象版本，其中每个版本都独立地不可变。

如果应用程序对锁定对象执行非版本化删除操作，该操作将生成一个删除标记。尝试显式删除任何 WORM 锁定的对象都会失败并出现错误。删除标记不符合 WORM 锁定的保护条件。有关更多信息，请参阅 S3 文档中的管理删除标记和对象生命周期。

例如，考虑以下具有 GOVERNANCE 模式锁定的桶，默认情况下该桶已启用。

$ mc ls --versions play/locking-guide

  [DATETIME]    29B 62429eb1-9cb7-4dc5-b507-9cc23d0cc691 v3 PUT data.csv
  [DATETIME]    32B 78b3105a-02a1-4763-8054-e66add087710 v2 PUT data.csv
  [DATETIME]    23B c6b581ca-2883-41e2-9905-0a1867b535b8 v1 PUT data.csv

尝试对 data.csv 的特定版本执行删除操作会由于对象锁定设置而失败。

$ mc rm --version-id 62429eb1-9cb7-4dc5-b507-9cc23d0cc691 play/data.csv

  Removing `play/locking-guide/data.csv` (versionId=62429eb1-9cb7-4dc5-b507-9cc23d0cc691).
  mc: <ERROR> Failed to remove `play/locking-guide/data.csv`.
      Object, 'data.csv (Version ID=62429eb1-9cb7-4dc5-b507-9cc23d0cc691)' is
      WORM protected and cannot be overwritten

尝试对 data.csv 执行非版本化删除操作将成功，并为该对象创建一个新的 DeleteMarker。

$ mc rm play/locking-guide/data.csv

  [DATETIME]     0B acce329f-ad32-46d9-8649-5fe8bf4ec6e0 v4 DEL data.csv
  [DATETIME]    29B 62429eb1-9cb7-4dc5-b507-9cc23d0cc691 v3 PUT data.csv
  [DATETIME]    32B 78b3105a-02a1-4763-8054-e66add087710 v2 PUT data.csv
  [DATETIME]    23B c6b581ca-2883-41e2-9905-0a1867b535b8 v1 PUT data.csv

与生命周期管理的交互

MinIO 对象过期尊重任何对过期规则覆盖的对象生效的活动对象锁定和保留设置。

对于仅对当前对象版本起作用的过期规则，MinIO 会为锁定的对象创建一个删除标记。
对于对非当前对象版本起作用的过期规则，MinIO 只能在保留期结束后或明确解除（例如，法律保留）后才能过期非当前版本。

例如，考虑以下存储桶，默认情况下启用 GOVERNANCE 模式锁定，持续 45 天

$ mc ls --versions play/locking-guide

  [7D]    29B 62429eb1-9cb7-4dc5-b507-9cc23d0cc691 v3 PUT data.csv
  [30D]    32B 78b3105a-02a1-4763-8054-e66add087710 v2 PUT data.csv
  [60D]    23B c6b581ca-2883-41e2-9905-0a1867b535b8 v1 PUT data.csv

为当前对象创建过期规则，该规则比 7 天旧，将导致为该对象创建一个删除标记

$ mc ls --versions play/locking-guide

  [0D]     0B acce329f-ad32-46d9-8649-5fe8bf4ec6e0 v4 DEL data.csv
  [7D]    29B 62429eb1-9cb7-4dc5-b507-9cc23d0cc691 v3 PUT data.csv
  [30D]    32B 78b3105a-02a1-4763-8054-e66add087710 v2 PUT data.csv
  [60D]    23B c6b581ca-2883-41e2-9905-0a1867b535b8 v1 PUT data.csv

但是，针对非当前对象创建的过期规则，该规则比 7 天旧，将仅在配置的 WORM 锁定过期后生效。由于存储桶具有 45 天的 GOVERNANCE 保留设置，因此只有 data.csv 的 v1 版本解锁，因此有资格被删除。

教程

创建启用对象锁定的存储桶

您必须在创建存储桶时启用对象锁定，以符合 S3 行为。您可以使用 MinIO 控制台、MinIO mc CLI 或使用 S3 兼容的 SDK 来创建启用对象锁定的存储桶。

MinIO 控制台

选择 MinIO 控制台的存储桶部分以访问存储桶创建和管理功能。从存储桶列表中选择存储桶行。您可以使用搜索栏筛选列表。

点击创建存储桶按钮打开存储桶创建模态。切换对象锁定选择器以在存储桶上启用对象锁定。

MinIO CLI

使用 mc mb 命令和 --with-lock 选项创建启用对象锁定的存储桶

mc mb --with-lock ALIAS/BUCKET

将 ALIAS 替换为配置的 MinIO 部署的 别名。
将 BUCKET 替换为要创建的存储桶的 名称。

配置存储桶默认对象保留

您可以使用 MinIO 控制台、MinIO mc CLI 或使用 S3 兼容的 SDK 来配置对象锁定规则（“对象保留”）。

MinIO 支持设置存储桶默认和按对象保留规则。以下示例设置存储桶默认保留。对于按对象保留设置，请参阅您首选 SDK 使用的 PUT 操作的文档。

MinIO 控制台

选择 MinIO 控制台的存储桶部分以访问存储桶创建和管理功能。您可以使用搜索栏筛选列表。

每个存储桶行都有一个管理按钮，该按钮会打开该存储桶的管理视图。

从保留部分，选择启用。此部分仅对使用启用对象锁定的存储桶创建的存储桶可见。

从设置保留配置模态，设置所需的存储桶默认保留设置。

对于保留模式，选择 COMPLIANCE 或 GOVERNANCE。
对于持续时间，选择天或年保留持续时间单位。
对于保留有效性，设置 MinIO 保持存储桶下指定保留模式下的对象的时间长度。

MinIO CLI

使用 mc retention set 命令和 --recursive 和 --default 选项设置存储桶的默认保留模式

mc retention set --recursive --default MODE DURATION ALIAS/BUCKET

将 MODE 替换为 COMPLIANCE 或 GOVERNANCE。
将 DURATION 替换为对象锁定生效的持续时间。
将 ALIAS 替换为配置的 MinIO 部署的 别名。
将 BUCKET 替换为要设置默认保留规则的存储桶的名称。

启用法律保留

您可以使用 MinIO 控制台、MinIO mc CLI 或使用 S3 兼容的 SDK 来启用或禁用对象的无限期法律保留。

您可以在对象已处于 COMPLIANCE 或 GOVERNANCE 锁定状态下对其设置法律保留。即使保留锁定过期，对象也会在法律保留下保持 WORM 锁定。您或具有必要权限的其他用户必须明确解除法律保留才能删除 WORM 锁定。

MinIO 控制台

选择 MinIO 控制台的存储桶部分以访问存储桶创建和管理功能。您可以使用搜索栏筛选列表。

每个存储桶行都有一个管理按钮，该按钮会打开该存储桶的管理视图。

浏览到该对象并选择它以打开对象详细信息视图。选择法律保留按钮以切换对象的法律保留状态。

MinIO CLI

使用 mc legalhold set 命令切换对象的法律保留状态。

mc legalhold set ALIAS/PATH

将 ALIAS 替换为配置的 MinIO 部署的 别名。
将 PATH 替换为要启用法律保留的对象的路径。

对象保留模式

MinIO 实施了以下 S3 对象锁定模式

模式	摘要
GOVERNANCE 模式	阻止非特权用户执行任何可能更改或修改对象或其锁定设置的操作。具有存储桶或对象上的 `s3:BypassGovernanceRetention` 权限的用户可以修改对象或其锁定设置。 MinIO 在配置的保留规则持续时间结束后会自动解除锁定。
COMPLIANCE 模式	阻止任何可能更改或修改对象或其锁定设置的操作。任何 MinIO 用户都无法修改对象或其设置，包括 MinIO root 用户。 MinIO 在配置的保留规则持续时间结束后会自动解除锁定。

模式

摘要

GOVERNANCE 模式

阻止非特权用户执行任何可能更改或修改对象或其锁定设置的操作。

具有存储桶或对象上的 s3:BypassGovernanceRetention 权限的用户可以修改对象或其锁定设置。

MinIO 在配置的保留规则持续时间结束后会自动解除锁定。

COMPLIANCE 模式

阻止任何可能更改或修改对象或其锁定设置的操作。

任何 MinIO 用户都无法修改对象或其设置，包括 MinIO root 用户。

MinIO 在配置的保留规则持续时间结束后会自动解除锁定。

GOVERNANCE 模式

处于 GOVERNANCE 锁定状态下的对象受非特权用户写入操作的保护。

GOVERNANCE 锁定的对象对锁定对象强制实施管理不可变性，其中具有 s3:BypassGovernanceRetention 操作的用户可以修改锁定对象，更改保留持续时间或完全解除锁定。绕过 GOVERNANCE 保留还需要在请求中设置 x-amz-bypass-governance-retention:true 标头。

MinIO GOVERNANCE 锁定在功能上与 S3 GOVERNANCE 模式相同。

COMPLIANCE 模式

处于 COMPLIANCE 锁定状态下的对象受所有用户（包括 MinIO root 用户）的写入操作保护。

COMPLIANCE 锁定的对象对锁定对象强制完全不变性。在配置的保留时间过去之前，您无法更改或删除锁定。

MinIO COMPLIANCE 锁定在功能上与 S3 COMPLIANCE 模式相同。

法律保留

处于法律保留状态的对象受到所有用户的写入操作保护，包括 MinIO 根用户。

法律保留是无限期的，并对锁定对象强制完全不变性。只有拥有 s3:PutObjectLegalHold 权限的授权用户才能设置或解除法律保留。

法律保留适用于对象级别。如果您为一组对象（例如存储桶的内容）启用法律保留，则随后在该存储桶中创建的对象不受影响。

法律保留是对 GOVERNANCE 模式和 COMPLIANCE 模式保留设置的补充。处于法律保留和 GOVERNANCE/COMPLIANCE 保留规则下的对象将保持 WORM 锁定，直到法律保留解除并且规则过期。

对于 GOVERNANCE 锁定的对象，即使用户具有绕过保留的必要权限，法律保留也会阻止对对象进行修改。