> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/readme/immutable-s3-backups.md).

# Onveranderlijke S3-back-ups

U kunt S3 Object Lock gebruiken om

1. **Objecten op te slaan met een WORM** (Write-Once-Read-Many)-model. Objectvergrendeling kan helpen voorkomen dat objecten gedurende een bepaalde periode of voor onbepaalde tijd worden verwijderd of overschreven.
2. **Te voldoen aan wettelijke vereisten** die WORM-opslag voorschrijven, of om een extra beschermingslaag toe te voegen tegen wijzigingen en het verwijderen van back-ups.

Voor de bewerking zijn de volgende AWS-machtigingen vereist:

* `s3:PutObjectLockConfiguration`
* `s3:PutBucketVersioning`

### De Object Lock-functie inschakelen

* Object Lock kan alleen worden ingeschakeld voor nieuwe S3-buckets. Als u Object Lock voor een bestaande bucket wilt inschakelen, moet u contact opnemen met AWS Support voor een prijsopgave.
* Wanneer u een bucket aanmaakt met Object Lock ingeschakeld, schakelt Amazon S3 automatisch versioning in voor de bucket.
* Als u een bucket aanmaakt met Object Lock ingeschakeld, kunt u Object Lock niet uitschakelen of versioning voor de bucket onderbreken.

{% stepper %}
{% step %}

### De S3-bucket bestaat niet

Wanneer u zich in de [S3-bucket](https://s3.console.aws.amazon.com/s3/bucket/create) beheercentrum bevindt, klikt u op Geavanceerde instellingen en selecteert u vervolgens Inschakelen:

![](/files/1ff65ad6bc0bcb1e3bdfad89ff1f7916ca0c4bf4)

Configureer vervolgens de rest van uw bucket. U hebt dan twee keuzes voor het configureren van Object Lock:

1. **Governancemodus**: Objecten in de bucket kunnen niet worden verwijderd zonder verhoogde bevoegdheden en de AWS-machtiging s3:BypassGovernanceRetention.
2. **Compliance-modus**: Deze modus biedt het hoogste beschikbare niveau van onveranderlijkheid. Het is onmogelijk om buckets te verwijderen die in deze modus zijn geconfigureerd, zelfs niet met de rechten van het AWS-rootaccount.

We raden aan uw essentiële back-ups te configureren met **Compliance-modus**.

![](/files/4516c655adce5d22f6142c2999d3fb6bc5f0258d)

Kies ten slotte uw objectbewaarperiode door deze in te stellen volgens uw back-upbeleid.

Bronnen:

* <https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html>
* <https://aws.amazon.com/fr/blogs/storage/how-to-manage-retention-periods-in-bulk-using-amazon-s3-batch-operations/>
  {% endstep %}

{% step %}

### De S3-bucket bestaat

U hebt contact opgenomen met AWS Support en het kopiëren van objecten van uw bestaande bucket naar de bucket met Object Lock ingeschakeld is te kostbaar.

We raden aan uw toekomstige back-ups te configureren met behulp van stap 1 van deze handleiding en de volgende beveiligingsmaatregelen toe te passen op uw eerdere back-ups:

Zodra u MFA-verwijderen hebt ingeschakeld, kan alleen de ***root*** gebruiker S3-objecten definitief verwijderen of de versioningconfiguratie van uw S3-bucket wijzigen. De rootgebruiker moet worden geverifieerd met een MFA-apparaat om deze actie uit te voeren.

**Volg deze stappen om MFA-verwijderen voor uw bucket in te schakelen:**

* [Genereer een toegangssleutel en geheime sleutel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_add-key.html) voor de rootgebruiker.
* [Configureer een MFA-apparaat voor de rootgebruiker](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) (als u dat nog niet hebt gedaan).
* Configureer de AWS Command Line Interface (AWS CLI) met de inloggegevens van de rootgebruiker.
* Gebruik de *PutBucketVersioning* API om de MFA-verwijderfunctie in te schakelen:

```bash
aws s3api put-bucket-versioning --bucket mybucketname --versioning-configuration MFADelete=Enabled,Status=Enabled --mfa "arn:aws:iam::(accountnumber):mfa/root-account-mfa-device (pass)"
```

* Controleer vervolgens of de configuratie succesvol is uitgevoerd:
* Controleer in de Amazon S3-console of versioning is ingeschakeld voor de bucket.
* Controleer of MFA-verwijderen is ingeschakeld met behulp van de *GetBucketVersioning* API:

```bash
aws s3api get-bucket-versioning --bucket mybucketname
{
  "Status": "Ingeschakeld",
  "MFADelete": "Ingeschakeld"
}
```

**Als het resultaat van het MFADelete-JSON-object Ingeschakeld is, is de configuratie succesvol voltooid.**
{% endstep %}
{% endstepper %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/readme/immutable-s3-backups.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
