Object Lock là gì? Cách cấu hình và sử dụng Object Lock

Object Lock là cơ chế giúp ngăn việc sửa đổi hoặc xóa dữ liệu trong một khoảng thời gian nhất định, đảm bảo tính toàn vẹn và an toàn tuyệt đối cho các đối tượng lưu trữ. Tính năng này đặc biệt hữu ích trong việc bảo vệ dữ liệu khỏi lỗi người dùng, mã độc hoặc tấn công ransomware. Trong bài viết này, mình sẽ cùng bạn tìm hiểu chi tiết về Object Lock, cách cấu hình và ứng dụng thực tế của nó trong quản lý dữ liệu.

Những điểm chính

1. Khái niệm: Biết được đây là một tính năng bảo vệ dữ liệu trên lưu trữ đối tượng, ngăn chặn việc xóa hoặc ghi đè lên dữ liệu.
2. Cách thức hoạt động: Biết được Object Lock hoạt động dựa trên nguyên tắc WORM, yêu cầu bucket đã kích hoạt Versioning.
3. Các loại hình phổ biến: Nắm được các loại hình phổ biến của Object Lock giúp bảo vệ dữ liệu khỏi bị xóa hoặc ghi đè ngoài ý muốn.
4. Cách cấu hình và sử dụng: Được hướng dẫn chi tiết các bước để cấu hình và sử dụng Object Lock cơ bản.
5. Biết đến Vietnix cung cấp nền tảng S3 Object Storage mạnh mẽ, là môi trường lý tưởng để triển khai các giải pháp lưu trữ đối tượng.
6. Câu hỏi thường gặp: Được giải đáp các thắc mắc liên quan đến Object Lock.

Object Lock là gì?

Object Lock là một tính năng bảo vệ dữ liệu trên các dịch vụ lưu trữ đối tượng, giúp ngăn chặn việc xóa hoặc ghi đè lên dữ liệu trong một khoảng thời gian cố định hoặc vô thời hạn, theo cơ chế ghi một lần, đọc nhiều lần (WORM – Write Once Read Many). Tính năng này đặc biệt hữu ích khi bạn cần tuân thủ các quy định pháp lý hoặc bảo vệ file log, tài liệu quan trọng khỏi bị thay đổi, xóa ngoài ý muốn.

Object Lock chỉ áp dụng cho các bucket đã kích hoạt Versioning, giúp khóa từng phiên bản đối tượng mà không hạn chế việc tạo phiên bản mới. Đây là giải pháp quan trọng để nâng cao khả năng bảo vệ dữ liệu và hỗ trợ doanh nghiệp đáp ứng các yêu cầu quản trị, tuân thủ quy định về lưu trữ dữ liệu.

Cách thức hoạt động của Object Lock

Object Lock hoạt động dựa trên nguyên tắc ghi một lần, đọc nhiều lần (WORM), đảm bảo mỗi phiên bản dữ liệu sau khi được khóa sẽ không bị xóa hoặc ghi đè trong một khoảng thời gian xác định hoặc cho đến khi bỏ khóa. Để sử dụng Object Lock, bucket lưu trữ phải kích hoạt Versioning, giúp quản lý từng phiên bản của đối tượng dữ liệu.

Có hai phương thức bảo vệ chính:

• Retention Period (Thời gian lưu giữ): Đối tượng được khóa trong khoảng thời gian cụ thể do người dùng hoặc chính sách bucket quy định. Sau khi hết thời gian này, phiên bản đó mới có thể bị xóa hoặc ghi đè. Bạn có thể lựa chọn chế độ “Compliance” (không ai được phép xóa, kể cả admin) hoặc “Governance” (người dùng có quyền đặc biệt vẫn có thể gỡ hoặc sửa khóa) cho mỗi phiên bản đối tượng.
• Legal Hold (Giữ pháp lý): Cho phép giữ phiên bản dữ liệu vô thời hạn cho đến khi administrator có quyền xác định bỏ khóa. Legal Hold hoạt động riêng biệt với Retention Period và rất hữu ích cho các trường hợp phục vụ kiểm toán hoặc điều tra.

Mỗi phiên bản đối tượng có thể thiết lập độc lập thời gian giữ hoặc trạng thái legal hold, giúp bảo vệ dữ liệu trước nguy cơ thao tác sai hoặc xóa ngoài ý muốn. Khi thao tác xóa, nếu đối tượng bị khóa, hệ thống sẽ từ chối truy cập hoặc chỉ ghi nhận delete marker mà không xóa phiên bản thực tế. Object Lock đảm bảo đáp ứng các yêu cầu tuân thủ và bảo vệ dữ liệu an toàn trong quá trình lưu trữ trên môi trường cloud.

Object Lock cung cấp ba loại hình kiểm soát giúp bảo vệ dữ liệu khỏi bị xóa hoặc ghi đè ngoài ý muốn như sau:

Retention Period (Thời gian giữ dữ liệu)

Cho phép đặt khoảng thời gian cố định mà phiên bản dữ liệu phải được bảo vệ ở trạng thái không thể xóa hoặc chỉnh sửa. Bạn có thể thiết lập thời gian này riêng cho từng đối tượng hoặc áp dụng mặc định cho toàn bucket. Khi hết hạn, dữ liệu có thể bị xóa hoặc sửa đổi theo quyền hạn. Cơ chế này phù hợp với các yêu cầu tuân thủ pháp luật hoặc quy định ngành nghề.

Retention Mode (Chế độ giữ dữ liệu)

Có hai chế độ chính:

• Compliance Mode: Sau khi kích hoạt ở chế độ này, dữ liệu sẽ không thể bị xóa hoặc ghi đè trong thời gian lock, kể cả bởi quản trị viên hay root user. Đây là lựa chọn cho các doanh nghiệp cần tuân thủ nghiêm ngặt quy định bảo mật hoặc pháp lý.
• Governance Mode: Ở chế độ này, đa số người dùng không được phép can thiệp vào dữ liệu đang bị lock, tuy nhiên người quản trị có thể gỡ bỏ hoặc điều chỉnh khóa nếu có quyền đặc biệt. Chế độ này đáp ứng nhu cầu kiểm thử hoặc dự phòng cho các dự án chưa cần bảo vệ nghiêm ngặt như Compliance.

Legal Hold (Khóa pháp lý)

Khác với Retention Period, Legal Hold không bị giới hạn bởi thời gian mà được duy trì cho tới khi được quản trị viên hoặc người có quyền loại bỏ. Legal Hold thường dùng khi cần giữ dữ liệu phục vụ kiểm toán, điều tra hoặc trong các tình huống pháp lý chưa xác định rõ thời điểm kết thúc. Legal Hold và Retention Period có thể được áp dụng song song trên cùng một phiên bản đối tượng để tăng độ linh hoạt và đảm bảo an toàn cho dữ liệu.

Cách cấu hình và sử dụng Object Lock

Khi tạo bucket, bạn cần bật Object Lock ngay từ đầu bằng tham số --object-lock-enabled-for-bucket.

aws s3api create-bucket \
  --bucket object-lock-bucket \
  --object-lock-enabled-for-bucket

Bạn cần cấu hình mặc định để mọi object upload vào bucket đều được tự động khóa theo chế độ và thời gian bạn chọn (ví dụ chế độ GOVERNANCE, 60 ngày):

aws s3api put-object-lock-configuration \
  --bucket object-lock-bucket \
  --object-lock-configuration '{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "GOVERNANCE", "Days": 60 }}}'

Kiểm tra trạng thái cấu hình hiện tại bằng câu lệnh:

aws s3api get-object-lock-configuration \
  --bucket object-lock-bucket

Để áp dụng chế độ giữ COMPLIANCE cho một file với thời gian giữ xác định, bạn dùng câu lệnh:

aws s3api put-object-retention \
  --bucket object-lock-bucket \
  --key test.txt \
  --retention '{ "Mode": "COMPLIANCE", "RetainUntilDate":
"2023-01-01T12:00:00.00Z" }'

Để xem tình trạng giữ dữ liệu của một object, bạn dùng câu lệnh:

aws s3api get-object-retention \
  --bucket object-lock-bucket \
  --key test.txt

Nếu object ở chế độ GOVERNANCE và bạn có quyền s3:BypassGovernanceRetention, bạn có thể xóa bằng:

aws s3api delete-object \
  --bucket object-lock-bucket \
  --key test.txt \
  --bypass-governance-retention

Bạn có thể bật hoặc tắt Legal Hold trên một file bằng:

aws s3api put-object-legal-hold \
  --bucket object-lock-bucket \
  --key test.txt \
  --legal-hold Status=ON # OFF để tắt

Để kiểm tra trạng thái Legal Hold, bạn dùng câu lệnh:

aws s3api get-object-legal-hold \
  --bucket object-lock-bucket \
  --key test.txt

Vietnix – Nhà cung cấp dịch vụ S3 Object Storage, Enterprise Cloud và hạ tầng lưu trữ website chuyên nghiệp, uy tín

Vietnix tự hào là nhà cung cấp dịch vụ S3 Object Storage, Enterprise Cloud cùng giải pháp hosting và VPS chuyên nghiệp, uy tín tại Việt Nam. Với hạ tầng hiện đại trang bị CPU AMD EPYC và ổ NVMe, Vietnix đảm bảo hiệu suất vượt trội, khả năng mở rộng linh hoạt và tối ưu chi phí cho doanh nghiệp. Dịch vụ được vận hành trên các datacenter đạt chuẩn quốc tế, kết hợp hỗ trợ kỹ thuật 24/7 bằng tiếng Việt, mang lại sự an tâm tối đa trong quản lý và vận hành hạ tầng công nghệ. Liên hệ ngay để được tư vấn chi tiết về dịch vụ!

Thông tin liên hệ:

• Website: https://vietnix.vn/
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh

Tóm lại, Object Lock là một tính năng bảo vệ dữ liệu mạnh mẽ, đặc biệt quan trọng để ngăn chặn việc xóa hoặc ghi đè dữ liệu trong các dịch vụ lưu trữ đối tượng. Việc hiểu rõ cơ chế hoạt động và cấu hình Object Lock đúng cách là chìa khóa để bảo vệ tài sản dữ liệu quan trọng trong môi trường đám mây. Cảm ơn bạn đã theo dõi bài viết!