Políticas de retención y bloqueos de las políticas de retención

Ir a ejemplos

En esta página, se detalla la función de bloqueo de depósitos, que te permite configurar una política de retención de datos para un depósito de Cloud Storage que regula por cuánto tiempo se retienen los objetos en el depósito. Esta función también te permite bloquear la política de retención de datos para evitar de forma permanente que se reduzca o se quite.

Esta función puede proporcionar almacenamiento inmutable en Cloud Storage. En conjunto con el modo de registro de auditoría detallado, que registra los detalles de las solicitudes y respuestas de Cloud Storage, el bloqueo de depósitos puede ayudar a cumplir los requisitos regulatorios y de cumplimiento, como los asociados con la FINRA, la SEC y la CFTC. El bloqueo de depósitos también puede ayudarte a abordar ciertas normas de retención de la industria del cuidado de la salud.

Descripción general

  • Puedes agregar una política de retención a un depósito para especificar un período de retención.

    • Si un depósito no tiene una política de retención, puedes borrar o reemplazar objetos en el depósito en cualquier momento.

    • Si un depósito tiene una política de retención, sus objetos solo se pueden borrar o reemplazar una vez que su antigüedad sea mayor que el período de retención.

    • Una política de retención se aplica de forma retroactiva a los objetos existentes en el depósito, como también a los objetos nuevos que se agreguen después.

  • Puedes bloquear una política de retención para establecerla de forma permanente en el depósito.

    • Una vez que bloquees una política de retención, no puedes quitarla ni reducir su período de retención.

    • No puedes borrar un depósito con una política de retención bloqueada, a menos que cada objeto del depósito cumpla el período de retención.

    • Puedes aumentar el período de retención de una política de retención bloqueada.

    • Bloquear una política de retención puede ayudar a que tus datos cumplan las normas de retención de registros.

Políticas de retención

Puedes incluir una política de retención cuando creas un depósito nuevo o puedes agregar una política de retención a un depósito existente. Agregar una política de retención a un depósito garantiza que todos sus objetos actuales y futuros no se puedan borrar ni reemplazar hasta que alcancen la antigüedad definida. Los intentos de borrar o reemplazar los objetos cuya antigüedad sea menor al período de retención fallarán con un error 403 - retentionPolicyNotMet.

Por ejemplo, supongamos que tienes un depósito con dos objetos: el Objeto A, que se agregó hace un mes, y el Objeto B, que se agregó hace dos años. Si aplicas una política de retención a tu depósito con un período de retención de 1 año, no puedes borrar o reemplazar el Objeto A durante otros 11 meses: en la actualidad tiene 1 mes, pero debe tener al menos 1 año para borrarlo o reemplazarlo. El Objeto B, por otro lado, se puede borrar o reemplazar de inmediato, ya que su antigüedad es mayor que el período de retención. Si decides reemplazar el Objeto B, esta nueva versión tendrá una antigüedad de 0 años.

Para facilitar el seguimiento de cuándo se pueden borrar los objetos individuales, los objetos de un depósito con una política de retención tienen metadatos de vencimiento de retención. Estos metadatos muestran la fecha y hora en que un objeto cumple el período de retención.

Cuando trabajes con políticas de retención, ten en cuenta lo siguiente:

  • A menos que la política de retención esté bloqueada, puedes aumentarla, reducirla o quitarla del depósito.

  • Cambiar una política de retención se considera una sola operación de Clase A, sin importar el número de objetos afectados.

  • Los metadatos editables de un objeto no están sujetos a la política de retención y pueden modificarse incluso cuando el objeto en sí no pueda modificarse.

  • Una política de retención contiene un tiempo efectivo, luego del cual se garantiza que todos los objetos del depósito cumplen con el período de retención.

  • Para ver la fecha más temprana en la que un objeto determinado puede borrarse en un depósito con una política de retención, consulta la parte correspondiente a la fecha de vencimiento de la retención de los metadatos del objeto.

  • Las políticas de retención y el control de versiones de objetos son funciones excluyentes entre sí en Cloud Storage: en un depósito determinado, solo se puede habilitar una de ellas a la vez. Todos los objetos con control de versiones que se encuentran en un depósito cuando aplicas una política de retención también quedan protegidos por ella.

  • Puedes usar la Administración del ciclo de vida de los objetos para borrar de forma automática los objetos de un depósito, incluso en uno que tenga una política bloqueada. Una regla de ciclo de vida no borrará un objeto hasta que cumpla la política de retención.

  • No debes realizar cargas compuestas paralelas si tu depósito tiene una política de retención, ya que las partes de los componentes no se pueden borrar hasta que cada una haya cumplido con el período de retención mínimo del depósito.

  • Puedes usar la restricción de la política de retención en las políticas de la organización para exigir que las políticas de retención con períodos de retención específicos se incluyan como parte de la creación de un depósito nuevo o como parte de la adición o actualización de una política de retención en un depósito existente.

Períodos de retención

Los períodos de retención se miden en segundos. Sin embargo, algunas herramientas, como Google Cloud Console y gsutil, te permiten configurar y ver los períodos con otras unidades de tiempo para obtener una mayor comodidad. En esos casos, se aplican las siguientes conversiones:

  • Un día son 86,400 segundos.
  • Un mes son 31 días, o 2,678,400 segundos.
  • Un año son 365.25 días, o 31,557,600 segundos.

Puedes establecer un período de retención máximo de 3,155,760,000 segundos (100 años).

Para gsutil, cuando especificas un período de retención, debes usar un formato [NUMBER][UNIT], en el que [UNIT] puede ser sdmy, que indican segundos, días, meses o años, respectivamente. Solo se puede usar una unidad de tiempo en un comando. Por ejemplo, puedes usar 86400s o 1d, pero no puedes usar 1d30s.

Bloqueos de políticas de retención

Cuando bloqueas una política de retención en un depósito, impides que la política se pueda quitar o que el período de retención se reduzca (aunque este período se puede aumentar). Si intentas quitar o reducir la duración de la política de un depósito bloqueado, recibirás un error 400 BadRequestException. Una vez que se bloquea una política de retención, no puedes borrar el depósito hasta que todos sus objetos cumplan con el período de retención.

El bloqueo de una política de retención es irreversible y debes estar familiarizado con sus implicaciones antes de usar esta función. Cuando usas una política de retención desbloqueada, tienes la capacidad de quitarla, lo que te permite borrar los objetos cuando lo desees. Cuando bloqueas una política de retención, debes borrar todo el depósito para “quitar” la política. Sin embargo, no puedes borrar el depósito si contiene objetos que no cumplieron su período de retención. Por lo tanto, para “quitar” una política de retención bloqueada, debes esperar hasta que todos los objetos del depósito cumplan con su período de retención, tras lo cual podrás borrar el depósito.

Además, cuando bloqueas una política de retención, Cloud Storage aplica de forma automática una retención al permiso projects.delete del proyecto que contiene el depósito. Mientras esté en vigor, esta retención impide que el proyecto se borre. Para borrar el proyecto, primero debes quitar estas retenciones. Ten en cuenta que para quitar una retención, necesitas el permiso resourcemanager.projects.updateLiens, que forma parte de las funciones roles/owner y roles/resourcemanager.lienModifier.

Para obtener información sobre cómo el bloqueo de una política de retención puede ayudar a que tus datos cumplan con las normas de retención de registros, consulta la página de cumplimiento.

Próximos pasos