Bloqueio de retenção de objetos

Configuração

Nesta página, você verá o recurso Bloqueio de retenção de objetos, que permite definir uma configuração de retenção para objetos nos buckets do Cloud Storage que ativaram o recurso. Uma configuração de retenção determina por quanto tempo o objeto precisa ser retido e tem a opção de impedir permanentemente que o tempo de retenção seja reduzido ou removido.

Em conjunto com o Modo de registro de auditoria detalhado, que grava detalhes de solicitações e respostas do Cloud Storage, o Bloqueio de retenção de objetos pode ajudar com requisitos regulatórios e de conformidade, como os da FINRA, SEC e CFTC. Também pode ajudar a atender a regulamentações de outros setores, como da área da saúde.

Visão geral

O Bloqueio de retenção de objetos permite definir os requisitos de retenção de dados por objeto. Isso é diferente do Bloqueio de bucket, que define os requisitos de retenção de dados de maneira uniforme para todos os objetos em um bucket. Com o bloqueio de retenção de objetos, a configuração de retenção que você coloca em um objeto contém as seguintes propriedades:

  • Um horário de retenção até que especifica uma data e hora até que o objeto precisa ser retido. Antes disso, não era possível excluir ou substituir o objeto. Observe que um objeto que não atingiu esse valor até o tempo ainda pode ser tornado não atual.

  • Um modo de retenção que controla as mudanças que você pode fazer na configuração de retenção.

    • Unlocked permite que usuários autorizados modifiquem ou removam a configuração de retenção de um objeto sem limitações. Na API XML, esse modo é denominado GOVERNANCE.

    • Locked impede permanentemente que a data de retenção seja reduzida ou removida. Depois de definido como Locked, não é possível mudar o modo, e o período de armazenamento só pode ser aumentado. Na API XML, esse modo é denominado COMPLIANCE.

    • Bloquear uma política de retenção pode ajudar seus dados a cumprir as regulamentações de retenção de registros.

Só é possível definir configurações de retenção em objetos que residem em buckets em que o recurso foi ativado.

  • A ativação do recurso para um bucket só pode ser feita durante a criação dele.

  • Depois de ativado, o recurso não pode ser desativado em um bucket.

Considerações

  • Um bucket que contém objetos retidos não pode ser excluído até que o tempo de retenção de todos os objetos no bucket tenha passado e todos os objetos dentro do bucket tenham sido excluídos.

  • Um objeto pode estar sujeito à própria configuração de retenção e a uma política geral de retenção de buckets. Se esse for o caso, o objeto será retido até que as retenções aplicáveis a ele sejam atendidas.

  • As solicitações que tentam definir uma configuração de retenção em um objeto sujeito a uma retenção baseada em eventos falham.

    • As solicitações que definiriam simultaneamente uma configuração de retenção para um objeto e colocariam uma retenção baseada em evento no objeto também falham.

    • Um objeto pode ter simultaneamente uma configuração de retenção e uma retenção temporária.

  • Não é possível destruir versões de chave do Cloud Key Management Service que criptografam objetos bloqueados quando esses objetos não atingiram os tempos de validade de retenção. Para mais informações, consulte Versões de chave usadas para criptografar objetos bloqueados.

  • É possível usar o Gerenciamento do ciclo de vida de objetos para excluir objetos automaticamente, mas uma regra de ciclo de vida não excluirá um objeto até que ele atinja a data de validade da retenção, mesmo que as condições dela tenham sido atendidas.

  • As configurações de retenção de objetos não afetam o controle de versões de objetos, e uma versão ativa de objeto que tenha um período de retenção até no futuro ainda pode se tornar não atual.

  • Não defina configurações de retenção em objetos temporários, como partes de um upload composto paralelo.

  • Os metadados editáveis de um objeto não estão sujeitos à configuração de retenção e podem ser modificados mesmo quando o próprio objeto não pode ser.

A seguir