Désactiver la suppression réversible au niveau de l'organisation

Présentation Utilisation

Cette page explique comment désactiver la fonctionnalité de suppression réversible sur tous les buckets nouveaux et existants de votre organisation.

La suppression réversible est activée par défaut sur les nouveaux buckets pour éviter la perte de données. Si nécessaire, vous pouvez désactiver la suppression réversible pour les buckets existants en modifiant la règle de suppression réversible, et vous pouvez désactiver la suppression réversible par défaut pour les nouveaux buckets en définissant une balise par défaut pour l'ensemble de l'organisation. Notez qu'une fois la suppression réversible désactivée, vos données supprimées ne peuvent plus être récupérées, y compris en cas de suppression accidentelle ou malveillante.

Rôles requis

Pour obtenir les autorisations nécessaires pour désactiver la suppression temporaire, demandez à votre administrateur de vous accorder les rôles IAM suivants au niveau de l'organisation:

Ces rôles prédéfinis contiennent les autorisations requises pour désactiver la suppression réversible. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour désactiver la suppression réversible :

  • storage.buckets.get
  • storage.buckets.update
  • storage.buckets.list (cette autorisation n'est nécessaire que si vous prévoyez d'utiliser la console Google Cloud pour suivre les instructions de cette page)

    Pour connaître les autorisations requises incluses dans le rôle Administrateur de tags (roles/resourcemanager.tagAdmin), consultez la section Autorisations requises pour administrer des tags.

Pour en savoir plus sur l'attribution de rôles, consultez la section Utiliser IAM avec des buckets ou Gérer les accès aux projets.

Désactiver la suppression réversible lors de la création de futurs buckets

Bien que la suppression réversible soit activée par défaut pour les nouveaux buckets, vous pouvez empêcher son activation par défaut à l'aide de tags. Les balises utilisent la clé storage.defaultSoftDeletePolicy pour appliquer une stratégie de suppression réversible 0d (zéro jour) au niveau de l'organisation, ce qui désactive la fonctionnalité et empêche la conservation future des données supprimées.

Suivez les instructions ci-dessous pour désactiver la suppression réversible par défaut lorsque vous créez des buckets. Notez que les instructions suivantes ne reviennent pas à définir une règle d'administration qui exige une règle de suppression réversible particulière, ce qui signifie que vous pouvez toujours activer la suppression réversible sur des buckets spécifiques en spécifiant une règle si nécessaire.

  1. Créez le tag storage.defaultSoftDeletePolicy, qui permet de modifier la durée de conservation de la suppression réversible par défaut sur les nouveaux buckets. Remarque : Seul le nom du tag storage.defaultSoftDeletePolicy met à jour la durée de conservation de la suppression réversible par défaut.

    Créez une clé à l'aide de la commande gcloud resource-manager tags keys create :

     gcloud resource-manager tags keys create storage.defaultSoftDeletePolicy \
      --parent=organizations/ORGANIZATION_ID \
      --description="Configures the default softDeletePolicy for new Storage buckets."
    

    Remplacez les éléments suivants :

    • ORGANIZATION_ID: ID numérique de l'organisation pour laquelle vous souhaitez définir une durée de conservation pour la suppression réversible par défaut. Exemple :12345678901 Pour savoir comment trouver l'ID de l'organisation, consultez la section Obtenir l'ID de ressource de votre organisation.
  2. Créez une valeur de tag pour 0d (zéro jour) afin de désactiver par défaut la durée de conservation de la suppression réversible sur les nouveaux buckets à l'aide de la commande gcloud resource-manager tags values create :

      gcloud resource-manager tags values create 0d \
       --parent=ORGANIZATION_ID/storage.defaultSoftDeletePolicy \
       --description="Disables soft delete for new Storage buckets."
      done
    

    Remplacez les éléments suivants :

    • ORGANIZATION_ID: ID numérique de l'organisation pour laquelle vous souhaitez définir la durée de conservation pour la suppression réversible par défaut. Exemple :12345678901
  3. Associez le tag à votre ressource à l'aide de la commande gcloud resource-manager tags bindings create:

     gcloud resource-manager tags bindings create \
       --tag-value=ORGANIZATION_ID/storage.defaultSoftDeletePolicy/0d \
       --parent=RESOURCE_ID
    

    Remplacez les éléments suivants :

    • ORGANIZATION_ID: ID numérique de l'organisation sous laquelle le tag a été créé. Exemple : 12345678901.

    • RESOURCE_ID: nom complet de l'organisation pour laquelle vous souhaitez créer l'association de tag. Par exemple, pour associer un tag à organizations/7890123456, saisissez //cloudresourcemanager.googleapis.com/organizations/7890123456.

Désactiver la suppression réversible sur les buckets existants

Pour désactiver la suppression réversible sur les buckets existants, exécutez la commande gcloud storage buckets update avec l'option --clear-soft-delete :

   gcloud projects list --format="value(projectId)" | while read project
   do
     gcloud storage buckets update --project=PROJECT_ID --clear-soft-delete gs://*
   done
  

Remplacez les éléments suivants :

  • PROJECT_ID : nom du projet dont vous souhaitez désactiver la règle de suppression réversible.

Cloud Storage désactive la suppression réversible sur les buckets existants. Les objets qui ont déjà été supprimés de façon réversible restent dans les buckets jusqu'à la fin de leur durée de conservation de la suppression réversible, après quoi ils sont définitivement supprimés.

Étape suivante