Objektaufbewahrungskonfigurationen aktivieren und verwenden

Overview

Auf dieser Seite wird beschrieben, wie Sie das Feature Objektaufbewahrungssperre verwenden, einschließlich der Aktivierung für einen Bucket und der Festlegung von Aufbewahrungskonfigurationen für Objekte innerhalb des Buckets.

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie benötigen, um das Feature Objektaufbewahrungssperre für einen Bucket zu aktivieren und Aufbewahrungskonfigurationen für Objekte festzulegen, bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Storage-Administrator“ (roles/storage.admin) zuzuweisen für den Bucket oder das Projekt, das den Bucket enthält. Diese vordefinierte Rolle enthält die Berechtigungen, die zum Festlegen und Verwalten von Aufbewahrungskonfigurationen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

storage.buckets.create
storage.buckets.enableObjectRetention
storage.buckets.get
storage.buckets.list
- Diese Berechtigung ist nur erforderlich, wenn Sie die Google Cloud Console zum Ausführen der Anleitung auf dieser Seite verwenden möchten.
storage.objects.get
storage.objects.list
- Diese Berechtigung ist nur erforderlich, wenn Sie die Google Cloud Console zum Ausführen der Anleitung auf dieser Seite verwenden möchten.
storage.objects.overrideUnlockedRetention
- Diese Berechtigung ist nur erforderlich, wenn Sie eine vorhandene Aufbewahrungskonfiguration sperren oder kürzen möchten.
storage.objects.setRetention
storage.objects.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen erhalten.

Informationen zum Zuweisen von Rollen für Buckets finden Sie unter IAM mit Buckets verwenden. Informationen zum Zuweisen von Rollen für Projekte finden Sie unter Zugriff auf Projekte verwalten.

Objektaufbewahrung für einen Bucket aktivieren

Das Aktivieren der Objektaufbewahrung wird nur beim Erstellen des Buckets unterstützt. Wenn die Objektaufbewahrung für einen Bucket aktiviert ist, kann sie nicht deaktiviert werden. Gehen Sie so vor, um die Objektaufbewahrung für einen Bucket zu aktivieren:

Console

Erstellen Sie einen Bucket wie gewohnt und wählen Sie im Schritt Festlegen, wie Objektdaten geschützt werden sollen die Option Aufbewahrung (für Compliance) aus, gefolgt von Objektaufbewahrung aktivieren

Befehlszeile

Erstellen Sie einen Bucket wie gewohnt und fügen Sie in den Befehl das Flag --enable-per-object-retention ein.

REST APIs

JSON API

Erstellen Sie einen Bucket wie gewohnt und fügen Sie den Abfrageparameter enableObjectRetention=true als Teil der Anfrage ein.

XML API

Erstellen Sie einen Bucket wie gewohnt und fügen Sie den Header x-goog-bucket-object-lock-enabled: True in die Anfrage ein.

Objektaufbewahrungsstatus eines Buckets anzeigen

So sehen Sie, ob Objektaufbewahrung für einen Bucket aktiviert ist:

Console

Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.

Buckets aufrufen
Klicken Sie auf den Namen des Buckets, dessen Status Sie prüfen möchten.
Klicken Sie auf den Tab Schutz.
Der Objektaufbewahrungsstatus des Buckets wird im Abschnitt Objektaufbewahrung angezeigt.

Befehlszeile

Führen Sie den Befehl gcloud storage buckets describe mit dem Flag --format aus.

gcloud storage buckets describe gs://BUCKET_NAME --format="default(per_object_retention)"

Dabei ist BUCKET_NAME der Name des Buckets, dessen Aufbewahrungsrichtlinie Sie aufrufen möchten. Beispiel: my-bucket.

Wenn der Befehl erfolgreich ausgeführt wird und eine Aufbewahrungsrichtlinie für den Bucket vorhanden ist, sieht die Antwort in etwa so aus:

per_object_retention:
  mode: Enabled

Wenn der Befehl erfolgreich ausgeführt wird und keine Aufbewahrungsrichtlinie für den Bucket vorhanden sind, sieht die Antwort in etwa so aus:

null

REST APIs

JSON API

Installieren und initialisieren Sie die dcloud CLI, um ein Zugriffstoken für den Header Authorization zu generieren.

Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header Authorization einfügen.
Verwenden Sie cURL, um die JSON API mit einer GET-Bucket-Anfrage aufzurufen, die das objectRetention-Feld enthält:
```
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=objectRetention"
```
Dabei ist BUCKET_NAME der Name des entsprechenden Buckets. Beispiel: my-bucket.

XML API

Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header Authorization zu generieren.

Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header Authorization einfügen.
Mit cURL die XML API mit einer GET-Bucket-Anfrage aufrufen, die auf ?object-lock beschränkt ist:
```
curl -X GET \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/BUCKET_NAME?object-lock"
```
Dabei ist BUCKET_NAME der Name des entsprechenden Buckets. Beispiel: my-bucket.

Aufbewahrungskonfiguration eines Objekts festlegen

Wenn Sie eine Aufbewahrungskonfiguration für ein Objekt festlegen möchten, muss das Objekt in einem Bucket gespeichert werden, für den Objektaufbewahrungen aktiviert sind. So legen Sie eine Aufbewahrungskonfiguration für ein Objekt fest:

Console

Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.

Buckets aufrufen
Klicken Sie in der Liste der Buckets auf den Namen des Buckets mit dem Objekt, dessen Aufbewahrungskonfiguration Sie festlegen oder ändern möchten.

Die Seite Bucket-Details wird geöffnet und der Tab Objekte ist ausgewählt.
Wechseln Sie zu dem Objekt. Dieses befindet sich möglicherweise in einem Ordner.
Klicken Sie auf den Namen des gewünschten Objekts.

Die Seite Objektdetails wird geöffnet, auf der Objektmetadaten angezeigt werden.
Klicken Sie im Abschnitt Schutz auf das Symbol Bearbeiten () für Aus der Objektaufbewahrungskonfiguration.

Der Bereich Aufbewahrung bearbeiten wird geöffnet.
Klicken Sie im Bereich Objektaufbewahrungskonfiguration auf Aktiviert oder Deaktiviert.
1. Wenn die Aufbewahrungskonfiguration aktiviert ist, wählen Sie ein Datum und eine Uhrzeit für die Konfiguration in Aufbewahren bis zum Zeitpunkt und klicken Sie auf Entsperrt oder Gesperrt in Aufbewahrungsmodus.
Klicken Sie auf Bestätigen.

Befehlszeile

Verwenden Sie den gcloud storage objects update-Befehl mit den entsprechenden Flags. Verwenden Sie den folgenden Befehl, um eine Aufbewahrungskonfiguration hinzuzufügen oder zu ändern. Beachten Sie, dass Sie zusätzlich das Flag --override-unlocked-retention angeben müssen, wenn Sie eine vorhandene Konfiguration so ändern, dass sie gesperrt oder die Aufbewahrungsdauer verkürzt wird:

gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --retain-until=DATETIME --retention-mode=STATE

Dabei gilt:

BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
OBJECT_NAME ist der Name des entsprechenden Objekts. Beispiel: kitten.png.
DATETIME ist das früheste Datum und die früheste Uhrzeit für das Löschen des Objekts. Beispiel: 2028-02-15T05:30:00Z.
STATE ist entweder Locked oder Unlocked.

Wenn der Vorgang erfolgreich war, sieht die Antwort in etwa so aus:

Updating gs://my-bucket/kitten.png...
  Completed 1

Verwenden Sie den folgenden Befehl, um eine Aufbewahrungskonfiguration aus einem Objekt zu entfernen:

gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --clear-retention --override-unlocked-retention

Dabei gilt:

BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
OBJECT_NAME ist der Name des entsprechenden Objekts. Beispiel: kitten.png.

REST APIs

JSON API

Installieren und initialisieren Sie die dcloud CLI, um ein Zugriffstoken für den Header Authorization zu generieren.

Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header Authorization einfügen.
Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
```
{
  "retention": {
    "mode": STATE,
    "retainUntilTime": "DATETIME"
  }
}
```
Dabei gilt:
- STATE ist entweder Locked oder Unlocked.
- DATETIME ist das früheste Datum und die früheste Uhrzeit für das Löschen des Objekts. Beispiel: 2028-02-15T05:30:00Z
Verwenden Sie cURL, um die JSON API mit einer PATCH-Objektanfrage aufzurufen:
```
curl -X PATCH --data-binary @JSON_FILE_NAME \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?overrideUnlockedRetention=BOOLEAN"
```
Dabei gilt:
- JSON_FILE_NAME ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.
- BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
- OBJECT_NAME ist der URL-codierte Name des entsprechenden Objekts. Beispiel: pets/kitten.png, URL-codiert als pets%2Fkitten.png.
- BOOLEAN muss true sein, wenn die Anfrage eine vorhandene Aufbewahrungskonfiguration kürzt, entfernt oder sperrt. Andernfalls kann der Parameter overrideUnlockedRetention vollständig aus der Anfrage ausgeschlossen werden.

XML API

Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header Authorization zu generieren.

Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header Authorization einfügen.
Erstellen Sie eine XML-Datei, die folgende Information enthält:
```
<Retention>
  <Mode>
    STATE
  </Mode>
  <RetainUntilDate>
    DATETIME
  </RetainUntilDate>
</Retention>
```
Dabei gilt:
- STATE ist entweder GOVERNANCE oder COMPLIANCE.
- DATETIME ist das früheste Datum und die früheste Uhrzeit für das Löschen des Objekts. Beispiel: 2028-02-15T05:30:00Z
Verwenden Sie cURL, um die XML API mit einer PUT-Objekt-Anfrage aufzurufen, die auf ?retention beschränkt ist:
```
curl -X PUT --data-binary @XML_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "x-goog-bypass-governance-retention: BOOLEAN" \
  "https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME?retention"
```
Dabei gilt:
- XML_FILE_NAME ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.
- BOOLEAN muss true sein, wenn die Anfrage eine vorhandene Aufbewahrungskonfiguration kürzt, entfernt oder sperrt. Andernfalls kann der Header x-goog-bypass-governance-retention vollständig aus der Anfrage ausgeschlossen werden.
- BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
- OBJECT_NAME ist der URL-codierte Name des entsprechenden Objekts. Beispiel: pets/kitten.png, URL-codiert als pets%2Fkitten.png.

Aufbewahrungskonfiguration eines Objekts aufrufen

So sehen Sie, welche Aufbewahrungskonfiguration für ein Objekt festgelegt ist:

Console

Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.

Buckets aufrufen
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, der das Objekt enthält, dessen Aufbewahrungskonfiguration Sie aufrufen möchten.

Die Seite Bucket-Details wird geöffnet und der Tab Objekte ist ausgewählt.
Wechseln Sie zu dem Objekt. Dieses befindet sich möglicherweise in einem Ordner.
Klicken Sie auf den Namen des gewünschten Objekts.

Die Seite Objektdetails wird geöffnet, auf der Objektmetadaten angezeigt werden. Informationen zu einer Aufbewahrungskonfiguration für das Objekt finden Sie im Abschnitt Schutz.

Befehlszeile

Führen Sie den Befehl gcloud storage objects describe mit dem Flag --format aus.

gcloud storage objects describe gs://BUCKET_NAME/OBJECT_NAME --format="default(retention_settings)"

Dabei gilt:

BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
OBJECT_NAME ist der Name des entsprechenden Objekts. Beispiel: kitten.png.

Wenn der Befehl erfolgreich ausgeführt wird und eine Aufbewahrungskonfiguration für das Objekt vorhanden ist, sieht die Antwort in etwa so aus:

retention_settings:
  mode: Unlocked
  retainUntilTime: '2028-11-30T14:11:14+00:00'

Wenn der Befehl erfolgreich ausgeführt wird und keine Aufbewahrungskonfiguration für das Objekt vorhanden ist, sieht die Antwort in etwa so aus:

null

REST APIs

JSON API

Installieren und initialisieren Sie die dcloud CLI, um ein Zugriffstoken für den Header Authorization zu generieren.

Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header Authorization einfügen.
Verwenden Sie cURL, um die JSON API mit einer GET-Objekt-Anfrage aufzurufen, die das retention-Feld enthält:
```
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/OBJECT_NAME?fields=retention"
```
Dabei gilt:
- BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
- OBJECT_NAME ist der Name des entsprechenden Objekts. Beispiel: kitten.png.

XML API

Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header Authorization zu generieren.

Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header Authorization einfügen.
Verwenden Sie cURL, um die XML API mit einer GET-Objekt-Anfrage aufzurufen, die auf ?retention beschränkt ist:
```
curl -X GET \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME?retention"
```
Dabei gilt:
- BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
- OBJECT_NAME ist der Name des entsprechenden Objekts. Beispiel: kitten.png.

Nächste Schritte

Weitere Informationen zu Aufbewahrungskonfigurationen.
Weitere Informationen zu Features zum Schutz Ihrer Cloud Storage-Daten.
Informationen zur Verwaltung des Objektlebenszyklus, mit der Dateien automatisch gelöscht werden können, sobald ihre Aufbewahrungsdauer abgelaufen ist