Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Настройка блокировок версии объекта (object lock)

Статья создана
Улучшена
Обновлена 23 марта 2026 г.

Если в бакете включены версионирование и блокировки версий объектов, вы можете настроить блокировку версии, уже загруженной в бакет.

Установить или настроить временную блокировку (governance или compliance)

Минимальные необходимые роли:

  • для установки блокировки — storage.uploader;
  • для изменения существующей блокировки — storage.admin.

Временную строгую блокировку (compliance-mode retention) можно только продлить. Сократить ее или заменить на управляемую блокировку (governance-mode retention) нельзя.

Чтобы установить или настроить блокировку:

  1. В консоли управления выберите каталог.
  2. Перейдите в сервис Object Storage.
  3. Выберите бакет, для объектов которого хотите настроить блокировку.
  4. На панели слева выберите Объекты.
  5. Чтобы видеть все версии объектов в списке, справа от поля поиска объекта в бакете включите опцию Показать версии.
  6. В списке объектов выберите нужный, нажмите Блокировка.
  7. В открывшемся окне включите опцию Временная блокировка.
  8. Выберите Тип блокировки по умолчанию:
    • Временная управляемая (governance) — пользователь с ролью storage.admin может обойти блокировку, изменить ее срок или снять ее.
    • Временная строгая (compliance) — пользователь с ролью storage.admin может только продлить блокировку. Обойти, сократить или снять блокировку до ее окончания нельзя.
  9. Установите Срок блокировки по умолчанию в днях или годах. Отсчитывается от момента, когда версия объекта загружена в бакет.
  10. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для настройки временной блокировки версии объекта:

    yc storage s3api put-object-retention --help

  2. Получите список бакетов в каталоге по умолчанию:

    yc storage bucket list

    Результат:

    +------------------+----------------------+-------------+-----------------------+---------------------+
|       NAME       |      FOLDER ID       |  MAX SIZE   | DEFAULT STORAGE CLASS |     CREATED AT      |
+------------------+----------------------+-------------+-----------------------+---------------------+
| first-bucket     | b1gmit33ngp6******** | 53687091200 | STANDARD              | 2022-12-16 13:58:18 |
+------------------+----------------------+-------------+-----------------------+---------------------+

  3. Задайте настройки временной блокировки версии объекта:

    yc storage s3api put-object-retention \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии> \
  --retention Mode=<тип_блокировки>,RetainUntilDate="<срок_блокировки>" \
  --bypass-governance-retention

    Где:

    • --bucket — имя вашего бакета.

    • --keyключ объекта.

    • --version-id — идентификатор версии объекта.

    • --retention — настройки временной блокировки (оба параметра обязательны):

      • Modeтип блокировки:

        • GOVERNANCE — временная управляемая блокировка. Этот тип нельзя указать, если на версию объекта уже установлена строгая блокировка.
        • COMPLIANCE — временная строгая блокировка.

      • RetainUntilDate — дата и время окончания блокировки в формате RFC3339. Например, 2025-01-01T00:00:00Z. Конец блокировки указывается в часовом поясе UTC±00:00. Чтобы указать другой часовой пояс, добавьте к концу записи + или - и смещение от UTC±00:00. Подробнее см. пример. Если на версию объекта уже установлена строгая блокировка, ее можно только продлить, то есть новые дата и время должны быть позже текущих.

    • --bypass-governance-retention — флаг, подтверждающий обход блокировки. Его нужно установить, если на версию объекта уже установлена управляемая блокировка.

    Результат:

    request_id: c5984d03********

  4. Убедитесь, что настройки блокировки версии объекта изменились:

    yc storage s3api get-object-retention \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии>

    Где:

    • --bucket — имя вашего бакета.
    • --key — ключ объекта.
    • --version-id — идентификатор версии объекта

    Результат:

    request_id: 077b184e********
retention:
  mode: GOVERNANCE
  retain_until_date: "2024-12-01T10:49:08.363Z"

    В поле mode указан тип блокировки, в поле retain_until_date — ее срок.

  1. Если у вас еще нет AWS CLI, установите и сконфигурируйте его.

  2. Выполните команду:

    aws --endpoint-url=https://storage.yandexcloud.kz/ \
  s3api put-object-retention \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии> \
  --retention Mode=<тип_блокировки>,RetainUntilDate="<срок_блокировки>" \
  --bypass-governance-retention

    Где:

    • --bucket — имя вашего бакета.

    • --keyключ объекта.

    • --version-id — идентификатор версии объекта.

    • --retention — настройки временной блокировки (оба параметра обязательны):

      • Modeтип блокировки:

        • GOVERNANCE — временная управляемая блокировка. Этот тип нельзя указать, если на версию объекта уже установлена строгая блокировка.
        • COMPLIANCE — временная строгая блокировка.

      • RetainUntilDate — дата и время окончания блокировки в формате RFC3339. Например, 2025-01-01T00:00:00Z. Конец блокировки указывается в часовом поясе UTC±00:00. Чтобы указать другой часовой пояс, добавьте к концу записи + или - и смещение от UTC±00:00. Подробнее см. пример. Если на версию объекта уже установлена строгая блокировка, ее можно только продлить, то есть новые дата и время должны быть позже текущих.

    • --bypass-governance-retention — флаг, подтверждающий обход блокировки. Его нужно установить, если на версию объекта уже установлена управляемая блокировка.

Воспользуйтесь методом S3 API putObjectRetention.

В течение срока блокировки версия объекта будет защищена от удаления и изменения. Действия с объектом будут создавать новые версии, при этом восстановить заблокированную версию будет возможно до окончания срока блокировки.

Снять временную управляемую блокировку (governance)

Минимально необходимая роль — storage.admin.

Чтобы снять блокировку:

  1. В консоли управления выберите каталог.
  2. Перейдите в сервис Object Storage.
  3. Выберите нужный бакет из списка.
  4. На панели слева выберите Объекты.
  5. Чтобы видеть все версии объектов в списке, справа от поля поиска объекта в бакете включите опцию Показать версии.
  6. В списке объектов выберите нужный, нажмите Блокировка.
  7. В открывшемся окне выключите опцию Временная блокировка.
  8. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для настройки временной блокировки версии объекта:

    yc storage s3api put-object-retention --help

  2. Получите список бакетов в каталоге по умолчанию:

    yc storage bucket list

    Результат:

    +------------------+----------------------+-------------+-----------------------+---------------------+
|       NAME       |      FOLDER ID       |  MAX SIZE   | DEFAULT STORAGE CLASS |     CREATED AT      |
+------------------+----------------------+-------------+-----------------------+---------------------+
| first-bucket     | b1gmit33ngp6******** | 53687091200 | STANDARD              | 2022-12-16 13:58:18 |
+------------------+----------------------+-------------+-----------------------+---------------------+

  3. Задайте настройки временной блокировки версии объекта:

    yc storage s3api put-object-retention \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии> \
  --retention "{}" \
  --bypass-governance-retention

    Где:

    • --bucket — имя вашего бакета.
    • --keyключ объекта.
    • --version-id — идентификатор версии объекта.
    • --retention — настройки временной блокировки. В обоих параметрах указаны пустые строки, чтобы снять блокировку.
    • --bypass-governance-retention — флаг, подтверждающий обход блокировки.

    Результат:

    request_id: m6384f81********

  4. Убедитесь, что настройки блокировки версии объекта изменились:

    yc storage s3api get-object-retention \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии>

    Где:

    • --bucket — имя вашего бакета.
    • --key — ключ объекта.
    • --version-id — идентификатор версии объекта

    Выполнение команды завершится ошибкой с информацией о том, что для указанного объекта не задана блокировка:

    The specified object does not have a ObjectLock configuration.

  1. Если у вас еще нет AWS CLI, установите и сконфигурируйте его.

  2. Выполните команду:

    aws --endpoint-url=https://storage.yandexcloud.kz/ \
  s3api put-object-retention \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии> \
  --retention "{}" \
  --bypass-governance-retention

    Где:

    • --bucket — имя вашего бакета.
    • --keyключ объекта.
    • --version-id — идентификатор версии объекта.
    • --retention — настройки временной блокировки. В обоих параметрах указаны пустые строки, чтобы снять блокировку.
    • --bypass-governance-retention — флаг, подтверждающий обход блокировки.

Воспользуйтесь методом S3 API putObjectRetention с заголовком X-Amz-Bypass-Governance-Retention: true и пустым элементом Retention.

Минимально необходимая роль — storage.uploader.

Чтобы установить или удалить блокировку:

  1. В консоли управления выберите каталог.
  2. Перейдите в сервис Object Storage.
  3. Выберите нужный бакет из списка.
  4. На панели слева выберите Объекты.
  5. Чтобы видеть все версии объектов в списке, справа от поля поиска объекта в бакете включите опцию Показать версии.
  6. В списке объектов выберите нужный, нажмите Блокировка.
  7. В открывшемся окне включите или выключите опцию Бессрочная блокировка.
  8. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для настройки бессрочной блокировки версии объекта:

    yc storage s3api put-object-legal-hold --help

  2. Получите список бакетов в каталоге по умолчанию:

    yc storage bucket list

    Результат:

    +------------------+----------------------+-------------+-----------------------+---------------------+
|       NAME       |      FOLDER ID       |  MAX SIZE   | DEFAULT STORAGE CLASS |     CREATED AT      |
+------------------+----------------------+-------------+-----------------------+---------------------+
| first-bucket     | b1gmit33ngp6******** | 53687091200 | STANDARD              | 2022-12-16 13:58:18 |
+------------------+----------------------+-------------+-----------------------+---------------------+

  3. Задайте настройки бессрочной блокировки версии объекта:

    yc storage s3api put-object-legal-hold \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии> \
  --legal-hold Status=<статус_блокировки>

    Где:

    • --bucket — имя вашего бакета.

    • --keyключ объекта.

    • --version-id — идентификатор версии объекта.

    • --legal-hold — настройки бессрочной блокировки:

      • Status — статус блокировки:

        • ON — блокировка установлена.
        • OFF — блокировка не установлена.

    Результат:

    request_id: cb262625********

  4. Убедитесь, что настройки блокировки версии объекта изменились:

    yc storage s3api get-object-legal-hold \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии>

    Где:

    • --bucket — имя вашего бакета.
    • --key — ключ объекта.
    • --version-id — идентификатор версии объекта

    Результат:

    request_id: 0bef4a0b********
legal_hold:
  status: ON

  1. Если у вас еще нет AWS CLI, установите и сконфигурируйте его.

  2. Выполните команду:

    aws --endpoint-url=https://storage.yandexcloud.kz/ \
  s3api put-object-legal-hold \
  --bucket <имя_бакета> \
  --key <ключ_объекта> \
  --version-id <идентификатор_версии> \
  --legal-hold Status=<статус_блокировки>

    Где:

    • --bucket — имя вашего бакета.

    • --keyключ объекта.

    • --version-id — идентификатор версии объекта.

    • --legal-hold — настройки бессрочной блокировки:

      • Status — статус блокировки:

        • ON — блокировка установлена.
        • OFF — блокировка не установлена.

Воспользуйтесь методом S3 API putObjectLegalHold.

Если вы установили блокировку, версия объекта будет защищена от удаления и изменения. Действия с объектом будут создавать новые версии, при этом восстановить заблокированную версию будет возможно до удаления блокировки.

Примеры

Установка управляемой блокировки со смещением по московскому времени (UTC+3)

yc storage s3api put-object-retention \
  --bucket test-bucket \
  --key object-key/ \
  --version-id 0005FA15******** \
  --retention Mode=GOVERNANCE,RetainUntilDate=2025-01-01T00:00:00+03:00 \

aws --endpoint-url=https://storage.yandexcloud.kz/ \
  s3api put-object-retention \
  --bucket test-bucket \
  --key object-key/ \
  --version-id 0005FA15******** \
  --retention Mode=GOVERNANCE,RetainUntilDate="2025-01-01T00:00:00+03:00" \
Предыдущая
Загрузка объекта по подписанной ссылке (pre-signed URL)
Следующая
Удаление объекта