Esta página se ha traducido con Cloud Translation API.

Bloqueo del segmento

En esta página se describe la función de bloqueo de segmentos, que te permite configurar la política de retención de un segmento de Cloud Storage. Esta política rige el tiempo que deben conservarse los objetos del segmento. Esta función también te permite bloquear la política de retención del segmento, lo que impide que se reduzca o se elimine de forma permanente.

Esta función puede proporcionar almacenamiento inmutable en Cloud Storage. Junto con el modo de registro de auditoría detallado, que registra los detalles de las solicitudes y respuestas de Cloud Storage, el bloqueo de segmentos puede ayudar a cumplir los requisitos normativos y de cumplimiento, como los asociados a la FINRA, la SEC y la CFTC. Bucket Lock también puede ayudarte a cumplir determinadas normativas de conservación del sector sanitario.

Información general

Puede añadir una política de retención a un contenedor para especificar un periodo de retención.
- Cuando se define una política de conservación de un segmento, los objetos del segmento solo se pueden eliminar o sustituir una vez que su antigüedad sea superior al periodo de conservación.
- La política se aplica retroactivamente a los objetos que ya hay en el segmento, así como a los que se añadan. Esta función es diferente de la de bloqueo de conservación de objetos, que te permite definir requisitos de conservación de datos para cada objeto.
Puedes bloquear la política de retención de un segmento para definirla permanentemente en el segmento.
- Una vez que bloqueas una política, no puedes eliminarla ni reducir el periodo de retención que tiene.
- No puedes eliminar un segmento con una política bloqueada a menos que todos los objetos del segmento hayan cumplido el periodo de conservación.
- Puedes aumentar el periodo de conservación de una política bloqueada.
Precaución: Bloquear la política de retención de un segmento es una acción irreversible. Para obtener más información, consulta Bloqueos de políticas de retención.

Políticas de retención de segmentos

Puedes incluir una política de retención al crear un nuevo contenedor o añadir una política de retención a un contenedor que ya tengas. Si aplicas una política de conservación a un segmento, te aseguras de que todos los objetos actuales y futuros del segmento no se puedan eliminar ni sustituir hasta que alcancen la antigüedad que definas en la política. Los intentos de eliminar o sustituir objetos cuya antigüedad sea inferior al periodo de retención fallan y devuelven un error 403 - retentionPolicyNotMet.

Por ejemplo, supongamos que tiene un segmento con dos objetos: el objeto A, que añadió hace un mes, y el objeto B, que añadió hace dos años. Si aplicas una política de conservación a tu contenedor que tenga un periodo de conservación de 1 año, no podrás eliminar ni sustituir el objeto A durante otros 11 meses: actualmente tiene 1 mes, pero debe tener al menos 1 año para poder eliminarlo o sustituirlo. Por otro lado, el objeto B se puede eliminar o sustituir inmediatamente, ya que su antigüedad es superior al periodo de conservación. Si has decidido sustituir el objeto B, esta nueva versión del objeto B tiene una antigüedad que vuelve a empezar en 0 años.

Para hacer un seguimiento de cuándo se pueden eliminar los objetos, los objetos de un segmento con una política de conservación tienen metadatos de hora de vencimiento de la conservación. Estos metadatos muestran la fecha y la hora en las que un objeto cumple el periodo de conservación.

Consideraciones generales

Cuando trabajes con políticas de conservación, ten en cuenta lo siguiente:

A menos que la política de retención de un segmento esté bloqueada, puedes aumentar, reducir o eliminar la política.
Los metadatos editables de un objeto no están sujetos a la política de conservación de un contenedor y se pueden modificar aunque el objeto en sí no se pueda modificar.
La política de retención de un segmento contiene un tiempo efectivo, que es el momento a partir del cual se garantiza que todos los objetos del segmento cumplen el periodo de retención.
Para ver la fecha más antigua en la que se puede eliminar un objeto de un segmento con una política de conservación, consulta la sección Fecha de vencimiento de la conservación de los metadatos del objeto.

Consideraciones sobre otras funciones

Estas son las interacciones que tienen las políticas de retención con otras funciones de Cloud Storage:

En los segmentos que usan la gestión de versiones de objetos, una versión activa de un objeto que tenga una fecha de vencimiento de la conservación en el futuro se puede convertir en una versión no actual. Además, todos los objetos versionados que haya en el segmento cuando apliques una política de conservación también estarán protegidos por la política.
Un objeto sujeto a una retención basada en eventos no se puede eliminar mientras se aplique la retención. Una vez que se haya quitado la retención basada en eventos del objeto, se restablecerá el periodo de conservación del objeto.
Un objeto concreto puede estar sujeto a la política de conservación del segmento y a su propia configuración de conservación. Si un objeto está sujeto a ambas, se conserva hasta que se cumplan los dos periodos de conservación.
No puedes destruir versiones de claves de Cloud Key Management Service que encripten objetos en segmentos bloqueados si los objetos no han alcanzado sus tiempos de vencimiento de la conservación. Para obtener más información, consulta Versiones de claves usadas para cifrar objetos bloqueados.
Puedes usar la gestión del ciclo de vida de los objetos para eliminar automáticamente objetos de un segmento, incluso de un segmento con una política bloqueada. Una regla de ciclo de vida no eliminará un objeto hasta que cumpla la política de retención.
No debes realizar subidas compuestas paralelas si tu segmento tiene una política de conservación, ya que las partes de los componentes no se pueden eliminar hasta que cada una haya cumplido el periodo de conservación mínimo del segmento.
Si se intenta completar una subida multiparte de la API XML y el objeto resultante sobrescribiría un objeto que aún no ha alcanzado su periodo de conservación, se producirá un error.
Puedes usar la restricción de la política de retención en tus políticas de la organización para requerir que las políticas de retención de los contenedores con periodos de retención específicos se incluyan al crear un contenedor o al añadir o actualizar la política de retención de un contenedor.

Periodos de conservación

Los periodos de conservación se miden en segundos. Sin embargo, algunas herramientas, como la Google Cloud consola y la CLI de Google Cloud, te permiten definir y ver periodos de conservación con otras unidades de tiempo para mayor comodidad. En estos casos, se aplican las siguientes conversiones:

Un día se considera que tiene 86.400 segundos.
Una semana se considera que tiene 7 días, es decir,604.800 segundos.
Se considera que un mes tiene 31 días, es decir, 2.678.400 segundos.
Un año se considera que tiene 365, 25 días,es decir,31.557.600 segundos.

Puedes definir un periodo de conservación máximo de 3.155.760.000 segundos (100 años).

CLI de gcloud

En gcloud CLI, debes especificar el periodo de conservación con el siguiente formato:

P#Y#M#W#DT#H#M#S

En este formato, cada # representa un número entero que especifiques, seguido de una unidad de tiempo. Las unidades Y, W, D, H y S representan años, semanas, días, horas y segundos, respectivamente. M significa meses cuando va después de P, mientras que M significa minutos cuando va después de T.

Debes incluir al menos un par de unidades enteras como parte del periodo de conservación, pero puedes omitir los pares de unidades enteras que no necesites.

Por ejemplo, P1DT720M define un periodo de conservación de 1 día y 720 minutos (un día y medio).

Bloqueos de políticas de retención

Cuando bloqueas la política de retención de un segmento, impides que se elimine o que se reduzca el periodo de retención (aunque puedes aumentarlo). Si intentas eliminar o reducir la duración de la política de un segmento bloqueado, se producirá un error 400 BadRequestException. Una vez que se bloquea una política de retención, no puedes eliminar el segmento hasta que todos los objetos del segmento hayan cumplido el periodo de retención.

Bloquear la política de conservación de un segmento es irreversible, por lo que debes conocer las implicaciones de hacerlo antes de usar esta función. Si usas una política desbloqueada, puedes eliminarla y seguir eliminando objetos cuando quieras. Cuando bloqueas una política, debes eliminar todo el contenedor para "quitar" la política. Sin embargo, no puedes eliminar el segmento si contiene objetos que no han cumplido su periodo de conservación. Por lo tanto, para "eliminar" una política bloqueada, debes esperar hasta que todos los objetos del segmento hayan cumplido su periodo de conservación. En ese momento, podrás eliminar el segmento.

Además, cuando bloqueas una política de conservación, Cloud Storage aplica automáticamente una retención al permiso projects.delete del proyecto que contiene el segmento. Mientras esté vigente, la retención impide que se elimine el proyecto. Para eliminar el proyecto, primero debes eliminar todas las cargas. Tenga en cuenta que para retirar una retención se necesita el permiso resourcemanager.projects.updateLiens que forma parte de los roles roles/owner y roles/resourcemanager.lienModifier.

Para obtener información sobre cómo puede ayudar el bloqueo de una política de conservación a que tus datos cumplan las normativas de conservación de registros, consulta la página de cumplimiento.

Siguientes pasos

Consulta cómo usar y bloquear políticas de retención.
Consulta información sobre Bloqueo de conservación de objetos y bloqueos de objetos, que ofrecen formas de proteger objetos individuales para que no se eliminen.
Consulta información sobre el modo de registro de auditoría detallado, que también puede ayudarte a cumplir los requisitos normativos.