Bloqueo de retención de objetos

Configuración

En esta página se describe la función de bloqueo de conservación de objetos, que te permite definir una configuración de conservación en los objetos de los segmentos de Cloud Storage en los que se haya habilitado esta función. Una configuración de retención determina durante cuánto tiempo se debe retener el objeto y ofrece la opción de impedir permanentemente que se reduzca o se elimine el tiempo de retención.

Junto con el modo de registro de auditoría detallado, que registra los detalles de las solicitudes y respuestas de Cloud Storage, el bloqueo de retención de objetos puede ayudar a cumplir los requisitos normativos y de cumplimiento, como los asociados a la FINRA, la SEC y la CFTC. También puede ayudarte a cumplir las normativas de otros sectores, como el sanitario.

Información general

La función de bloqueo de conservación de objetos te permite definir requisitos de conservación de datos por objeto. Esta función es diferente de Bloqueo de segmentos, que define los requisitos de conservación de datos de forma uniforme para todos los objetos de un segmento. Con el bloqueo de retención de objetos, la configuración de retención que apliques a un objeto contiene las siguientes propiedades:

• Una hora de conservación que especifica la fecha y la hora hasta las que se debe conservar el objeto. Antes de ese momento, el objeto no se puede eliminar ni sustituir. Ten en cuenta que un objeto que no haya alcanzado este tiempo de conservación aún se puede marcar como no actual.

  • El tiempo de conservación tiene un valor máximo de 3.155.760.000 segundos (100 años) a partir de la fecha y la hora actuales.

• Un modo de conservación que controla los cambios que puedes hacer en la configuración de conservación.

  • Unlocked permite a los usuarios autorizados modificar o eliminar la configuración de retención de un objeto sin limitaciones. En la API XML, este modo se llama GOVERNANCE.

  • Locked impide permanentemente que se reduzca o se elimine la fecha de retención. Una vez que se ha definido el valor Locked, no se puede cambiar el modo y el periodo de conservación solo se puede aumentar. En la API XML, este modo se llama COMPLIANCE.

  • Bloquear una configuración de conservación puede ayudar a que tus datos cumplan las normativas de conservación de registros.

Solo puedes definir configuraciones de conservación en objetos que se encuentren en segmentos en los que se haya habilitado la función.

• Los buckets ya creados solo pueden habilitar la función mediante la Google Cloud consola.

• Una vez habilitada, la función no se puede inhabilitar en un cubo.

• Después de habilitar la función en un segmento, Cloud Storage aplica una retención al permiso projects.delete del proyecto que contiene el segmento, en la medida de lo posible. Para saber si se ha aplicado un gravamen, consulta todos los gravámenes del proyecto.

  Mientras esté vigente, la retención impide que se elimine el proyecto. Para eliminar el proyecto, primero debes quitar la retención.

Cuestiones importantes

• No se puede eliminar un segmento que contenga objetos retenidos hasta que haya transcurrido el tiempo de retención de todos los objetos del segmento y se hayan eliminado todos los objetos del segmento.

• Un objeto puede estar sujeto tanto a su propia configuración de retención como a una política de retención de segmentos general. Si es así, el objeto se conserva hasta que se cumplan ambas retenciones.

  • Para ver la fecha más antigua en la que se puede eliminar un objeto, consulta los metadatos de la fecha de vencimiento de conservación del objeto.

• Las solicitudes que intenten definir una configuración de retención en un objeto que esté sujeto a una retención basada en eventos fallarán.

  • Las solicitudes que definan simultáneamente una configuración de retención para un objeto y coloquen una retención basada en eventos en el objeto también fallarán.

  • Un objeto puede tener simultáneamente una configuración de retención y una retención temporal.

• No puedes destruir versiones de claves de Cloud Key Management Service que encripten objetos bloqueados si estos no han alcanzado sus tiempos de vencimiento de retención. Para obtener más información, consulta Versiones de claves usadas para cifrar objetos bloqueados.

• Puedes usar la gestión del ciclo de vida de los objetos para eliminar objetos automáticamente, pero una regla de ciclo de vida no eliminará un objeto hasta que haya alcanzado su fecha de vencimiento de retención, aunque se hayan cumplido las condiciones de la regla de ciclo de vida.

• En los segmentos que usan la gestión de versiones de objetos, una versión activa de un objeto que tenga un tiempo de conservación futuro se puede convertir en no actual.

• No debe definir configuraciones de retención en objetos que estén pensados para ser temporales, como las partes de un objeto compuesto subido en paralelo.

• Los metadatos editables de un objeto no están sujetos a la configuración de conservación y se pueden modificar aunque el objeto en sí no se pueda modificar.

Siguientes pasos

• Usa retenciones de objetos.
• Consulta otras funciones de Cloud Storage que protegen los objetos y controlan su ciclo de vida.
• Consulta información sobre el modo de registro de auditoría detallado, que también puede ayudarte a cumplir los requisitos normativos.