Esta página foi traduzida pela API Cloud Translation.

Bloqueio de contentores

Esta página aborda a funcionalidade Bucket Lock, que lhe permite configurar a política de retenção de um contentor do Cloud Storage. Esta política rege o tempo durante o qual os objetos no contentor têm de ser retidos. A funcionalidade também permite bloquear a política de retenção do contentor, impedindo permanentemente que a política seja reduzida ou removida.

Esta funcionalidade pode oferecer armazenamento imutável no Cloud Storage. Em conjunto com o modo de registo de auditoria detalhado, que regista os detalhes de pedidos e respostas do Cloud Storage, o Bucket Lock pode ajudar com os requisitos regulamentares e de conformidade, como os associados à FINRA, à SEC e à CFTC. O bloqueio de contentores também pode ajudar a resolver determinados regulamentos de retenção da indústria de cuidados de saúde.

Vista geral

Pode adicionar uma política de retenção a um contentor para especificar um período de retenção.
- Quando é definida uma política de retenção de contentores, os objetos no contentor só podem ser eliminados ou substituídos quando a respetiva idade for superior ao período de retenção.
- A política aplica-se retroativamente aos objetos existentes no contentor, bem como aos novos objetos adicionados ao contentor. Isto difere da funcionalidade Bloqueio de retenção de objetos, que lhe permite definir requisitos de retenção de dados por objeto.
Pode bloquear a política de retenção de um contentor para a definir permanentemente no contentor.
- Depois de bloquear uma política, não pode removê-la nem reduzir o período de retenção que tem.
- Não pode eliminar um contentor com uma política bloqueada, a menos que todos os objetos no contentor tenham cumprido o período de retenção.
- Pode aumentar o período de retenção de uma política bloqueada.
Aviso: bloquear a política de retenção de um contentor é uma ação irreversível. Para mais informações, consulte o artigo Bloqueios da política de retenção.

Políticas de retenção de contentores

Pode incluir uma política de retenção quando criar um novo contentor ou adicionar uma política de retenção a um contentor existente. A aplicação de uma política de retenção a um contentor garante que todos os objetos atuais e futuros no contentor não podem ser eliminados nem substituídos até atingirem a idade que definir na política. As tentativas de eliminar ou substituir objetos cuja idade seja inferior ao período de retenção falham com um erro 403 - retentionPolicyNotMet.

Por exemplo, suponhamos que tem um contentor com dois objetos: o objeto A que adicionou há um mês e o objeto B que adicionou há dois anos. Se aplicar uma política de retenção ao seu contentor com um período de retenção de 1 ano, não pode eliminar nem substituir o objeto A durante mais 11 meses: tem atualmente 1 mês, mas tem de ter, pelo menos, 1 ano para poder ser eliminado ou substituído. Por outro lado, o objeto B pode ser eliminado ou substituído imediatamente, uma vez que a sua idade é superior ao período de retenção. Se decidiu substituir o objeto B, esta nova versão do objeto B tem uma idade que recomeça nos 0 anos.

Para ajudar a monitorizar quando os objetos individuais são elegíveis para eliminação, os objetos num contentor com uma política de retenção têm metadados de tempo de expiração da retenção. Esta parte dos metadados mostra a data e a hora em que um objeto cumpre o período de retenção.

Considerações gerais

Quando trabalhar com políticas de retenção, tenha em atenção o seguinte:

A menos que a política de retenção de um contentor esteja bloqueada, pode aumentar, diminuir ou remover a política.
Os metadados editáveis de um objeto não estão sujeitos à política de retenção de um contentor e podem ser modificados mesmo quando o próprio objeto não pode.
A política de retenção de um contentor contém uma hora de entrada em vigor, a hora após a qual todos os objetos no contentor têm a garantia de estar em conformidade com o período de retenção.
Para ver a data mais antiga em que um determinado objeto é elegível para eliminação num contentor com uma política de retenção, veja a parte data de validade da retenção dos metadados do objeto.

Considerações com outras funcionalidades

Seguem-se as interações que as políticas de retenção têm com outras funcionalidades do Cloud Storage:

Em contentores que usam a funcionalidade de controlo de versões de objetos, uma versão de objeto publicada que tenha uma data de validade da retenção no futuro pode continuar a ser tornada não atual, e todos os objetos com versões que existam no contentor no momento em que aplica uma política de retenção também estão protegidos pela política.
Não é possível eliminar um objeto sujeito a uma retenção baseada em eventos enquanto a retenção se aplicar ao mesmo. Assim que a retenção baseada em eventos for removida do objeto, o período de retenção do objeto é reposto.
Um objeto individual pode estar sujeito à política de retenção do contentor e à sua própria configuração de retenção individual. Se um objeto estiver sujeito a ambas, é retido até que ambas as retenções sejam satisfeitas.
Não pode destruir versões de chaves do Cloud Key Management Service que encriptam objetos em contentores bloqueados se os objetos não tiverem atingido os respetivos prazos de validade da retenção. Para mais informações, consulte o artigo Versões de chaves usadas para encriptar objetos bloqueados.
Pode usar a Gestão do ciclo de vida de objetos para eliminar automaticamente objetos num contentor, incluindo num contentor com uma política bloqueada. Uma regra do ciclo de vida não elimina um objeto até que o objeto cumpra a política de retenção.
Não deve fazer carregamentos compostos paralelos se o seu contentor tiver uma política de retenção, porque não é possível eliminar as partes componentes até que cada uma tenha cumprido o período de retenção mínimo do contentor.
A tentativa de concluir um carregamento multipartes da API XML falha se o objeto resultante substituir um objeto que ainda não cumpriu o período de retenção.
Pode usar a restrição da política de retenção nas suas políticas organizacionais para exigir que as políticas de retenção de contentores com períodos de retenção específicos sejam incluídas como parte da criação de um novo contentor ou como parte da adição/atualização da política de retenção num contentor existente.

Períodos de retenção

Os períodos de retenção são medidos em segundos. No entanto, algumas ferramentas, como a Google Cloud consola e a CLI do Google Cloud, permitem definir e ver períodos de retenção com outras unidades de tempo para maior conveniência. As seguintes conversões aplicam-se nesses casos:

Um dia é considerado como tendo 86 400 segundos.
Uma semana é considerada como tendo 7 dias, o que equivale a 604 800 segundos.
Um mês é considerado um período de 31 dias, ou seja, 2 678 400 segundos.
Um ano é considerado como tendo 365,25 dias, o que equivale a 31 557 600 segundos.

Pode definir um período de retenção máximo de 3 155 760 000 segundos (100 anos).

CLI gcloud

Para a CLI gcloud, deve especificar o período de retenção no seguinte formato:

P#Y#M#W#DT#H#M#S

Neste formato, cada # representa um número inteiro que especifica, que deve ser seguido de uma unidade de tempo. As unidades Y, W, D, H e S significam anos, semanas, dias, horas e segundos, respetivamente. M significa meses quando aparece depois de P, enquanto M significa minutos quando aparece depois de T.

Tem de incluir, pelo menos, um par de unidades inteiras como parte do período de retenção, mas pode omitir todos os pares de unidades inteiras de que não precisa.

Por exemplo, P1DT720M define um período de retenção de 1 dia e 720 minutos (um dia e meio).

Bloqueios da política de retenção

Quando bloqueia a política de retenção de um contentor, impede que a política seja removida ou que o período de retenção seja reduzido (embora possa aumentar o período de retenção). Se tentar remover ou reduzir a duração da política de um grupo de dados bloqueado, recebe um erro 400 BadRequestException. Quando uma política de retenção está bloqueada, não pode eliminar o contentor até que todos os objetos no contentor tenham cumprido o período de retenção.

O bloqueio da política de retenção de um contentor é irreversível e deve conhecer as implicações desta ação antes de usar esta funcionalidade. Quando usa uma política desbloqueada, tem a capacidade de remover a política, o que lhe permite continuar a eliminar objetos quando quiser. Quando bloqueia uma política, tem de eliminar o contentor completo para "remover" a política. No entanto, não pode eliminar o contentor se existirem objetos no mesmo que não tenham cumprido o respetivo período de retenção. Assim, para "remover" uma política bloqueada, tem de aguardar até que todos os objetos no contentor tenham cumprido o respetivo período de retenção, altura em que pode eliminar o contentor.

Além disso, quando bloqueia uma política de retenção, o Cloud Storage aplica automaticamente um vínculo à autorização projects.delete para o projeto que contém o contentor. Enquanto estiver em vigor, o bloqueio impede a eliminação do projeto. Para eliminar o projeto, tem de remover primeiro todas essas hipotecas. Tenha em atenção que a remoção de uma caução requer a autorização resourcemanager.projects.updateLiens, que faz parte das funções roles/owner e roles/resourcemanager.lienModifier.

Para obter informações sobre como o bloqueio de uma política de retenção pode ajudar os seus dados a agir em conformidade com os regulamentos de retenção de registos, consulte a página de conformidade.

O que se segue?

Aprenda a usar e bloquear políticas de retenção.
Saiba mais sobre o bloqueio de retenção de objetos e as retenções de objetos, que oferecem formas de proteger objetos individuais contra a eliminação.
Saiba mais sobre o modo de registo de auditoria detalhado, que também pode ajudar com os requisitos regulamentares e de conformidade.