Questa pagina è stata tradotta dall'API Cloud Translation.

Blocco bucket

Questa pagina descrive la funzionalità di blocco di bucket, che consente di configurare un criterio di conservazione per un bucket Cloud Storage. Questo criterio stabilisce per quanto tempo gli oggetti nel bucket devono essere conservati. La funzionalità consente anche di bloccare la policy di conservazione del bucket, impedendo in modo permanente la riduzione o la rimozione della policy.

Questa funzionalità può fornire spazio di archiviazione immutabile su Cloud Storage. Insieme alla modalità di audit logging dettagliata, che registra i dettagli di richiesta e risposta di Cloud Storage, il blocco dei bucket può contribuire a soddisfare i requisiti normativi e di conformità, ad esempio quelli associati a FINRA, SEC e CFTC. Bucket Lock può anche aiutarti a rispettare determinate normative di conservazione del settore sanitario.

Panoramica

Puoi aggiungere un criterio di conservazione a un bucket per specificare un periodo di conservazione.
- Quando viene impostato un criterio di conservazione del bucket, gli oggetti nel bucket possono essere eliminati o sostituiti solo una volta che la loro età è superiore al periodo di conservazione.
- La policy si applica retroattivamente agli oggetti esistenti nel bucket e ai nuovi oggetti aggiunti al bucket. Questa funzionalità è diversa dal blocco della conservazione degli oggetti, che consente di definire i requisiti di conservazione dei dati per ogni oggetto.
Puoi bloccare il criterio di conservazione di un bucket per impostarlo in modo permanente sul bucket.
- Una volta bloccata una policy, non puoi rimuoverla o ridurre il periodo di conservazione.
- Non puoi eliminare un bucket con una policy bloccata a meno che ogni oggetto nel bucket non abbia raggiunto il periodo di conservazione.
- Puoi aumentare il periodo di conservazione di un criterio bloccato.
Attenzione: il blocco del criterio di conservazione di un bucket è un'azione irreversibile. Per maggiori informazioni, consulta Blocchi delle policy di conservazione.

Criteri di conservazione dei bucket

Puoi includere una norma di conservazione quando crei un nuovo bucket oppure puoi aggiungere una norma di conservazione a un bucket esistente. L'applicazione di un criterio di conservazione a un bucket garantisce che tutti gli oggetti attuali e futuri nel bucket non possano essere eliminati o sostituiti finché non raggiungono l'età definita nel criterio. I tentativi di eliminare o sostituire oggetti la cui età è inferiore al periodo di conservazione non vanno a buon fine e restituiscono un errore 403 - retentionPolicyNotMet.

Ad esempio, supponiamo che tu abbia un bucket con due oggetti: l'oggetto A che hai aggiunto un mese fa e l'oggetto B che hai aggiunto due anni fa. Se applichi una norma di conservazione al bucket con un periodo di conservazione di un anno, non puoi eliminare o sostituire l'oggetto A per altri 11 mesi: attualmente ha 1 mese, ma deve avere almeno 1 anno per essere eliminato o sostituito. L'oggetto B, invece, può essere eliminato o sostituito immediatamente, poiché la sua età è superiore al periodo di conservazione. Se hai deciso di sostituire l'oggetto B, questa nuova versione dell'oggetto B ha un'età che riparte da 0 anni.

Per facilitare il monitoraggio del momento in cui i singoli oggetti sono idonei all'eliminazione, gli oggetti in un bucket con una policy di conservazione hanno ciascuno metadati data di scadenza della conservazione. Questo metadato mostra la data e l'ora in cui un oggetto soddisfa il periodo di conservazione.

Considerazioni generali

Quando lavori con le norme di conservazione, tieni presente quanto segue:

A meno che la policy di conservazione di un bucket non sia bloccata, puoi aumentare, diminuire o rimuovere la policy.
I metadati modificabili di un oggetto non sono soggetti alle norme di conservazione di un bucket e possono essere modificati anche quando l'oggetto stesso non può essere modificato.
Il criterio di conservazione di un bucket contiene un tempo effettivo, ovvero il periodo di tempo dopo il quale è garantito che tutti gli oggetti nel bucket siano conformi al periodo di conservazione.
Per visualizzare la prima data in cui un determinato oggetto è idoneo all'eliminazione in un bucket con criteri di conservazione, visualizza la parte relativa alla data di scadenza della conservazione dei metadati dell'oggetto.

Considerazioni relative ad altre funzionalità

Di seguito sono riportate le interazioni dei criteri di conservazione con altre funzionalità di Cloud Storage:

Nei bucket che utilizzano il controllo delle versioni degli oggetti, una versione dell'oggetto attiva con una data di scadenza per la conservazione futura può comunque essere resa non corrente e tutti gli oggetti con controllo delle versioni esistenti nel bucket al momento dell'applicazione di un criterio di conservazione sono protetti anche da questo criterio.
Un oggetto soggetto a un blocco basato su eventi non può essere eliminato mentre il blocco è attivo. Una volta rimosso il blocco basato su eventi dall'oggetto, il periodo di conservazione dell'oggetto viene reimpostato.
Un singolo oggetto può essere soggetto alle norme di conservazione del bucket e alla propria configurazione di conservazione individuale. Se un oggetto è soggetto a entrambi, viene conservato finché non sono soddisfatte entrambe le conservazioni.
Non puoi eliminare le versioni delle chiavi di Cloud Key Management Service che criptano gli oggetti nei bucket bloccati se gli oggetti non hanno raggiunto i tempi di scadenza della conservazione. Per saperne di più, vedi Versioni delle chiavi utilizzate per criptare gli oggetti bloccati.
Puoi utilizzare la Gestione del ciclo di vita degli oggetti per eliminare automaticamente gli oggetti in un bucket, incluso un bucket con una policy bloccata. Una regola di ciclo di vita non elimina un oggetto finché non soddisfa i criteri di conservazione.
Non devi eseguire caricamenti compositi paralleli se il tuo bucket ha un criterio di conservazione, perché i componenti non possono essere eliminati finché ciascuno non ha soddisfatto il periodo di conservazione minimo del bucket.
Il tentativo di completare un caricamento multiparte dell'API XML non riesce se l'oggetto risultante sovrascriverebbe un oggetto che non ha ancora raggiunto il periodo di conservazione.
Puoi utilizzare il vincolo relativo alle norme di conservazione nelle norme dell'organizzazione per richiedere che le norme di conservazione dei bucket con periodi di conservazione specifici vengano incluse durante la creazione di un nuovo bucket o durante l'aggiunta/l'aggiornamento delle norme di conservazione di un bucket esistente.

Periodi di conservazione

I periodi di conservazione sono misurati in secondi; tuttavia, alcuni strumenti, come la console e la CLI di Google Cloud, consentono di impostare e visualizzare i periodi di conservazione con altre unità di tempo per comodità.Google Cloud In questi casi si applicano le seguenti conversioni:

Un giorno è considerato pari a 86.400 secondi.
Una settimana è considerata di 7 giorni, ovvero 604.800 secondi.
Un mese è considerato di 31 giorni, ovvero 2.678.400 secondi.
Un anno è considerato di 365,25 giorni, ovvero 31.557.600 secondi.

Puoi impostare un periodo di conservazione massimo di 3.155.760.000 secondi (100 anni).

Interfaccia a riga di comando gcloud

Per gcloud CLI, devi specificare il periodo di conservazione utilizzando il seguente formato:

P#Y#M#W#DT#H#M#S

In questo formato, ogni # rappresenta un numero intero che specifichi, che deve essere seguito da un'unità di tempo. Le unità Y, W, D, H e S indicano rispettivamente anni, settimane, giorni, ore e secondi. M indica i mesi quando segue P, mentre M indica i minuti quando segue T.

Devi includere almeno una coppia unità-numero intero come parte del periodo di conservazione, ma puoi omettere le coppie unità-numero intero che non ti servono.

Ad esempio, P1DT720M imposta un periodo di conservazione di 1 giorno e 720 minuti (un giorno e mezzo).

Blocchi dei criteri di conservazione

Quando blocchi la policy di conservazione di un bucket, impedisci che la policy venga rimossa o che il periodo di conservazione venga ridotto (anche se puoi comunque aumentarlo). Se provi a rimuovere o ridurre la durata del criterio di un bucket bloccato, viene visualizzato un errore 400 BadRequestException. Una volta bloccata una policy di conservazione, non puoi eliminare il bucket finché ogni oggetto nel bucket non ha raggiunto il periodo di conservazione.

Il blocco della norma di conservazione di un bucket è irreversibile e devi conoscere le implicazioni di questa operazione prima di utilizzare questa funzionalità. Quando utilizzi un criterio sbloccato, puoi rimuoverlo, consentendoti di eliminare gli oggetti quando vuoi. Quando blocchi un criterio, devi eliminare l'intero bucket per "rimuovere" il criterio. Tuttavia, non puoi eliminare il bucket se contiene oggetti che non hanno completato il periodo di conservazione. Pertanto, per "rimuovere" una policy bloccata, devi attendere che ogni oggetto nel bucket abbia completato il periodo di conservazione, a quel punto puoi eliminare il bucket.

Inoltre, quando blocchi un criterio di conservazione, Cloud Storage applica automaticamente un vincolo all'autorizzazione projects.delete per il progetto che contiene il bucket. Finché è in vigore, il blocco impedisce l'eliminazione del progetto. Per eliminare il progetto, devi prima rimuovere tutti i privilegi. Tieni presente che la rimozione di un vincolo richiede l'autorizzazione resourcemanager.projects.updateLiens, che fa parte dei ruoli roles/owner e roles/resourcemanager.lienModifier.

Per informazioni su come il blocco di una norma di conservazione può aiutare i tuoi dati a rispettare i regolamenti sulla conservazione dei record, consulta la pagina sulla conformità.

Passaggi successivi

Scopri come utilizzare e bloccare le policy di conservazione.
Scopri di più sul blocco della conservazione degli oggetti e sui blocchi degli oggetti, che forniscono modi per proteggere i singoli oggetti dall'eliminazione.
Scopri di più sulla modalità di audit logging dettagliata, che può aiutarti anche con i requisiti normativi e di conformità.