Règles de conservation utilisant des verrous de bucket

Cette page présente la fonctionnalité de verrou de bucket, qui permet de configurer des règles de conservation des données associées à un bucket Cloud Storage, lesquelles déterminent la durée de conservation des objets dans le bucket. Cette fonctionnalité permet également de verrouiller les règles de conservation des données, empêchant ainsi la suppression de ces règles ou la réduction de leur durée. Pour consulter des exemples d'utilisation, reportez-vous à la page Utiliser des règles de conservation et des verrous de bucket.

Cette fonctionnalité peut assurer un stockage immuable sur Cloud Storage. Les verrous de bucket permettent de répondre aux exigences réglementaires et de conformité, telles que les règles édictées en la matière par la FINRA, la SEC et la CFTC. Les verrous de bucket peuvent également vous aider à respecter certaines réglementations applicables à la conservation des données médicales.

Présentation

  • Vous pouvez ajouter une règle de conservation à un bucket en vue de spécifier une durée de conservation.

    • Si une règle de conservation est appliquée à un bucket, les objets qu'il contient ne peuvent être supprimés ou remplacés que lorsque leur ancienneté est supérieure à la durée de conservation.

    • Une règle de conservation s'applique rétroactivement aux objets existants dans le bucket, ainsi qu'aux objets qui y sont ajoutés.

  • Vous pouvez verrouiller une règle de conservation de façon à la définir de manière permanente sur le bucket.

    • Une fois que vous avez verrouillé une règle de conservation, vous ne pouvez plus la supprimer ni réduire la durée de conservation définie.

    • Vous ne pouvez pas supprimer un bucket associé à une règle de conservation verrouillée, à moins que chaque objet qu'il contient n'ait atteint la date limite de conservation.

    • Vous pouvez augmenter la durée de conservation associée à une règle de conservation verrouillée.

    • Le verrouillage d'une règle de conservation peut vous aider à respecter les réglementations en matière de conservation des documents.

  • Vous pouvez placer des préservations à titre conservatoire sur des objets spécifiques afin d'empêcher leur suppression ou leur remplacement.

Règles de conservation

Une règle de conservation peut être placée au moment de la création d'un bucket. Vous pouvez également ajouter une règle de conservation à un bucket existant. Le fait de placer une règle de conservation sur un bucket garantit que tous les objets actuels et futurs qu'il contient ne seront ni supprimés, ni remplacés tant qu'ils n'auront pas atteint l'ancienneté que vous avez définie dans la règle. Les tentatives de suppression ou de remplacement des objets dont l'ancienneté est inférieure à la durée de conservation échouent en générant une erreur 403 - retentionPolicyNotMet.

Par exemple, supposons que vous ayez un bucket contenant deux objets : l'objet A que vous avez ajouté il y a un mois et l'objet B que vous avez ajouté il y a deux ans. Si vous appliquez une règle de conservation au bucket avec une durée de conservation d'un an, vous ne pourrez pas supprimer ni écraser l'objet A pendant 11 mois. En effet, son ancienneté n'étant que d'un mois, vous devez attendre que celle-ci soit d'au moins un an pour pouvoir supprimer ou écraser l'objet. L'objet B, en revanche, peut être supprimé ou remplacé immédiatement, car son ancienneté est supérieure à la durée de conservation. Si vous décidez de remplacer l'objet B, l'ancienneté de sa nouvelle version redémarre de zéro.

Des métadonnées indiquant le délai d'expiration de la conservation sont associées à chaque objet pour indiquer à quel moment un objet individuel peut être supprimé d'un bucket soumis à une règle de conservation. Ces métadonnées contiennent la date et l'heure auxquelles l'objet aura rempli les conditions de durée de conservation.

Lorsque vous utilisez des règles de conservation, gardez à l'esprit les points suivants :

  • Si la règle de conservation n'est pas verrouillée, vous pouvez la supprimer d'un bucket, ou augmenter ou réduire sa durée.

  • La modification d'une règle de conservation est considérée comme une opération de classe A unique, quel que soit le nombre d'objets concernés.

  • Les métadonnées modifiables d'un objet ne sont pas soumises à la règle de conservation. Vous pouvez donc les modifier, même si l'objet lui-même ne peut pas l'être.

  • Une règle de conservation contient une date d'entrée en vigueur, soit le moment auquel tous les objets du bucket sont garantis conformes à la durée de conservation.

  • Pour connaître la date la plus proche à laquelle un objet donné peut être supprimé d'un bucket soumis à une règle de conservation, affichez la partie correspondant à la date d'expiration de la conservation dans les métadonnées de l'objet.

  • Dans Cloud Storage, les règles de conservation et la gestion des versions d'objets sont des fonctionnalités qui s'excluent mutuellement : pour un bucket donné, une seule d'entre elles peut être activée à la fois. Lorsque vous appliquez une règle de conservation, tous les objets avec versions gérées restant dans un bucket sont également protégés par cette règle.

  • Vous pouvez utiliser la fonctionnalité de gestion du cycle de vie des objets pour supprimer automatiquement des objets d'un bucket, y compris lorsqu'une règle verrouillée est appliquée. Une règle de cycle de vie ne supprime un objet que si les conditions de durée de conservation ont été remplies.

  • Dans les règles d'administration, vous utilisez des contraintes qui imposent des règles de conservation assorties de durées de conservation spécifiques lors de la création d'un bucket ou de l'ajout/la mise à jour de la règle de conservation pour un bucket existant. Pour en savoir plus, y compris sur les instructions relatives à la définition de cette règle d'organisation, consultez la page Définir des règles d'organisation.

Durées de conservation

Les durées de conservation sont mesurées en secondes. Cependant, certains outils, tels que la console Google Cloud Platform et l'outil gsutil, vous permettent de définir et d'afficher des durées de conservation dans d'autres unités de temps pour plus de commodité. Les conversions suivantes s'appliquent dans de tels cas :

  • Une journée correspond à 86 400 secondes.
  • Un mois correspond à 31 jours, soit 2 678 400 secondes.
  • Une année correspond à 365,25 jours, soit 31 557 600 secondes.

Vous pouvez définir une durée de conservation maximale de 3 155 760 000 secondes (100 ans).

Concernant gsutil, lorsque vous spécifiez une durée de conservation, vous utilisez un format [NUMBER][UNIT], où [UNIT] peut être s, m, d ou y pour indiquer les secondes, les minutes, les jours ou les années. Une seule unité de temps peut être utilisée dans une commande. Par exemple, vous pouvez utiliser 900s ou 15m, mais pas 15m30s.

Verrous des règles de conservation

Lorsque vous verrouillez une règle de conservation sur un bucket, vous interdisez sa suppression ou la réduction de sa durée de conservation (celle-ci, en revanche, pouvant toujours être augmentée). Si vous essayez de supprimer une règle ou d'en réduire la durée sur un bucket verrouillé, vous obtenez une erreur 400 BadRequestException. Une fois qu'une règle de conservation est verrouillée, vous ne pouvez pas supprimer le bucket tant que la durée de conservation de chaque objet qu'il contient n'est pas écoulée.

Le verrouillage d'une règle de conservation est irréversible. Il est important de connaître les implications d'une telle opération avant d'utiliser cette fonctionnalité. Lorsque vous utilisez une règle de conservation déverrouillée, vous avez la possibilité de la supprimer, et donc de supprimer des objets quand vous le souhaitez. Lorsque vous verrouillez une règle de conservation, vous devez supprimer l'intégralité du bucket afin de "supprimer" la règle. Cependant, vous ne pouvez pas supprimer le bucket s'il contient des objets dont les conditions de durée de conservation ne sont pas remplies. Ainsi, pour "supprimer" une règle de conservation verrouillée, vous devez attendre que chaque objet du bucket ait atteint sa date limite de conservation, auquel cas vous pouvez supprimer le bucket.

En outre, lorsque vous verrouillez une règle de conservation, Cloud Storage applique automatiquement un privilège à l'autorisation projects.delete du projet contenant le bucket. Une fois en place, le privilège empêche la suppression du projet. Pour supprimer le projet, vous devez d'abord supprimer tous ces privilèges. Notez que la suppression d'un privilège nécessite l'autorisation resourcemanager.projects.updateLiens, qui fait partie des rôles roles/owner et roles/resourcemanager.lienModifier.

Pour connaître en détail la manière dont le verrouillage d'une règle de conservation facilite le respect des réglementations en matière de conservation des données, consultez la section relative à la conformité.

Préservations d'objets à titre conservatoire

Les préservations d'objets à titre conservatoire sont des indicateurs de métadonnées que vous placez sur des objets individuels. Lorsqu'un objet est soumis à une préservation à titre conservatoire, il ne peut pas être supprimé. Cloud Storage propose deux types de préservations à titre conservatoire :

  • Préservations basées sur des événements
  • Réservations temporaires

Les préservations basées sur des événements peuvent être utilisées conjointement avec une règle de conservation pour contrôler la durée de conservation en fonction de la survenue de certains événements, tels que la conservation de documents de prêt pendant une certaine période après remboursement. Les préservations temporaires peuvent être appliquées à des fins d'enquêtes administratives ou judiciaires, telles que l'obligation légale de produire des documents commerciaux sur injonction légale.

Un objet peut être soumis à un seul type de préservation ou aux deux. Ceux-ci se comportent de la même manière si l'objet se trouve dans un bucket non soumis à une règle de conservation. Sinon, les incidences sur l'objet sont différentes une fois la préservation levée :

  • Une préservation basée sur des événements réinitialise l'ancienneté de l'objet dans le bucket pour les besoins de la durée de conservation.
  • Une préservation temporaire n'affecte pas l'ancienneté de l'objet dans le bucket pour les besoins de la durée de conservation.

Exemple

Supposons que vous ayez deux objets dans un bucket, l'objet A et l'objet B, avec une durée de conservation d'un an. Lorsque vous avez ajouté les objets au bucket, vous avez placé une préservation basée sur des événements sur l'objet A et une préservation temporaire sur l'objet B. Une année s'est écoulée et, alors que vous pourriez normalement les supprimer tous les deux à ce stade, vous ne le pouvez pas en raison de ces préservations.

Imaginons que vous décidiez maintenant de lever les préservations sur les deux objets. Concernant l'objet A, l'ancienneté dans le bucket repart de zéro pour les besoins de la durée de conservation. Autrement dit, l'objet doit rester dans le bucket encore un an avant de pouvoir être supprimé ou remplacé. L'objet B, en revanche, peut être immédiatement supprimé ou remplacé, car la préservation temporaire n'a aucune incidence sur sa durée de conservation.

Activer par défaut la propriété de préservation à titre conservatoire basée sur des événements

En plus de placer des préservations à titre conservatoire sur des objets individuels, vous pouvez activer la propriété par défaut de préservation basée sur des événements sur votre bucket. Dans ce cas, une préservation basée sur des événements est placée automatiquement sur chaque objet ajouté par la suite au bucket.

Ce comportement est utile lorsque vous souhaitez qu'un objet demeure dans le bucket pendant un certain temps après la survenue d'un événement spécifique. Par exemple, le bucket peut être destiné à stocker des documents de prêt que vous devez conserver pendant un certain nombre d'années après le remboursement. Avec une règle de conservation appropriée et la propriété de préservation basée sur des événements activée sur le bucket, cette préservation est appliquée lorsque vous importez un document de prêt dans le bucket. Une fois le prêt remboursé, vous pouvez lever la préservation. La règle de conservation garantit ainsi que le document de prêt restera stocké dans le bucket et ne pourra pas être modifié tant que les conditions de durée de conservation définies par la règle ne sont pas remplies.

Conformité

Les établissements financiers tels que les banques, les courtiers et les détenteurs de dossiers basés aux États-Unis sont tenus de respecter les réglementations en matière de conservation des documents électroniques, y compris concernant la durée de rétention, le format, la qualité et la disponibilité des documents. Ces réglementations spécifiques incluent les suivantes :

Si un client Google Cloud constate que l'une des réglementations susmentionnées est applicable à sa situation, il doit effectuer sa propre évaluation de conformité avec les exigences concernées, sous la supervision de son conseiller juridique et de son autorité de réglementation financière. Pour faciliter votre processus d'évaluation, Google Cloud a fait appel à Cohasset Associates, Inc. ("Cohasset"), qui offre une évaluation indépendante et objective des fonctionnalités de conformité de Google Cloud Storage. Cohasset a déclaré que Cloud Storage, lorsqu'il est correctement configuré et utilisé avec la fonctionnalité de verrou de bucket, peut aider les utilisateurs à se conformer aux réglementations américaines en matière de conservation des documents, telles que les règles SEC 17a-4(f), CFTC 1.31(c)-(d) et FINRA 4511(c). La fonctionnalité de verrou de bucket de Cloud Storage comprend des codes de contrôle intégrés qui permettent de fournir un stockage immuable de type WORM (Write Once Read Many) sur Cloud Storage. Pour consulter le rapport, cliquez ici.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.