Bloqueo de retención de objetos

Configuración

En esta página, se analiza la función de bloqueo de retención de objetos, que te permite establecer una configuración de retención en los objetos dentro de los buckets de Cloud Storage que habilitaron la función. Una configuración de retención rige por cuánto tiempo se debe retener el objeto y tiene la opción de evitar de forma permanente que se reduzca o se quite el tiempo de retención.

En conjunto con el modo de registro de auditoría detallado, que registra los detalles de las solicitudes y respuestas de Cloud Storage, Object Retention Lock te puede ayudar a cumplir los requisitos regulatorios y de cumplimiento, como los asociados con la FINRA, la SEC y la CFTC. También te puede ayudar a abordar las normativas en otras industrias, como la atención médica.

Descripción general

El bloqueo de retención de objetos te permite definir los requisitos de retención de datos por objeto. Esto difiere del bloqueo de buckets, que define los requisitos de retención de datos de manera uniforme para todos los objetos de un bucket. Con el bloqueo de retención de objetos, la configuración de retención que colocas en un objeto contiene las siguientes propiedades:

  • Un tiempo de retención que especifica una fecha y una hora hasta la cual se debe retener el objeto. Antes de este momento, el objeto no se puede borrar ni reemplazar. Ten en cuenta que un objeto que no alcanzó este tiempo de retención hasta que se pueda hacer no actual.

    • El tiempo de retención hasta tiene un valor máximo de 3,155,760,000 segundos (100 años) a partir de la fecha y hora actuales.
  • Un modo de retención que controla los cambios que puedes realizar en la configuración de retención.

    • Unlocked permite que los usuarios autorizados modifiquen o quiten la configuración de retención de un objeto sin limitaciones. En la API de XML, este modo se llama GOVERNANCE.

    • Locked evita que la fecha de retención se reduzca o se quite de forma permanente. Una vez establecido en Locked, el modo no se puede cambiar y el período de retención solo se puede aumentar. En la API de XML, este modo se llama COMPLIANCE.

    • El bloqueo de una configuración de retención puede ayudar a que tus datos cumplan las reglamentaciones de retención de registros.

Solo puedes establecer la configuración de retención en los objetos que residen en buckets que habilitaron la función.

  • Los buckets existentes solo pueden habilitar la función con la consola de Google Cloud.

  • Una vez habilitada, la función no se puede inhabilitar en un bucket.

  • Después de habilitar la función en un bucket, Cloud Storage aplica una retención al permiso projects.delete del proyecto que contiene el bucket, de la mejor manera posible. Para saber si se aplicó una retención, enumera todas las retenciones del proyecto.

    Mientras esté en vigor, esta retención impide que el proyecto se borre. Para borrar el proyecto, primero debes quitar la retención.

Consideraciones

  • Un bucket que contiene objetos retenidos no se puede borrar hasta que haya pasado el tiempo de retención hasta todos los objetos del bucket y se hayan borrado todos los objetos dentro de este.

  • Un objeto puede estar sujeto a su propia configuración de retención y a una política de retención de buckets general. Si es así, el objeto se retiene hasta que se cumplan ambas retenciones que se aplican a él.

  • Las solicitudes que intentan establecer una configuración de retención en un objeto que está sujeto a una conservación basada en eventos fallan.

    • Las solicitudes que establecen una configuración de retención para un objeto de forma simultánea y colocan una conservación basada en eventos en el objeto fallan de manera similar.

    • Un objeto puede tener una configuración de retención y una conservación temporal en simultáneo.

  • No puedes destruir versiones de claves de Cloud Key Management Service que encriptan objetos bloqueados si no cumplen con sus plazos de vencimiento de retención. Si deseas obtener más información, consulta Versiones de claves que se usan para encriptar objetos bloqueados.

  • Puedes usar la Administración del ciclo de vida de los objetos para borrar objetos automáticamente, pero una regla de ciclo de vida no borrará un objeto hasta que alcance su fecha de vencimiento de retención, incluso si se cumplieron las condiciones de la regla del ciclo de vida.

  • En los buckets que usan control de versiones de objetos, una versión de objeto activa que tenga un tiempo de retención hasta el futuro aún puede convertirse en no actual.

  • No debes establecer configuraciones de retención en objetos que son temporales, como partes de un componente de carga compuesta paralela.

  • Los metadatos editables de un objeto no están sujetos a la configuración de retención y pueden modificarse incluso cuando el objeto en sí no pueda modificarse.

¿Qué sigue?