Objektaufbewahrungssperre

Einrichtung

Auf dieser Seite wird die Funktion Objektaufbewahrungssperre beschrieben, mit der Sie eine Aufbewahrungskonfiguration für Objekte in Cloud Storage-Buckets festlegen können, für die das Feature aktiviert ist. Eine Aufbewahrungskonfiguration legt fest, wie lange das Objekt aufbewahrt werden muss, und bietet die Möglichkeit, dauerhaft zu verhindern, dass die Aufbewahrungszeit verkürzt oder entfernt wird.

In Verbindung mit dem detaillierten Audit-Logging-Modus, in dem die Details von Cloud Storage-Anfragen und -Antworten protokolliert werden, unterstützt die Sperre für die Aufbewahrung von Objekten Sie bei der Einhaltung von Vorschriften und Compliance-Anforderungen, z. B. in Bezug auf FINRA, SEC und CFTC. Außerdem können Sie damit Vorschriften in anderen Branchen wie der Gesundheitsbranche meistern.

Übersicht

Mit der Objektaufbewahrungssperre können Sie Anforderungen an die Datenaufbewahrung auf einer Pro-Objekt-Basis definieren Dies unterscheidet sich von der Bucket-Sperre, bei der Anforderungen an die Datenaufbewahrung einheitlich für alle Objekte in einem Bucket definiert werden. Bei der Objektaufbewahrungssperre enthält die Aufbewahrungskonfiguration, die Sie auf ein Objekt anwenden, die folgenden Eigenschaften:

  • Eine Aufbewahrungsdauer, die eine Zeit (Datum und Uhrzeit) angibt, bis zu der das Objekt aufbewahrt werden muss. Bis zu dieser Zeit kann das Objekt weder gelöscht noch ersetzt werden. Beachten Sie, dass ein Objekt, das die Endzeit der Aufbewahrungsdauer noch nicht erreicht hat, dennoch für nicht aktuell erklärt werden kann.

    • Die Aufbewahrungsdauer hat einen Höchstwert von 3.155.760.000 Sekunden (100 Jahre) ab dem aktuellen Datum und der aktuellen Uhrzeit.
  • Weiter hat sie einen Aufbewahrungsmodus, der kontrolliert, welche Änderungen Sie an der Aufbewahrungskonfiguration vornehmen können.

    • Mit Unlocked können autorisierte Nutzer die Aufbewahrungskonfiguration eines Objekts ohne Einschränkungen ändern oder entfernen. In der XML API heißt dieser Modus GOVERNANCE.

    • Locked verhindert dauerhaft, dass das Aufbewahrungsdatum verkürzt oder entfernt wird. Wenn der Modus auf Locked festgelegt wurde, kann er nicht mehr geändert werden und die Aufbewahrungsdauer kann nur erhöht werden. In der XML API heißt dieser Modus COMPLIANCE.

    • Durch das Sperren einer Aufbewahrungskonfiguration können Sie dafür sorgen, dass für Ihre Daten die Aufbewahrungsvorschriften für Aufzeichnungen eingehalten werden

Sie können Aufbewahrungskonfigurationen nur für Objekte festlegen, die sich in Buckets befinden, für die das Feature aktiviert ist.

  • Bei vorhandenen Buckets kann die Funktion nur über die Google Cloud Console aktiviert werden.

  • Nach der Aktivierung kann die Funktion nicht mehr für Buckets deaktiviert werden.

  • Nachdem Sie die Funktion für einen Bucket aktiviert haben, wird in Cloud Storage nach Möglichkeit eine Sperre auf die Berechtigung projects.delete für das Projekt angewendet, das den Bucket enthält. Wenn Sie wissen möchten, ob eine Sperre vorliegt, listen Sie alle Projektsperren auf.

    Die Sperre verhindert, dass das Projekt gelöscht wird. Wenn Sie das Projekt löschen möchten, müssen Sie zuerst die Vormerkung entfernen.

Hinweise

  • Ein Bucket mit aufbewahrten Objekten kann erst gelöscht werden, wenn das Datum „Aufbewahren bis zum“ für alle Objekte im Bucket abgelaufen ist und alle Objekte im Bucket gelöscht wurden.

  • Für Objekte können sowohl eigene Aufbewahrungskonfigurationen als auch allgemeine Bucket-Aufbewahrungsrichtlinien gelten. Ist dies der Fall, wird das Objekt beibehalten, bis beide Aufbewahrungen erfüllt sind.

  • Anfragen, bei denen versucht wird, eine Aufbewahrungskonfiguration für ein Objekt festzulegen, das einem ereignisbasierten Hold unterliegt, schlagen fehl.

    • Anfragen, die gleichzeitig eine Aufbewahrungskonfiguration für ein Objekt und einen ereignisbasierten Hold für das Objekt festlegen, schlagen ebenfalls fehl.

    • Ein Objekt kann gleichzeitig eine Aufbewahrungskonfiguration und einen vorübergehenden Hold haben.

  • Sie können Cloud Key Management Service-Schlüsselversionen, die gesperrte Objekte verschlüsseln, nicht löschen, wenn die Objekte die Endzeit für die Aufbewahrung noch nicht erreicht haben. Weitere Informationen finden Sie unter Schlüsselversionen zum Verschlüsseln gesperrter Objekte.

  • Sie können die Verwaltung des Objektlebenszyklus verwenden, um Objekte automatisch zu löschen. Eine Lebenszyklusregel löscht ein Objekt jedoch erst, wenn das Objekt das Ablaufdatum für die Aufbewahrung erreicht hat, auch wenn die Bedingungen der Lebenszyklusregel erfüllt wurden.

  • In Buckets, die die Objektversionsverwaltung verwenden, kann eine Live-Objektversion mit einer Aufbewahrungsdauer in der Zukunft weiterhin nicht aktuell gemacht werden.

  • Sie sollten keine Aufbewahrungskonfigurationen für Objekte festlegen, die temporär sein sollen, z. B. Komponentenkomponenten eines parallel zusammengesetzten Uploads.

  • Die bearbeitbaren Metadaten eines Objekts unterliegen nicht der Aufbewahrungskonfiguration und können auch dann geändert werden, wenn das Objekt selbst nicht geändert werden kann.

Nächste Schritte