Desativar a exclusão reversível no nível da organização

Visão geral Uso

Esta página descreve como desativar o recurso de exclusão reversível em todos os buckets novos e atuais da sua organização.

A exclusão reversível é ativada em buckets novos por padrão para evitar a perda de dados. Quando necessário, é possível desativar a exclusão reversível para buckets atuais modificando a política de exclusão reversível. Também é possível desativá-la por padrão para novos buckets definindo uma tag padrão em toda a organização. Depois que você desativa a exclusão reversível, os dados excluídos não podem ser recuperados, incluindo exclusões acidentais ou maliciosas.

Funções exigidas

Para receber as permissões necessárias e desativar a exclusão reversível, peça ao administrador para conceder a você os seguintes papéis do IAM no nível da organização:

Administrador de armazenamento (roles/storage.admin)
Administrador de tags (roles/resourcemanager.tagAdmin)
Leitor da organização (roles/resourcemanager.organizationViewer)

Esses papéis predefinidos contêm as permissões necessárias para desativar a exclusão reversível. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para desativar a exclusão reversível:

storage.buckets.get
storage.buckets.update
storage.buckets.list (essa permissão é necessária se você planeja usar o console do Google Cloud para executar as instruções desta página)
Para saber mais sobre as permissões necessárias que fazem parte do papel de administrador de tags (roles/resourcemanager.tagAdmin), consulte Permissões necessárias para administrar tags.

Para informações sobre como conceder papéis, consulte Usar o IAM com buckets ou Gerenciar o acesso a projetos.

Desativar a exclusão reversível ao criar buckets futuros

Embora a exclusão reversível seja ativada por padrão em novos buckets, é possível impedir a ativação padrão dela usando tags. As tags usam a chave storage.defaultSoftDeletePolicy para aplicar uma política de exclusão reversível 0d (zero dias) no nível da organização, o que desativa o recurso e impede a retenção futura dos dados excluídos.

Siga as instruções abaixo para desativar a exclusão reversível por padrão ao criar novos buckets. As instruções a seguir não são equivalentes à configuração de uma política da organização que exige uma política de exclusão reversível específica. Isso significa que você ainda pode ativar a exclusão reversível em determinados buckets especificando uma política, se necessário.

Crie a tag storage.defaultSoftDeletePolicy, que é usada para mudar a duração padrão da retenção para exclusões reversíveis em novos buckets. So nome da tag storage.defaultSoftDeletePolicy atualiza a duração de retenção padrão para exclusão reversível.

Crie uma chave de tag usando o comando gcloud resource-manager tags keys create:
```
 gcloud resource-manager tags keys create storage.defaultSoftDeletePolicy \
  --parent=organizations/ORGANIZATION_ID \
  --description="Configures the default softDeletePolicy for new Storage buckets."
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização em que você quer definir um método de retenção para exclusões reversíveis de duração. Por exemplo, 12345678901. Para saber como encontrar o ID da organização, consulte Como ter acesso ao ID do recurso da organização.
Crie um valor de tag para 0d (zero dias) para desativar o período de retenção da exclusão reversível por padrão em novos buckets usando o comando gcloud resource-manager tags values create:
```
  gcloud resource-manager tags values create 0d \
   --parent=ORGANIZATION_ID/storage.defaultSoftDeletePolicy \
   --description="Disables soft delete for new Storage buckets."
  done
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização em que você quer definir a duração padrão da retenção para exclusões reversíveis. Por exemplo, 12345678901.
Observação: o comando falha quando você já criou uma tag storage.defaultSoftDeletePolicy. Para criar um valor de tag para 0d e desativar a exclusão reversível, é necessário atualizar a tag storage.defaultSoftDeletePolicy atual para usar o valor de tag 0d. Para saber como atualizar tags, consulte Atualizar tags atuais.
Anexe a tag ao recurso usando o comando gcloud resource-manager tags bindings create:
```
 gcloud resource-manager tags bindings create \
   --tag-value=ORGANIZATION_ID/storage.defaultSoftDeletePolicy/0d \
   --parent=RESOURCE_ID
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização em que a tag foi criada. Por exemplo, 12345678901.
- RESOURCE_ID: o nome completo da organização para criar a vinculação de tag. Por exemplo, para anexar uma tag a organizations/7890123456, digite //cloudresourcemanager.googleapis.com/organizations/7890123456.

Desativar a exclusão reversível nos buckets atuais

Para desativar a exclusão reversível em buckets atuais, execute o comando gcloud storage buckets update com a flag --clear-soft-delete:

   gcloud projects list --format"value(projectId") | while read project
   do
     gcloud storage buckets update --project=PROJECT_ID --clear-soft-delete gs://*
   done

Substitua:

PROJECT_ID: o nome do projeto com a política de exclusão reversível que você quer desativar.

O Cloud Storage desativa a exclusão reversível nos buckets atuais. Os objetos que já foram excluídos de maneira reversível permanecem nos buckets até que a duração da retenção da exclusão reversível seja concluída. Depois disso, eles são excluídos permanentemente.

A seguir

Analise as considerações antes de reativar a exclusão reversível.
Saiba como a exclusão reversível interage com outros recursos do Cloud Storage.