Bloqueio de retenção de objetos

Configuração

Nesta página, você verá o recurso Bloqueio de retenção de objetos, que permite definir uma configuração de retenção para objetos nos buckets do Cloud Storage que ativaram o recurso. Uma configuração de retenção determina por quanto tempo o objeto precisa ser retido e tem a opção de impedir permanentemente que o tempo de retenção seja reduzido ou removido.

Ao ser usado com o Modo de registro de auditoria detalhado, que grava detalhes de solicitações e respostas do Cloud Storage, o bloqueio de retenção de objetos pode ajudar com requisitos regulatórios e de conformidade, como os referentes a FINRA, SEC e CFTC. Também pode ajudar a atender a regulamentações de outros setores, como da área da saúde.

Visão geral

O Bloqueio de retenção de objetos permite definir os requisitos de retenção de dados por objeto. Isso é diferente do Bloqueio de bucket, que define os requisitos de retenção de dados de maneira uniforme para todos os objetos em um bucket. Com o bloqueio de retenção de objetos, a configuração de retenção que você coloca em um objeto contém as seguintes propriedades:

• Um horário de retenção até que especifica uma data e hora até que o objeto precisa ser retido. Antes disso, não era possível excluir ou substituir o objeto. Observe que um objeto que não atingiu esse valor até o tempo ainda pode ser tornado não atual.

  • O período de retenção máxima tem um valor máximo de 3.155.760.000 segundos (100 anos) a partir da data e hora atuais.

• Um modo de retenção que controla as mudanças que você pode fazer na configuração de retenção.

  • Unlocked permite que usuários autorizados modifiquem ou removam a configuração de retenção de um objeto sem limitações. Na API XML, esse modo é denominado GOVERNANCE.

  • Locked impede permanentemente que a data de retenção seja reduzida ou removida. Depois de definido como Locked, não é possível mudar o modo, e o período de armazenamento só pode ser aumentado. Na API XML, esse modo é denominado COMPLIANCE.

  • Bloquear uma política de retenção pode ajudar seus dados a cumprir as regulamentações de retenção de registros.

Só é possível definir configurações de retenção em objetos que residem em buckets em que o recurso foi ativado.

• Os buckets atuais só podem ativar o recurso usando o console Google Cloud .

• Depois de ativado, o recurso não pode ser desativado em um bucket.

• Depois que você ativa o recurso em um bucket, o Cloud Storage aplica uma garantia à permissão projects.delete para o projeto que contém o bucket, com o melhor esforço possível. Para saber se uma garantia foi aplicada, liste todas as garantias do projeto.

  Enquanto estiver ativa, a garantia impede que o projeto seja excluído. Para excluir o projeto, primeiro remova a garantia.

Considerações

• Um bucket que contém objetos retidos não pode ser excluído até que o tempo de retenção de todos os objetos no bucket tenha passado e todos os objetos dentro do bucket tenham sido excluídos.

• Um objeto pode estar sujeito à própria configuração de retenção e a uma política geral de retenção de buckets. Se esse for o caso, o objeto será retido até que as retenções aplicáveis a ele sejam atendidas.

  • Para conferir a data mais próxima em que um objeto pode ser excluído, consulte os metadados de data de validade da retenção do objeto.

• As solicitações que tentam definir uma configuração de retenção em um objeto sujeito a uma retenção baseada em eventos falham.

  • As solicitações que definiriam simultaneamente uma configuração de retenção para um objeto e colocariam uma retenção baseada em evento no objeto também falham.

  • Um objeto pode ter simultaneamente uma configuração de retenção e uma retenção temporária.

• Não é possível destruir versões de chave do Cloud Key Management Service que criptografam objetos bloqueados quando esses objetos não atingiram os tempos de validade de retenção. Para mais informações, consulte Versões de chave usadas para criptografar objetos bloqueados.

• É possível usar o Gerenciamento do ciclo de vida de objetos para excluir objetos automaticamente, mas uma regra de ciclo de vida não excluirá um objeto até que ele atinja a data de validade da retenção, mesmo que as condições dela tenham sido atendidas.

• Em buckets que usam o controle de versões de objetos, uma versão ativa de objeto que tenha um período de retenção até no futuro ainda pode se tornar não atual.

• Não defina configurações de retenção em objetos temporários, como partes de um upload composto paralelo.

• Os metadados editáveis de um objeto não estão sujeitos à configuração de retenção e podem ser modificados mesmo quando o próprio objeto não pode ser.

A seguir

• Use retenções de objetos.
• Saiba mais sobre outros recursos do Cloud Storage que protegem objetos e controlam os ciclos de vida deles.
• Saiba mais sobre o Modo de registro de auditoria detalhado, que também pode ajudar com os requisitos regulatórios e de conformidade.