Políticas de retenção usando o bloqueio de intervalo

Nesta página, você verá informações sobre o recurso Bloqueio de intervalo, que permite configurar uma política de retenção de dados para um intervalo do Cloud Storage que determina quanto tempo os objetos no intervalo precisam ser retidos. O recurso também permite bloquear a política de armazenamento de dados, impedindo permanentemente que ela seja reduzida ou removida. Para exemplos de uso desse recurso, consulte Como usar políticas de armazenamento e "Bloqueio de intervalo".

Esse recurso pode fornecer armazenamento imutável no Cloud Storage. O Bloqueio de intervalo pode ajudar com requisitos regulatórios e de conformidade, como aqueles associados a FINRA, SEC e CFTC. O Bloqueio de intervalo também pode ajudá-lo a resolver determinados regulamentos de armazenamento do setor de assistência médica.

Visão geral

  • Você pode adicionar uma política de armazenamento a um intervalo para especificar um período de armazenamento.

    • Se um intervalo tiver uma política de armazenamento, os objetos contidos só poderão ser excluídos ou sobrescritos quando a idade for maior que o período de armazenamento.

    • Uma política de armazenamento se aplica retroativamente a objetos existentes no intervalo, bem como novos objetos adicionados a ele.

  • É possível bloquear uma política de retenção para defini-la permanentemente no intervalo.

    • Depois de bloquear uma política de armazenamento, você não poderá removê-la nem reduzi-la.

    • Não é possível excluir um intervalo com uma política de armazenamento bloqueada, a menos que todos os objetos no intervalo tenham atendido ao período de armazenamento.

    • Você pode aumentar o período de uma política de armazenamento bloqueada.

    • Bloquear uma política de armazenamento pode ajudar seus dados a cumprir as regulamentações de armazenamento de registros.

  • Você pode colocar retenções em objetos individuais que impeçam que eles sejam excluídos ou substituídos.

Políticas de armazenamento

Você pode incluir uma política de armazenamento ao criar um novo intervalo ou adicionar uma política de armazenamento a um intervalo existente. Colocar uma política de armazenamento em um intervalo garante que todos os objetos atuais e futuros contidos nele não possam ser excluídos ou sobrescritos até que atinjam a idade que você define. As tentativas de excluir ou sobrescrever objetos com idade inferior ao período de armazenamento apresentam falha com um erro 403 - retentionPolicyNotMet.

Por exemplo, digamos que você tenha um intervalo com dois objetos: Objeto A, adicionado há 1 mês, e Objeto B, adicionado há 2 anos. Se você aplicar ao intervalo uma política de armazenamento que tenha um período de armazenamento de 1 ano, não poderá excluir ou substituir o Objeto A por outros 11 meses: ele tem 1 mês, mas precisa ter pelo menos 1 ano para ser excluído ou substituído. O objeto B, por outro lado, pode ser excluído ou substituído imediatamente, já que tem idade maior que o período de armazenamento. Se você decidiu substituir o Objeto B, essa nova versão dele tem uma idade reiniciada em 0 anos.

Para ajudar a rastrear quando objetos individuais são qualificados para exclusão, os objetos em um intervalo com uma política de armazenamento têm, cada um, metadados de tempo de expiração de armazenamento. Essa parte dos metadados mostra a data e a hora em que um objeto cumpre o período de armazenamento.

Ao trabalhar com políticas de armazenamento, tenha isto em mente:

  • A menos que a política de armazenamento esteja bloqueada, você pode aumentar, diminuir ou remover a política de armazenamento de um intervalo.

  • A alteração de uma política de armazenamento é considerada uma única operação de Classe A, independentemente do número de objetos afetados.

  • Os metadados editáveis de um objeto não estão sujeitos à política de armazenamento e podem ser modificados mesmo quando o próprio objeto não pode ser.

  • Uma política de armazenamento contém um tempo efetivo. Após esse tempo, todos os objetos no intervalo têm a garantia de estar em conformidade com o período de armazenamento.

  • Para consultar a data mais próxima em que um determinado objeto pode ser excluído em um intervalo com uma política de retenção, veja a data de validade da retenção dos metadados do objeto.

  • Políticas de armazenamento e controle de versão de objeto são recursos mutuamente exclusivos no Cloud Storage: para um determinado intervalo, apenas um deles pode ser ativado por vez. Todos os objetos com versão que permanecem em um intervalo quando você aplica uma política de armazenamento também são protegidos por ela.

  • É possível usar o Gerenciamento de ciclo de vida de objetos para excluir objetos automaticamente em um intervalo, inclusive em um intervalo com uma política bloqueada. Uma regra de ciclo de vida não excluirá um objeto até que ele atenda à política de armazenamento.

  • As restrições são usadas nas políticas da organização para exigir que as políticas de armazenamento com períodos específicos sejam incluídas como parte da criação de um novo intervalo ou como parte da adição/atualização de uma política de armazenamento em um intervalo atual. Para mais informações, consulte Como definir as políticas da organização.

Períodos de armazenamento

Os períodos de armazenamento são medidos em segundos. No entanto, algumas ferramentas, como o Console do Google Cloud Platform e o gsutil, permitem que você defina e veja períodos de retenção com outras unidades de tempo. As conversões a seguir se aplicam nestes casos:

  • Um dia é considerado como sendo 86.400 segundos.
  • Um mês é considerado como sendo 31 dias, o que é 2.678.400 segundos.
  • Um ano é considerado 365,25 dias, o que é 31,557,600 segundos.

Você pode definir um período de armazenamento máximo de 3.155.760.000 segundos (100 anos).

Para o gsutil, ao especificar um período de armazenamento, você usa um formato [NUMBER][UNIT], em que [UNIT] pode ser s, m, d ou y para indicar segundos, minutos, dias ou anos, respectivamente. Apenas uma unidade de tempo pode ser usada em um comando. Por exemplo, você pode usar 900s ou 15m, mas não 15m30s.

Bloqueios de política de armazenamento

Quando você bloqueia uma política de armazenamento em um intervalo, impede que ela seja removida ou que o período de armazenamento seja reduzido (embora você ainda possa aumentá-lo). Se você tentar remover ou reduzir a duração da política de um intervalo bloqueado, receberá um erro 400 BadRequestException. Depois que uma política de armazenamento estiver bloqueada, você não poderá excluir o intervalo até que todos os objetos nele atendam ao período de armazenamento.

O bloqueio de uma política de armazenamento é irreversível e você precisa estar familiarizado com as implicações de fazer isso antes de usar esse recurso. Ao usar uma política de armazenamento desbloqueada, você pode removê-la, permitindo que ainda seja possível excluir objetos quando quiser. Quando você bloqueia uma política de armazenamento, é necessário excluir o intervalo inteiro para "remover" a política. No entanto, não é possível excluir o intervalo se houver objetos nele que não tenham cumprido o período de armazenamento. Assim, para "remover" uma política de armazenamento bloqueada, você precisa aguardar até que todos os objetos no intervalo tenham cumprido o período de armazenamento. Só então você poderá excluir o intervalo.

Além disso, ao bloquear uma política de retenção, o Cloud Storage aplica automaticamente uma garantia à permissão projects.delete do projeto que contém o intervalo. Enquanto estiver ativa, a garantia impede que o projeto seja excluído. Para excluir o projeto, é necessário primeiro remover todas essas garantias. Observe que a remoção de uma garantia requer a permissão resourcemanager.projects.updateLiens, que faz parte dos papéis roles/owner e roles/resourcemanager.lienModifier.

Para informações sobre como o bloqueio de uma política de armazenamento pode ajudar seus dados a cumprir as regulamentações de armazenamento de registros, consulte a seção de conformidade.

Retenções de objetos

As retenções de objeto são sinalizadores de metadados que você coloca em objetos individuais. Quando um objeto tem uma retenção aplicada, ele não pode ser excluído. O Cloud Storage oferece os tipos de retenção a seguir:

  • Retenções baseadas em eventos.
  • Retenções temporárias.

As retenções baseadas em eventos podem ser usadas em conjunto com uma política de armazenamento para controlar o armazenamento com base na ocorrência de algum evento, como a retenção de documentos de empréstimo por um determinado período após o pagamento do empréstimo. As retenções temporárias podem ser usadas para fins de investigação regulatória ou legal, como a retenção de documentos comerciais para investigação legal.

Um objeto pode ter uma, duas ou nenhuma retenção. Os dois tipos de retenção se comportam da mesma maneira se o objeto estiver em um intervalo que não tenha uma política de armazenamento. Se o objeto estiver em um intervalo que tenha uma política de armazenamento, eles terão efeitos diferentes no objeto quando a retenção for liberada:

  • Uma retenção baseada em evento reconfigura o tempo do objeto no intervalo para os propósitos do período de armazenamento.
  • Uma retenção temporária não afeta o tempo do objeto no intervalo para os propósitos do período de armazenamento.

Exemplo

Digamos que você tenha dois objetos, Objeto A e Objeto B, em um intervalo com um período de armazenamento de um ano. Quando você adicionou os objetos ao intervalo, colocou uma retenção baseada em evento no Objeto A e uma retenção temporária no Objeto B. Um ano passa e, mesmo que você normalmente pudesse excluí-los nesse momento, como os dois objetos ainda têm retenções, não é possível excluir nenhum deles.

Digamos que nesse momento você libera a retenção de ambos os objetos. Para o Objeto A, o tempo no intervalo começa do zero para os propósitos do período de armazenamento. Isso significa que ele precisa permanecer no intervalo por mais um ano antes de poder ser excluído ou substituído. O objeto B, por outro lado, pode ser imediatamente excluído ou sobrescrito, porque a retenção temporária não tem efeito quando o objeto cumpriu o tempo de armazenamento.

A propriedade de retenção baseada em eventos padrão

Além de colocar retenções em objetos individuais, você pode ativar a propriedade baseada em eventos padrão no seu intervalo. Quando você faz isso, cada novo objeto que subsequentemente é adicionado ao intervalo tem uma retenção baseada em evento colocada nele de maneira automática.

Esse comportamento é útil quando você quer que um objeto persista no seu intervalo por um determinado período após a ocorrência de um determinado evento. Por exemplo, seu intervalo pode ser destinado a armazenar empréstimos que você precisa reter por um determinado número de anos uma vez que tenham sido pagos. Com uma política de armazenamento adequada e a propriedade de retenção baseada em eventos padrão ativada para seu intervalo, quando você fizer o upload de um documento de empréstimo para seu intervalo, ele receberá uma retenção baseada em evento. Quando o empréstimo é liquidado, você pode liberar a retenção. A partir desse momento a política de armazenamento garante que o empréstimo permaneça armazenado e imutável até que ele cumpra o período de armazenamento definido nela.

Conformidade

Instituições de serviços financeiros, como bancos, corretoras e detentores de registros baseados nos EUA precisam cumprir os regulamentos que especificam os requisitos para armazenamento de registros eletrônicos, incluindo duração de armazenamento, formato de registro, qualidade de registro e disponibilidade de registros, entre outros. Essas regulamentações específicas incluem:

Se um cliente do Google Cloud determinar que qualquer um dos regulamentos mencionados é aplicável a ele, será necessário concluir a própria avaliação de conformidade em relação aos requisitos específicos com a supervisão de seus próprios consultor jurídico e regulador financeiro. Para ajudar no processo de avaliação, o Google Cloud contratou a Cohasset Associates, Inc. (“Cohasset”) para uma avaliação independente e objetiva dos recursos de conformidade do Cloud Storage. A Cohasset determinou que o Cloud Storage, quando configurado e usado adequadamente com o recurso de Bloqueio de intervalo, pode ajudar os usuários a resolver certos regulamentos de armazenamento de registros dos EUA, como: Regra SEC 17a-4(f), Regra CFTC 1.31(c)-(d) e a Regra FINRA 4511(c). O recurso de Bloqueio de intervalo do Cloud Storage inclui códigos de controle integrados que podem fornecer armazenamento imutável de gravação única e várias leituras (WORM, na sigla em inglês) compatível no Cloud Storage. Você pode encontrar o relatório aqui.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.