本页面讨论了对象保留锁定功能,该功能可让您对启用了该功能的 Cloud Storage 存储桶内的对象设置保留配置。保留配置用于控制对象必须保留多长时间,并且可以选择永久阻止保留期限缩短或被移除。
结合详细的审核日志记录模式(用于记录 Cloud Storage 请求和响应的详细信息),对象保留锁定可以帮助您满足法规和合规性要求,例如与 FINRA、SEC、CFTC 相关的要求。它还可以帮助您满足其他行业(例如医疗保健)的法规。
概览
凭借对象保留锁定,您可以按对象定义数据保留要求。这与存储桶锁定不同,存储桶锁定统一为存储桶中的所有对象定义数据保留要求。使用对象保留锁定时,您为对象设置的保留配置包含以下属性:
保留时间,用于指定必须保留对象的日期和时间。在此之前,无法删除或替换对象。请注意,尚未达到此保留状态的对象仍然可以设为非当前版本。
- “保留到特定时间”的最大值为从当前日期和时间算起 3,155,760,000 秒(100 年)。
保留模式,用于控制您可以对保留配置进行哪些更改。
Unlocked
使已获授权的用户能够修改或移除对象的保留配置,没有任何限制。在 XML API 中,此模式名为GOVERNANCE
。Locked
会永久防止缩短或移除保留期限。设置为Locked
后,模式便无法更改,并且保留期限只能增加。在 XML API 中,此模式名为COMPLIANCE
。锁定保留配置可以使您的数据符合记录保留规定。
您只能为启用了该功能的存储桶中的对象设置保留配置。
现有存储分区只能使用 Google Cloud 控制台启用此功能。
一旦启用,就无法在存储桶中停用此功能。
在您为存储桶启用此功能后,Cloud Storage 会尽力为包含该存储桶的项目的
projects.delete
权限应用安全锁。如需了解是否已应用安全锁,请列出所有项目安全锁。应用此安全锁后,就可防止该项目被删除。如需删除项目,您必须先移除安全锁。
注意事项
在删除存储桶中的所有对象之前,在该存储桶内的所有对象上结束保留之前,且无法删除该存储桶中的所有对象。
对象可以受自己的保留配置和整体存储桶保留政策的约束。如果是,则对象会保留,直到同时满足适用于该对象的两个保留为止。
- 如需查看可以删除某个对象的最早日期,请查看该对象的保留到期日期元数据。
尝试在受基于事件的保全约束的对象上设置保留配置的请求会失败。
同时为对象设置保留配置并在对象上设置基于事件的保全的请求会失败。
对象可以同时具有保留配置和临时保全。
如果锁定的对象未达到其保留到期时间,则您无法销毁用于加密这些对象的 Cloud Key Management Service 密钥版本。如需了解详情,请参阅用于加密锁定的对象的密钥版本。
您可以使用对象生命周期管理自动删除对象,但生命周期规则不会在对象达到保留到期日期之前删除对象,即使已满足生命周期规则的条件也是如此。
在使用对象版本控制的存储分区中,具有保留到未来特定时间的有效对象版本仍然可以是非当前版本。
您不应为打算临时设置的对象(例如并行复合上传的组件)设置保留配置。
对象的可修改元数据不受保留配置的约束,即使对象本身不可修改,您也可以修改元数据。
后续步骤
- 使用对象保留。
- 了解保护对象并控制其生命周期的其他 Cloud Storage 功能。
- 了解详细的审核日志记录模式,该模式也可以帮助您满足法规和合规性要求。