> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme/immutable-s3-backups.md).

# Sauvegardes S3 immuables

Vous pouvez utiliser le verrouillage d’objets S3 pour

1. **Stocker des objets à l’aide d’un modèle WORM** (Write-Once-Read-Many). Le verrouillage d’objets peut aider à empêcher la suppression ou l’écrasement des objets pendant une période de temps spécifiée ou indéfiniment.
2. **Répondre aux exigences réglementaires** qui imposent un stockage WORM, ou pour ajouter une couche de protection supplémentaire contre les modifications et la suppression des sauvegardes.

Autorisations AWS requises pour effectuer l’opération :

* `s3:PutObjectLockConfiguration`
* `s3:PutBucketVersioning`

### Activation de la fonctionnalité Object Lock

* Object Lock ne peut être activé que pour les nouveaux compartiments S3. Pour activer Object Lock pour un compartiment existant, vous devez contacter le support AWS pour obtenir un devis.
* Lorsque vous créez un compartiment avec Object Lock activé, Amazon S3 active automatiquement le versioning pour ce compartiment.
* Si vous créez un compartiment avec Object Lock activé, vous ne pouvez pas désactiver Object Lock ni suspendre le versioning pour ce compartiment.

{% stepper %}
{% step %}

### Le compartiment S3 n’existe pas

Lorsque vous êtes dans le [compartiment S3](https://s3.console.aws.amazon.com/s3/bucket/create) centre de gestion, cliquez sur Paramètres avancés, puis sélectionnez Activer :

![](/files/bf54e76482648a0266c7459727747b7f86d4031d)

Configurez ensuite le reste de votre compartiment. Vous avez alors deux choix pour configurer Object Lock :

1. **Mode gouvernance** : Les objets du compartiment ne peuvent pas être supprimés sans privilèges élevés et sans l’autorisation AWS s3:BypassGovernanceRetention.
2. **Mode conformité** : Ce mode offre le plus haut niveau d’immuabilité disponible. Il est impossible de supprimer les compartiments configurés dans ce mode, même avec les privilèges du compte racine AWS.

Nous vous recommandons de configurer vos sauvegardes essentielles en utilisant **Mode conformité**.

![](/files/32e6d88cd53349208676c72388bfc5e8fc3e800d)

Enfin, choisissez votre période de conservation des objets en la configurant conformément à votre stratégie de sauvegarde.

Sources :

* <https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html>
* <https://aws.amazon.com/fr/blogs/storage/how-to-manage-retention-periods-in-bulk-using-amazon-s3-batch-operations/>
  {% endstep %}

{% step %}

### Le compartiment S3 existe

Vous avez contacté le support AWS et la copie des objets de votre compartiment existant vers le compartiment avec Object Lock activé est trop coûteuse.

Nous vous recommandons de configurer vos futures sauvegardes à l’aide de l’étape 1 de ce guide et d’appliquer les mesures de sécurité suivantes à vos sauvegardes précédentes :

Une fois la suppression MFA activée, seul l’ ***utilisateur root*** peut supprimer définitivement des objets S3 ou modifier la configuration du versioning sur votre compartiment S3. L’utilisateur root doit être authentifié par un dispositif MFA pour effectuer cette action.

**Pour activer la suppression MFA pour votre compartiment, suivez ces étapes :**

* [Générez une clé d’accès et une clé secrète](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_add-key.html) pour l’utilisateur root.
* [Configurez un dispositif MFA pour l’utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) (si ce n’est pas déjà fait).
* Configurez l’interface de ligne de commande AWS (AWS CLI) avec les identifiants de l’utilisateur root.
* Utilisez l’ *PutBucketVersioning* API pour activer la fonctionnalité de suppression MFA :

```bash
aws s3api put-bucket-versioning --bucket mybucketname --versioning-configuration MFADelete=Enabled,Status=Enabled --mfa "arn:aws:iam::(accountnumber):mfa/root-account-mfa-device (pass)"
```

* Vérifiez ensuite que la configuration a réussi :
* Consultez la console Amazon S3 pour vous assurer que le versioning est activé pour le compartiment.
* Vérifiez que la suppression MFA est activée en utilisant l’ *GetBucketVersioning* API :

```bash
aws s3api get-bucket-versioning --bucket mybucketname
{
  "Status": "Enabled",
  "MFADelete": "Enabled"
}
```

**Si le résultat de l’objet JSON MFADelete est Enabled, la configuration a été correctement terminée.**
{% endstep %}
{% endstepper %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme/immutable-s3-backups.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
