Inhabilita la opción de borrar de forma no definitiva a nivel de la organización

Descripción general Uso

En esta página, se describe cómo inhabilitar la función de eliminación no definitiva en todos los buckets nuevos y existentes de tu organización.

La eliminación no definitiva está habilitada en buckets nuevos de forma predeterminada para evitar la pérdida de datos. Si es necesario, puedes inhabilitar la eliminación no definitiva para los buckets existentes si modificas la política de eliminación no definitiva. También puedes inhabilitar la eliminación no definitiva de forma predeterminada para los buckets nuevos si configuras una etiqueta predeterminada para toda la organización. Ten en cuenta que, una vez que inhabilites la opción de borrar de forma no definitiva, no podrás recuperar los datos borrados, incluidas las eliminaciones accidentales o maliciosas.

Roles obligatorios

Para obtener los permisos que necesitas para inhabilitar la eliminación sin confirmación, pide a tu administrador que te otorgue los siguientes roles de IAM a nivel de la organización:

Estos roles predefinidos contienen los permisos necesarios para inhabilitar la eliminación no definitiva. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para inhabilitar la eliminación no definitiva:

  • storage.buckets.get
  • storage.buckets.update
  • storage.buckets.list (este permiso es necesario si planeas usar la consola de Google Cloud para ejecutar las instrucciones en esta página)

    Para conocer los permisos necesarios que se incluyen como parte del rol de administrador de etiquetas (roles/resourcemanager.tagAdmin), consulta Permisos necesarios para administrar etiquetas.

Para obtener más información sobre cómo otorgar roles, consulta Usa IAM con buckets o Administra el acceso a los proyectos.

Inhabilita la eliminación no definitiva en la creación de buckets futuros

Si bien la eliminación no definitiva está habilitada de forma predeterminada en buckets nuevos, puedes evitar que se habilite de forma predeterminada con etiquetas. Las etiquetas usan la clave storage.defaultSoftDeletePolicy para aplicar una política de eliminación no definitiva 0d (cero días) a nivel de la organización, lo que inhabilita la función y evita la retención futura de datos eliminados.

Usa las siguientes instrucciones para inhabilitar la función borrar de forma no definitiva de forma predeterminada cuando creas buckets nuevos. Ten en cuenta que las siguientes instrucciones no equivalen a configurar una política de la organización que exija una política de eliminación no definitiva en particular, lo que significa que, si es necesario, puedes habilitar la opción de borrar de forma no definitiva en buckets específicos especificando una política.

  1. Crea la etiqueta storage.defaultSoftDeletePolicy que se usa para cambiar la duración de retención de eliminación no definitiva predeterminada en los buckets nuevos. Ten en cuenta que solo el nombre de la etiqueta storage.defaultSoftDeletePolicy actualiza la duración predeterminada de la retención de eliminación no definitiva.

    Crea una etiqueta con el comando gcloud resource-manager tags keys create.

     gcloud resource-manager tags keys create storage.defaultSoftDeletePolicy \
  --parent=organizations/ORGANIZATION_ID \
  --description="Configures the default softDeletePolicy for new Storage buckets."

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID numérico de la organización para la que deseas establecer una duración de retención predeterminada de eliminación no definitiva. Por ejemplo, 12345678901 Para obtener información para encontrar el ID de la organización, consulta Obtén el ID de tu recurso de organización.

  2. Crea un valor de etiqueta para 0d (cero días) para inhabilitar el período de retención de eliminación no definitiva de forma predeterminada en buckets nuevos con el comando gcloud resource-manager tags values create:

      gcloud resource-manager tags values create 0d \
   --parent=ORGANIZATION_ID/storage.defaultSoftDeletePolicy \
   --description="Disables soft delete for new Storage buckets."
  done

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID numérico de la organización para la que deseas establecer la duración de retención predeterminada de eliminación no definitiva. Por ejemplo, 12345678901

  3. Adjunta la etiqueta a tu recurso con el comando gcloud resource-manager tags bindings create:

     gcloud resource-manager tags bindings create \
   --tag-value=ORGANIZATION_ID/storage.defaultSoftDeletePolicy/0d \
   --parent=RESOURCE_ID

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID numérico de la organización en la que se creó la etiqueta. Por ejemplo, 12345678901

    • RESOURCE_ID: Es el nombre completo de la organización para la que deseas crear la vinculación de etiquetas. Por ejemplo, para adjuntar una etiqueta a organizations/7890123456, ingresa //cloudresourcemanager.googleapis.com/organizations/7890123456.

Inhabilita la opción de borrar de forma no definitiva en los buckets existentes

Para inhabilitar la eliminación no definitiva en los buckets existentes, ejecuta el comando gcloud storage buckets update con la marca --clear-soft-delete:

   gcloud projects list --format"value(projectId") | while read project
   do
     gcloud storage buckets update --project=PROJECT_ID --clear-soft-delete gs://*
   done

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre del proyecto cuya política de eliminación suave deseas inhabilitar.

Cloud Storage inhabilita la eliminación no definitiva en los buckets existentes. Los objetos que ya se borraron de forma no definitiva permanecerán en los buckets hasta que se complete su período de retención de eliminación no definitiva, después del cual, se borrarán de forma permanente.

¿Qué sigue?