Questa pagina illustra la funzionalità Blocco di bucket, che consente di configurare il criterio di conservazione di un bucket Cloud Storage. Questo criterio regola per quanto tempo devono essere conservati gli oggetti nel bucket. La funzionalità ti consente inoltre di bloccare il criterio di conservazione del bucket, impedendone in modo permanente la riduzione o la rimozione.
Questa funzionalità può fornire archiviazione immutabile su Cloud Storage. In combinazione con la modalità di audit logging dettagliata, che registra i dettagli delle richieste e delle risposte di Cloud Storage, il blocco dei bucket può essere utile per i requisiti normativi e di conformità, come quelli associati a FINRA, SEC e CFTC. Il blocco dei bucket può anche aiutarti a rispettare determinate normative di conservazione del settore sanitario.
Panoramica
Puoi aggiungere un criterio di conservazione a un bucket per specificare un periodo di conservazione.
Quando è impostato un criterio di conservazione del bucket, gli oggetti al suo interno possono essere eliminati o sostituiti solo se la loro età è superiore al periodo di conservazione.
Il criterio viene applicato in modo retroattivo agli oggetti esistenti nel bucket, nonché ai nuovi oggetti aggiunti al bucket. È diverso dalla funzionalità Blocco conservazione oggetti, che consente di definire i requisiti di conservazione dei dati in base all'oggetto.
Puoi bloccare il criterio di conservazione di un bucket in modo che venga impostato definitivamente sul bucket.
Una volta bloccata una policy, non puoi rimuoverla né ridurre il relativo periodo di conservazione.
Non puoi eliminare un bucket con un criterio bloccato, a meno che tutti gli oggetti nel bucket non abbiano soddisfatto il periodo di conservazione.
Puoi aumentare il periodo di conservazione di un criterio bloccato.
Criteri di conservazione dei bucket
Puoi includere un criterio di conservazione durante la creazione di un nuovo bucket oppure puoi
aggiungere un criterio di conservazione a un bucket esistente. L'applicazione di un criterio di conservazione a un
bucket garantisce che tutti gli oggetti attuali e futuri del bucket non possano essere
eliminati o sostituiti finché non raggiungono l'età che definisci nel criterio. I tentativi di eliminare o sostituire gli oggetti la cui età è inferiore al periodo di conservazione non vanno a buon fine con un errore 403 - retentionPolicyNotMet
.
Ad esempio, supponiamo che tu abbia un bucket contenente due oggetti: l'oggetto A che hai aggiunto un mese fa e l'oggetto B che hai aggiunto due anni fa. Se applichi al bucket una policy di conservazione con un periodo di conservazione di 1 anno, non puoi eliminare o sostituire l'oggetto A per altri 11 mesi: al momento è trascorso 1 mese, ma deve essere trascorso almeno 1 anno per poterlo eliminare o sostituire. L'oggetto B, invece, può essere eliminato o sostituito immediatamente, poiché la sua età è superiore al periodo di conservazione. Se hai deciso di sostituire l'oggetto B, la nuova versione dell'oggetto B avrà un'età che ricomincia da 0 anni.
Per monitorare quando i singoli oggetti sono idonei per l'eliminazione, gli oggetti in un bucket con un criterio di conservazione hanno tutti metadati relativi alla scadenza della conservazione. Questo metadato mostra la data e l'ora in cui un oggetto soddisfa il periodo di conservazione.
Considerazioni generali
Quando utilizzi i criteri di conservazione, tieni presente quanto segue:
A meno che il criterio di conservazione di un bucket non sia bloccato, puoi aumentarlo, diminuirlo o rimuoverlo.
I metadati modificabili di un oggetto non sono soggetti alle norme di conservazione di un bucket e possono essere modificati anche quando l'oggetto stesso non può esserlo.
Il criterio di conservazione di un bucket contiene un'ora di validità, l'ora dopo la quale è garantito che tutti gli oggetti del bucket siano conformi al periodo di conservazione.
Per visualizzare la data più antica in cui un determinato oggetto è idoneo per l'eliminazione in un bucket con un criterio di conservazione, visualizza la parte relativa alla data di scadenza della conservazione dei metadati dell'oggetto.
Considerazioni relative ad altre funzionalità
Di seguito sono riportate le interazioni dei criteri di conservazione con altre funzionalità di Cloud Storage:
Nei bucket che utilizzano il controllo delle versioni degli oggetti, una versione dell'oggetto attiva con una data di scadenza della conservazione futura può comunque essere impostata come non corrente e tutti gli oggetti con controllo delle versioni esistenti nel bucket al momento dell'applicazione di un criterio di conservazione sono protetti anche dal criterio.
Un oggetto soggetto a un blocco basato su eventi non può essere eliminato mentre il blocco è attivo. Una volta rimosso il blocco basato su eventi dall'oggetto, il periodo di conservazione dell'oggetto viene reimpostato.
Un singolo oggetto può essere soggetto al criterio di conservazione del bucket e alla propria configurazione di conservazione. Se un oggetto è soggetto a entrambi, viene conservato finché non sono state soddisfatte entrambe le condizioni di conservazione.
Non puoi eliminare le versioni delle chiavi di Cloud Key Management Service che criptano gli oggetti nei bucket bloccati se gli oggetti non hanno raggiunto i tempi di scadenza della conservazione. Per ulteriori informazioni, vedi Versioni delle chiavi utilizzate per criptare gli oggetti bloccati.
Puoi utilizzare la Gestione del ciclo di vita degli oggetti per eliminare automaticamente gli oggetti in un bucket, anche in un bucket con un criterio bloccato. Una regola del ciclo di vita non elimina un oggetto finché non adempie al criterio di conservazione.
Non devi eseguire caricamenti compositi paralleli se il tuo bucket ha un criterio di conservazione, perché i componenti non possono essere eliminati finché ciascuno non ha raggiunto il periodo di conservazione minimo del bucket.
Il tentativo di completare un caricamento multiparte dell'API XML non va a buon fine se l'oggetto risultante sovrascriverà un oggetto che non ha ancora completato il periodo di conservazione.
Puoi utilizzare il vincolo del criterio di conservazione nei criteri dell'organizzazione per richiedere che i criteri di conservazione dei bucket con periodi di conservazione specifici vengano inclusi durante la creazione di un nuovo bucket o durante l'aggiunta/l'aggiornamento del criterio di conservazione di un bucket esistente.
Periodi di conservazione
I periodi di conservazione vengono misurati in secondi. Tuttavia, alcuni strumenti, come la console Google Cloud e l'interfaccia a riga di comando Google Cloud, ti consentono di impostare e visualizzare i periodi di conservazione con altre unità di tempo per comodità. In questi casi si applicano le seguenti conversioni:
- Un giorno è considerato pari a 86.400 secondi.
- Un mese è considerato di 31 giorni, ovvero 2.678.400 secondi.
- Un anno è considerato composto da 365,25 giorni, ovvero 31.557.600 secondi.
Puoi impostare un periodo di conservazione massimo di 3.155.760.000 secondi (100 anni).
Per lgcloud CLI, quando specifichi un periodo di conservazione, devi specificare un numero intero e un'unità, dove l'unità può essere s
, d
, m
o y
per indicare rispettivamente secondi, giorni, mesi o anni. Ad esempio, 1d43200s
imposta un periodo di conservazione di 1 giorno e 43.200 secondi (un giorno e mezzo).
Blocchi dei criteri di conservazione
Quando blocchi il criterio di conservazione di un bucket, ne impedisci la rimozione o la riduzione del periodo di conservazione (anche se puoi comunque aumentarlo). Se provi a rimuovere o ridurre la durata del criterio di un bucket bloccato, viene visualizzato un messaggio di errore 400 BadRequestException
. Una volta bloccata una policy di conservazione, non puoi eliminare il bucket finché ogni oggetto al suo interno non ha raggiunto il periodo di conservazione.
Il blocco del criterio di conservazione di un bucket è irreversibile e devi conoscere le implicazioni di questa operazione prima di utilizzare questa funzionalità. Quando utilizzi un criterio sbloccato, puoi rimuoverlo, il che ti consente di eliminare gli oggetti quando vuoi. Quando blocchi un criterio, devi eliminare l'intero bucket per "rimuoverlo". Tuttavia, non puoi eliminare il bucket se contiene oggetti che non hanno ancora terminato il loro periodo di conservazione. Pertanto, per "rimuovere" una policy bloccata, devi attendere che ogni oggetto nel bucket abbia completato il proprio periodo di conservazione, dopodiché potrai eliminare il bucket.
Inoltre, quando blocchi un criterio di conservazione, Cloud Storage applica automaticamente un blocco all'autorizzazione projects.delete
per il progetto che contiene il bucket. Se è attivo, il blocco impedisce l'eliminazione del progetto. Per eliminare il progetto, devi prima rimuovere tutti questi vincoli.
Tieni presente che la rimozione di un blocco richiede l'autorizzazione resourcemanager.projects.updateLiens
, che fa parte dei ruoli roles/owner
e roles/resourcemanager.lienModifier
.
Per informazioni su come il blocco di un criterio di conservazione può contribuire a rendere i dati conformi alle normative sulla conservazione dei record, visita la pagina relativa alla conformità.
Passaggi successivi
- Scopri come utilizzare e bloccare i criteri di conservazione.
- Scopri di più sul blocco della conservazione degli oggetti e sulle sospensioni degli oggetti, che forniscono modi per proteggere i singoli oggetti dall'eliminazione.
- Scopri di più sulla modalità di audit logging dettagliata, che può essere utile anche per i requisiti normativi e di conformità.