Esta página aborda a funcionalidade de bloqueio de retenção de objetos, que lhe permite definir uma configuração de retenção em objetos nos contentores do Cloud Storage que ativaram a funcionalidade. Uma configuração de retenção determina durante quanto tempo o objeto tem de ser retido e tem a opção de impedir permanentemente que o tempo de retenção seja reduzido ou removido.
Em conjunto com o modo de registo de auditoria detalhado, que regista os detalhes de pedidos e respostas do Cloud Storage, o bloqueio de retenção de objetos pode ajudar com os requisitos regulamentares e de conformidade, como os associados à FINRA, à SEC e à CFTC. Também pode ajudar a abordar os regulamentos noutras indústrias, como os cuidados de saúde.
Vista geral
O bloqueio de retenção de objetos permite-lhe definir requisitos de retenção de dados com base em objetos individuais. Isto difere do bloqueio de contentores, que define os requisitos de retenção de dados de forma uniforme para todos os objetos num contentor. Com o bloqueio de retenção de objetos, a configuração de retenção que coloca num objeto contém as seguintes propriedades:
Uma hora de retenção que especifica uma data e uma hora até às quais o objeto tem de ser retido. Antes deste período, não é possível eliminar nem substituir o objeto. Tenha em atenção que um objeto que não tenha atingido este tempo de retenção até pode ser tornado não atual.
- O tempo de retenção tem um valor máximo de 3 155 760 000 segundos (100 anos) a partir da data e hora atuais.
Um modo de retenção que controla as alterações que pode fazer à configuração de retenção.
Unlockedpermite que os utilizadores autorizados modifiquem ou removam a configuração de retenção de um objeto sem limitações. Na API XML, este modo chama-seGOVERNANCE.Lockedimpede permanentemente que a data de retenção seja reduzida ou removida. Após a definição paraLocked, não é possível alterar o modo, e só é possível aumentar o período de retenção. Na API XML, este modo chama-seCOMPLIANCE.O bloqueio de uma configuração de retenção pode ajudar os seus dados a estarem em conformidade com os regulamentos de retenção de registos.
Só pode definir configurações de retenção em objetos que residam em contentores com a funcionalidade ativada.
Os contentores existentes só podem ativar a funcionalidade através da consola Google Cloud .
Depois de ativada, não é possível desativar a funcionalidade num contentor.
Depois de ativar a funcionalidade num contentor, o Cloud Storage aplica um vínculo à autorização
projects.deletepara o projeto que contém o contentor, da melhor forma possível. Para saber se foi aplicada uma hipoteca, liste todas as hipotecas de projetos.Enquanto estiver em vigor, a hipoteca impede a eliminação do projeto. Para eliminar o projeto, tem de remover primeiro a caução.
Considerações
Não é possível eliminar um contentor com objetos retidos até que o tempo de retenção de todos os objetos no contentor tenha terminado e todos os objetos no contentor tenham sido eliminados.
Um objeto pode estar sujeito à sua própria configuração de retenção e a uma política de retenção do contentor geral. Se for, o objeto é retido até que ambas as retenções que se aplicam ao mesmo sejam satisfeitas.
- Para ver a data mais antiga em que um objeto é elegível para eliminação, veja os metadados da data de validade da retenção do objeto.
As solicitações que tentam definir uma configuração de retenção num objeto sujeito a uma retenção baseada em eventos falham.
Os pedidos que definem simultaneamente uma configuração de retenção para um objeto e colocam uma retenção baseada em eventos no objeto também falham.
Um objeto pode ter simultaneamente uma configuração de retenção e uma retenção temporária.
Não pode destruir versões de chaves do Cloud Key Management Service que encriptam objetos bloqueados se os objetos não tiverem atingido os respetivos prazos de validade de retenção. Para mais informações, consulte o artigo Versões de chaves usadas para encriptar objetos bloqueados.
Pode usar a Gestão do ciclo de vida de objetos para eliminar objetos automaticamente, mas uma regra do ciclo de vida não elimina um objeto até que este atinja a data de validade da retenção, mesmo que as condições da regra do ciclo de vida tenham sido cumpridas.
Em contentores que usam a funcionalidade de controlo de versões de objetos, ainda é possível tornar não atual uma versão de objeto ativa que tenha um horário de retenção até ao futuro.
Não deve definir configurações de retenção em objetos destinados a ser temporários, como partes de componentes de um carregamento composto paralelo.
Os metadados editáveis de um objeto não estão sujeitos à configuração de retenção e podem ser modificados mesmo quando o próprio objeto não pode.
O que se segue?
- Use retenções de objetos.
- Saiba mais sobre outras funcionalidades do Cloud Storage que protegem objetos e controlam os respetivos ciclos de vida.
- Saiba mais sobre o modo de registo de auditoria detalhado, que também pode ajudar com os requisitos regulamentares e de conformidade.