버킷 잠금을 사용하는 보관 정책

이 페이지에서는 버킷의 객체를 보관해야 하는 기간을 관리하는 Cloud Storage 버킷에 대한 데이터 보관 정책을 구성할 수 있는 버킷 잠금 기능에 대해 설명합니다. 이 기능을 사용하면 데이터 보관 정책을 잠글 수 있어 정책이 축소되거나 삭제되는 것을 영구적으로 방지할 수 있습니다. 이 기능의 사용 예시는 보관 정책 및 버킷 잠금 사용을 참조하세요.

이 기능은 Cloud Storage에 변경할 수 없는 스토리지를 제공합니다. 버킷 잠금은 FINRA, SEC, CFTC와 관련된 요구사항과 같은 규제 및 규정 준수 요구사항을 충족하는 데 유용합니다. 버킷 잠금은 또한 특정한 의료업계의 보관 규정을 준수하는 데도 도움이 됩니다.

개요

  • 버킷에 보관 정책을 추가하여 보관 기간을 지정할 수 있습니다.

    • 버킷에 보관 정책이 있는 경우 보관 기간보다 오래된 버킷의 객체만 삭제하거나 덮어쓸 수 있습니다.

    • 보관 정책은 버킷의 기존 객체뿐만 아니라 버킷에 추가된 새 객체에도 소급해서 적용됩니다.

  • 보관 정책을 잠그면 버킷에 해당 정책을 영구적으로 설정할 수 있습니다.

    • 보관 정책을 잠그면 보관 정책을 삭제하거나 보관 기간을 줄일 수 없습니다.

    • 보관 정책이 잠긴 버킷은 버킷의 모든 객체가 보관 기간을 충족해야만 삭제할 수 있습니다.

    • 잠긴 보관 정책의 보관 기간을 늘릴 수 있습니다.

    • 보관 정책을 잠그면 데이터가 레코드 보관 규정을 준수하도록 하는 데 도움이 됩니다.

  • 개별 객체에 보존 조치를 적용하여 삭제되거나 덮어써지지 않도록 할 수 있습니다.

보관 정책

새 버킷을 만들 때 보관 정책을 포함하거나 기존 버킷에 보관 정책을 추가할 수 있습니다. 버킷에 보관 정책을 적용하면 버킷에서 현재 및 이후의 모든 객체가 보관 정책에 정의된 기간에 도달할 때까지 삭제되거나 덮어써지지 않습니다. 보관 기간에 도달하지 않은 객체를 삭제하거나 덮어쓰려고 하면 403 - retentionPolicyNotMet 오류와 함께 실패합니다.

예를 들어 한 달 전에 추가한 객체 A와 2년 전에 추가한 객체 B라는 두 객체가 있는 버킷이 있다고 가정해 보겠습니다. 버킷에 보관 기간이 1년인 보관 정책을 적용하면 향후 11개월 동안 객체 A를 삭제하거나 덮어쓸 수 없습니다. 객체 A는 현재 1개월이 지났으며 최소한 1년은 지나야 삭제하거나 덮어쓸 수 있습니다. 반면 객체 B는 보관 기간을 경과했기 때문에 즉시 삭제하거나 덮어쓸 수 있습니다. 객체 B를 덮어쓰기로 한 경우 새 버전의 객체 B는 경과 기간이 0년으로 재설정됩니다.

개별 객체를 삭제할 수 있는 시기를 편리하게 추적할 수 있도록 보관 정책이 적용된 버킷의 객체에는 각각 보관 만료 시간 메타데이터가 있습니다. 이러한 메타데이터는 객체의 보관 기간이 만료되는 날짜 및 시간을 보여줍니다.

보관 정책을 사용할 때 다음 사항에 유의하세요.

  • 보관 정책이 잠금 상태가 아니라면 버킷의 보관 정책을 늘리거나, 줄이거나, 삭제할 수 있습니다.

  • 보관 정책의 변경은 영향을 받는 객체 수에 관계없이 단일 A 클래스 작업으로 간주됩니다.

  • 객체의 편집 가능한 메타데이터는 보관 정책의 적용을 받지 않으며, 객체 자체를 수정할 수 없는 경우에도 수정할 수 있습니다.

  • 보관 정책에는 유효 시간, 즉 버킷의 모든 객체가 보관 기간을 준수한다고 보장할 수 있는 시간이 포함됩니다.

  • 보관 정책이 적용된 버킷에서 특정 객체를 삭제할 수 있는 가장 이른 날짜를 확인하려면 객체 메타데이터보관 만료 날짜를 확인합니다.

  • 보관 정책과 객체 버전 관리는 Cloud Storage에서 상호 배타적인 기능입니다. 즉, 특정 버킷에서 한 번에 이들 기능 중 하나만 사용 설정할 수 있습니다. 보관 정책을 적용할 때 버킷에 남아 있는 버전 관리된 객체는 보관 정책으로 보호됩니다.

  • 객체 수명 주기 관리를 사용하여 잠긴 정책이 있는 버킷을 비롯한 버킷의 객체를 자동으로 삭제할 수 있습니다. 수명 주기 규칙은 객체가 보관 정책을 충족할 때까지 객체를 삭제하지 않습니다.

  • 조직 정책에 제약 조건을 사용하여 새로운 버킷 생성의 일환으로 또는 기존 버킷의 보관 정책 추가/업데이트의 일환으로 특정한 보관 기간이 명시된 보관 정책이 포함되도록 요구할 수 있습니다. 이러한 조직 정책의 설정을 위한 안내를 포함한 자세한 내용은 조직 정책 설정을 참조하세요.

보관 기간

보관 기간은 초 단위로 측정되지만, Google Cloud Platform Consolegsutil과 같은 도구를 사용하면 편의를 위해 다른 시간 단위를 사용하여 보관 기간을 설정하거나 확인할 수 있습니다. 이 경우 다음과 같은 변환이 적용됩니다.

  • 하루는 86,400초로 간주됩니다.
  • 한 달은 31일이며 2,678,400초로 간주됩니다.
  • 1년은 365.25일이며 31,557,600초로 간주됩니다.

최대 보관 기간은 3,155,760,000초(100년)로 설정할 수 있습니다.

gsutil의 경우 보관 기간을 지정할 때 [NUMBER][UNIT] 형식을 사용합니다. 여기서 [UNIT]은 각각 초, 분, 일, 년을 나타내는 s, m, d, y일 수 있습니다. 한 명령어에 하나의 시간 단위만 사용할 수 있습니다. 예를 들어 900s 또는 15m을 사용할 수 있지만 15m30s를 사용할 수는 없습니다.

보관 정책 잠금

버킷의 보관 정책을 잠그면 정책이 삭제되거나 축소되는 것을 방지할 수 있습니다(보관 기간을 늘리는 것도 가능). 잠긴 버킷의 정책 기간을 삭제하거나 줄이려고 하면 400 BadRequestException 오류가 표시됩니다. 보관 정책이 잠기면 버킷의 모든 객체가 보관 기간을 충족할 때까지 버킷을 삭제할 수 없습니다.

보관 정책을 잠그는 것은 되돌릴 수 없으므로 이 기능을 사용하기 전에 보안 정책을 잠그는 것의 의미에 대해 잘 알고 있어야 합니다. 잠금 해제된 보관 정책을 사용하면 정책을 삭제할 수 있으므로 필요할 때 객체를 삭제할 수 있습니다. 보관 정책을 잠근 후에 정책을 '삭제'하려면 전체 버킷을 삭제해야 합니다. 그러나 보관 기간을 채우지 못한 객체가 있는 경우에는 버킷을 삭제할 수 없습니다. 따라서 잠긴 보관 정책을 '삭제'하려면 버킷의 모든 객체가 버킷을 삭제할 수 있는 보관 기간에 도달할 때까지 기다려야 합니다.

또한 보관 정책을 잠그면 Cloud Storage가 버킷이 포함된 프로젝트에 대한 projects.delete 권한에 자동으로 선취권을 적용합니다. 선취권이 적용되면 프로젝트를 삭제할 수 없게 됩니다. 프로젝트를 삭제하려면 먼저 해당 선취권을 모두 삭제해야 합니다. 선취권을 삭제하려면 roles/ownerroles/resourcemanager.lienModifier 역할의 일부인 resourcemanager.projects.updateLiens 권한이 필요합니다.

보관 정책을 잠그면 데이터가 레코드 보관 규정을 준수하는 데 어떤 도움이 되는지에 대한 자세한 내용은 규정 준수 섹션을 참조하세요.

객체 보존 조치

객체 보존 조치는 개별 객체에 적용하는 메타데이터 플래그입니다. 객체에 보존 조치가 적용되면 삭제할 수 없습니다. Cloud Storage는 다음과 같은 유형의 보존 조치를 제공합니다.

  • 이벤트 기반 보존 조치
  • 임시 보존 조치

이벤트 기반 보존 조치를 보관 정책과 함께 사용하여 일부 이벤트의 발생을 기반으로 보관을 제어할 수 있습니다(예: 대출 상환 후 특정 기간 동안 대출 문서 보유). 임시 보존 조치는 규정 관련 또는 법적 조사 목적으로 사용할 수 있습니다(예: 법적 조사를 위해 거래 문서 보존).

객체에는 2가지 보존 조치가 모두 적용되거나 아예 적용되지 않을 수 있습니다. 객체가 보관 정책이 없는 버킷에 있을 경우 2가지 보관 조치의 효과는 동일합니다. 객체가 보관 정책이 있는 버킷에 있을 경우 보존 조치가 해제되었을 때 2가지 보관 조치가 객체에 미치는 효과는 각각 다릅니다.

  • 이벤트 기반 보존 조치는 보관 기간에 따라 버킷에 있는 객체의 시간을 다시 설정합니다.
  • 임시 보존 조치는 보관 기간에 따라 버킷에 있는 객체의 시간에 영향을 주지 않습니다.

예시

보관 기간 1년이 적용된 버킷에 객체 A와 객체 B라는 2개의 객체가 있다고 가정해 보겠습니다. 객체를 버킷에 추가할 때 객체 A에는 이벤트 기반 보존 조치를 적용하고 객체 B에는 임시 보존 조치를 적용했습니다. 이후 1년이 지났으며 일반적으로는 이 시점에 객체를 삭제할 수 있지만 두 개체에 모두 보존 조치가 적용되어 있으므로 둘 다 삭제할 수 없습니다.

이때 두 객체의 보존 조치를 해제한다고 가정해 보겠습니다. 객체 A의 경우 버킷에서 보관 기간이 처음부터 다시 시작됩니다. 즉, 버킷에 1년 더 보관해야 삭제하거나 덮어쓸 수 있습니다. 반면 객체 B는 즉시 삭제하거나 덮어쓸 수 있습니다. 객체가 보관 기간을 채우면 임시 보존 조치가 적용되지 않기 때문입니다.

기본 이벤트 기반 보존 조치 속성

개별 객체에 보존 조치를 적용하는 것 외에도 버킷에 기본 이벤트 기반 속성을 사용 설정할 수도 있습니다. 이 작업을 수행하면 이후에 버킷에 추가되는 각 새 객체에 이벤트 기반 보존 조치가 자동으로 적용됩니다.

이 동작은 특정 이벤트가 발생한 후 일정 기간 동안 객체가 버킷에 유지되도록 하려는 경우에 유용합니다. 예를 들어 대출을 상환한 후에 특정 기간 동안 유지해야 하는 대출 정보를 저장하기 위한 버킷이 있다고 가정합니다. 버킷에 적절한 보관 정책과 기본 이벤트 기반 보존 조치 속성을 사용 설정하면 버킷에 대출 문서를 업로드할 때 이벤트 기반 보존 조치가 적용됩니다. 대출을 상환하면 보존 조치가 해제되고 보관 정책에 설정된 보관 기간을 채울 때까지 대출 정보가 계속 저장되고 변경할 수 없게 됩니다.

규정 준수

미국에 소재한 은행, 증권사, 기록관리회사 등의 금융기관은 전자기록물 보관과 관련하여 보관 기간, 기록물 형식, 기록물 품질, 기록물 사용성 등에 대한 요건을 명시하는 규제를 준수할 의무가 있습니다. 구체적인 규정은 다음과 같습니다.

Google Cloud 고객은 위에 언급된 규제에 적용을 받는다고 판단될 경우 스스로 법률 자문 및 금융 당국의 감독 하에 해당 요구사항에 대한 자체 준법 평가를 완료해야 합니다. Google Cloud는 고객의 평가 과정에 도움을 드리기 위해 Cohasset Associates, Inc.('Cohasset')에 의뢰하여 Cloud Storage의 규정 준수 기능에 대한 독립적이고 객관적인 평가를 받았습니다. Cohasset은 Cloud Storage를 적절히 구성하고 버킷 잠금 기능과 함께 사용할 경우, 사용자가 SEC 규칙 17a-4(f), CFTC 규칙 1.31(c)-(d), FINRA 규칙 4511(c) 등의 미국 기록물 보관 규정을 준수하는 데 도움이 된다고 판단했습니다. Cloud Storage의 버킷 잠금 기능에 포함된 통합 제어 코드는 Cloud Storage에서 변경 불가능한 WORM(write once read many) 저장소를 제공할 수 있습니다. 보고서를 확인하려면 여기를 참조하세요.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

도움이 필요하시나요? 지원 페이지를 방문하세요.