Archiving auf STACKIT – Compliance-konforme Langzeitspeicherung
Regulatorische Anforderungen wie GoBD, DSGVO oder branchenspezifische Vorgaben verlangen, dass bestimmte Daten über Jahre hinweg unveränderlich aufbewahrt werden. STACKIT Archiving bietet dir WORM-Speicher (Write Once, Read Many), der genau dafür konzipiert ist.
Was ist Archiving?
Archiving auf STACKIT ist ein Speicherdienst für revisionssichere Langzeitaufbewahrung:
- WORM-Speicher – Einmal geschriebene Daten können nicht mehr verändert oder gelöscht werden
- Retention Policies – Konfigurierbare Aufbewahrungsfristen pro Objekt oder Bucket
- Compliance – Erfüllt Anforderungen von GoBD, DSGVO, ISO 27001 und branchenspezifischen Regularien
- Audit-Trail – Lückenlose Protokollierung aller Zugriffe
- Kosteneffizient – Optimierte Preise für selten abgerufene Daten
:::info WORM-Speicher garantiert, dass Daten innerhalb der Aufbewahrungsfrist weder verändert noch gelöscht werden können – auch nicht von Administratoren. :::
Tutorial: Archiving auf STACKIT einrichten
1. Archiv-Bucket erstellen
stackit object-storage bucket create \
--name compliance-archiv \
--project-id your-project-id2. Object Lock (WORM) aktivieren
# Object Lock auf Bucket-Ebene aktivieren
curl -X PUT "https://your-s3-endpoint/compliance-archiv?object-lock" \
-H "Authorization: Bearer your-token" \
-H "Content-Type: application/xml" \
-d '<?xml version="1.0" encoding="UTF-8"?>
<ObjectLockConfiguration>
<ObjectLockEnabled>Enabled</ObjectLockEnabled>
<Rule>
<DefaultRetention>
<Mode>COMPLIANCE</Mode>
<Years>10</Years>
</DefaultRetention>
</Rule>
</ObjectLockConfiguration>'| Modus | Beschreibung |
|---|---|
| COMPLIANCE | Niemand kann Objekte vor Ablauf der Frist löschen |
| GOVERNANCE | Benutzer mit Sonderrechten können die Sperre aufheben |
3. Dokumente archivieren
# Einzelnes Dokument mit Retention hochladen
aws s3api put-object \
--endpoint-url https://your-s3-endpoint \
--bucket compliance-archiv \
--key rechnungen/2026/rechnung-001.pdf \
--body ./rechnung-001.pdf \
--object-lock-mode COMPLIANCE \
--object-lock-retain-until-date "2036-03-26T00:00:00Z"4. Automatisierte Archivierung per Skript
#!/bin/bash
BUCKET="compliance-archiv"
ENDPOINT="https://your-s3-endpoint"
RETENTION_YEARS=10
RETAIN_UNTIL=$(date -u -d "+${RETENTION_YEARS} years" +"%Y-%m-%dT00:00:00Z")
for file in /data/rechnungen/*.pdf; do
filename=$(basename "$file")
aws s3api put-object \
--endpoint-url "$ENDPOINT" \
--bucket "$BUCKET" \
--key "rechnungen/$(date +%Y)/$filename" \
--body "$file" \
--object-lock-mode COMPLIANCE \
--object-lock-retain-until-date "$RETAIN_UNTIL"
echo "Archiviert: $filename (bis $RETAIN_UNTIL)"
done5. Retention-Status prüfen
aws s3api get-object-retention \
--endpoint-url https://your-s3-endpoint \
--bucket compliance-archiv \
--key rechnungen/2026/rechnung-001.pdf6. Lifecycle-Policy für Kostenoptimierung
{
"Rules": [
{
"ID": "ArchiveToGlacier",
"Status": "Enabled",
"Filter": { "Prefix": "rechnungen/" },
"Transitions": [
{
"Days": 90,
"StorageClass": "GLACIER"
}
]
}
]
}:::danger Im COMPLIANCE-Modus können Objekte vor Ablauf der Retention-Frist nicht gelöscht werden – auch nicht durch den Bucket-Owner. Wähle die Aufbewahrungsdauer sorgfältig. :::
:::tip Kombiniere Object Lock mit Lifecycle-Policies: Daten bleiben unveränderlich, werden aber nach 90 Tagen in eine günstigere Storage-Klasse verschoben. :::
Nächste Schritte
- Erstelle eine Archivierungsrichtlinie, die Aufbewahrungsfristen pro Dokumenttyp definiert
- Richte Audit-Logging ein, um Zugriffe auf archivierte Daten nachzuweisen
- Automatisiere die Archivierung über CI/CD-Pipelines oder Cronjobs
- Teste regelmäßig die Wiederherstellung archivierter Daten