Questa pagina illustra la funzionalità di blocco dei bucket, che consente di configurare il criterio di conservazione di un bucket Cloud Storage. Questo criterio definisce per quanto tempo devono essere conservati gli oggetti nel bucket. La funzionalità consente inoltre di bloccare il criterio di conservazione del bucket, impedendo in modo permanente la riduzione o la rimozione del criterio.
Questa funzionalità può fornire spazio di archiviazione immutabile su Cloud Storage. Insieme alla modalità di audit logging dettagliato, che registra i dettagli delle richieste e delle risposte di Cloud Storage, Bucket Lock può aiutarti a soddisfare i requisiti normativi e di conformità, come quelli associati a FINRA, SEC e CFTC. Inoltre, può aiutarti a rispettare determinate normative di conservazione del settore sanitario.
Panoramica
Puoi aggiungere un criterio di conservazione a un bucket per specificare un periodo di conservazione.
Quando viene impostato un criterio di conservazione del bucket, gli oggetti nel bucket possono essere eliminati o sostituiti solo dopo che la loro età è superiore al periodo di conservazione.
Il criterio viene applicato in modo retroattivo agli oggetti esistenti nel bucket e ai nuovi oggetti aggiunti al bucket. È diversa dalla funzionalità Blocco della conservazione degli oggetti, che consente di definire i requisiti di conservazione dei dati per singolo oggetto.
Puoi bloccare il criterio di conservazione di un bucket per impostarlo definitivamente nel bucket.
Una volta bloccato un criterio, non puoi rimuoverlo o ridurre il periodo di conservazione che ha.
Non puoi eliminare un bucket con un criterio bloccato a meno che tutti gli oggetti nel bucket non abbiano soddisfatto il periodo di conservazione.
Puoi prolungare il periodo di conservazione di un criterio bloccato.
Il blocco di un criterio può aiutare i tuoi dati a rispettare le normative sulla conservazione dei record.
Criteri di conservazione del bucket
Puoi includere un criterio di conservazione quando crei un nuovo bucket oppure puoi aggiungere un criterio di conservazione a un bucket esistente. L'inserimento di un criterio di conservazione in un bucket garantisce che tutti gli oggetti attuali e futuri nel bucket non possano essere eliminati o sostituiti fino a quando non raggiungono l'età definita nel criterio. I tentativi
di eliminare o sostituire gli oggetti la cui età è inferiore al periodo di conservazione non riescono
con un errore 403 - retentionPolicyNotMet
.
Ad esempio, supponiamo che tu abbia un bucket con due oggetti: l'oggetto A che hai aggiunto un mese fa e l'oggetto B che hai aggiunto due anni fa. Se applichi un criterio di conservazione a un bucket che ha un periodo di conservazione di un anno, non puoi eliminare o sostituire l'oggetto A per altri 11 mesi: attualmente ha 1 mese, ma deve avere almeno un anno per essere eliminato o sostituito. L'oggetto B, invece, può essere eliminato o sostituito immediatamente, poiché la sua data è superiore al periodo di conservazione. Se hai deciso di sostituire l'oggetto B, questa nuova versione dell'oggetto B ha un'età che si riavvia da 0 anni.
Per facilitare il monitoraggio dei casi in cui i singoli oggetti sono idonei per l'eliminazione, ciascuno degli oggetti in un bucket con un criterio di conservazione ha metadati relativi alla data di scadenza della conservazione. Questi metadati mostrano la data e l'ora in cui un oggetto soddisfa il periodo di conservazione.
Considerazioni generali
Quando lavori con i criteri di conservazione, tieni presente quanto segue:
A meno che il criterio di conservazione di un bucket non sia bloccato, puoi aumentarlo, diminuirlo o rimuoverlo.
I metadati modificabili di un oggetto non sono soggetti ai criteri di conservazione di un bucket e possono essere modificati anche quando l'oggetto stesso non può esserlo.
Il criterio di conservazione di un bucket contiene un tempo effettivo, ovvero il periodo di tempo trascorso il quale tutti gli oggetti nel bucket saranno conformi al periodo di conservazione.
Per la prima data in cui un determinato oggetto è idoneo per l'eliminazione in un bucket con un criterio di conservazione, visualizza la porzione della data di scadenza della conservazione dei metadati dell'oggetto.
Considerazioni relative alle altre funzionalità
Di seguito sono riportate le interazioni dei criteri di conservazione con altre funzionalità di Cloud Storage:
I criteri di conservazione del bucket e il controllo delle versioni degli oggetti sono funzionalità che si escludono a vicenda in Cloud Storage: per un determinato bucket, è possibile abilitare solo una di queste opzioni alla volta. Anche gli oggetti sottoposti al controllo delle versioni che rimangono in un bucket quando applichi un criterio di conservazione sono protetti dal criterio.
Un oggetto soggetto a un blocco basato su eventi non può essere eliminato mentre è applicato il blocco. Una volta rimosso il blocco basato su eventi dall'oggetto, il periodo di conservazione dell'oggetto viene reimpostato.
Un singolo oggetto può essere soggetto al criterio di conservazione del bucket e alla propria configurazione di conservazione individuale. Se un oggetto è soggetto a entrambi, viene conservato fino a quando entrambe le conservazioni non sono state soddisfatte.
Non puoi eliminare le versioni delle chiavi di Cloud Key Management Service che criptano gli oggetti nei bucket bloccati se gli oggetti non hanno raggiunto i tempi di scadenza della conservazione. Per saperne di più, consulta Versioni delle chiavi utilizzate per criptare gli oggetti bloccati.
Puoi utilizzare la Gestione del ciclo di vita degli oggetti per eliminare automaticamente gli oggetti in un bucket, anche in un bucket con un criterio bloccato. Una regola di ciclo di vita non elimina un oggetto finché l'oggetto non soddisfa il criterio di conservazione.
Non devi eseguire caricamenti composti paralleli se il bucket ha un criterio di conservazione, perché le parti dei componenti non possono essere eliminate prima che ognuno abbia raggiunto il periodo di conservazione minimo del bucket.
Il tentativo di completare un caricamento multiparte dell'API XML non va a buon fine se l'oggetto risultante sovrascriverebbe un oggetto che non ha ancora raggiunto il periodo di conservazione.
Puoi utilizzare il vincolo del criterio di conservazione nei criteri dell'organizzazione per richiedere che i criteri di conservazione dei bucket con periodi di conservazione specifici siano inclusi nella creazione di un nuovo bucket o nell'aggiunta o nell'aggiornamento del criterio di conservazione in un bucket esistente.
Periodi di conservazione
I periodi di conservazione vengono misurati in secondi; tuttavia, alcuni strumenti, come la console Google Cloud e Google Cloud CLI, ti consentono di impostare e visualizzare i periodi di conservazione con altre unità di tempo per comodità. In questi casi si applicano le seguenti conversioni:
- Un giorno è pari a 86.400 secondi.
- Un mese è considerato in 31 giorni, ovvero 2.678.400 secondi.
- Un anno è considerato in 365,25 giorni, ovvero 31.557.600 secondi.
Puoi impostare un periodo di conservazione massimo di 3.155.760.000 secondi (100 anni).
Per gcloud CLI, quando specifichi un periodo di conservazione, specifichi un numero intero e un'unità, dove l'unità può essere s
, d
, m
o y
per indicare rispettivamente secondi, giorni, mesi o anni. Ad esempio, 1d43200s
imposta
un periodo di conservazione di 1 giorno e 43.200 secondi (un giorno e mezzo).
Blocchi dei criteri di conservazione
Quando blocchi il criterio di conservazione di un bucket, impedisci che venga rimosso o che il periodo di conservazione venga ridotto (anche se puoi comunque prolungarlo). Se provi a rimuovere o a ridurre la durata del criterio di un bucket bloccato, viene visualizzato un errore 400 BadRequestException
. Una volta che un criterio di conservazione è bloccato, non puoi eliminare il bucket finché ogni oggetto nel bucket ha raggiunto il periodo di conservazione.
Il blocco del criterio di conservazione di un bucket è irreversibile e dovresti conoscere le implicazioni di questa operazione prima di utilizzare questa funzionalità. Quando utilizzi un criterio sbloccato, hai la possibilità di rimuoverlo, in modo da continuare a eliminare gli oggetti quando vuoi. Quando blocchi un criterio, devi eliminare l'intero bucket per "rimuoverlo". Tuttavia, non puoi eliminare il bucket se al suo interno sono presenti oggetti che non hanno completato il periodo di conservazione. Pertanto, per "rimuovere" un criterio bloccato, devi attendere che ogni oggetto nel bucket abbia completato il periodo di conservazione, dopodiché puoi eliminare il bucket.
Inoltre, quando blocchi un criterio di conservazione, Cloud Storage applica automaticamente un blocco all'autorizzazione projects.delete
per il progetto che contiene il bucket. Quando è attivo, il blocco impedisce l'eliminazione del progetto. Per eliminare il progetto, devi prima rimuovere tutti questi blocchi.
Tieni presente che la rimozione di un blocco richiede l'autorizzazione resourcemanager.projects.updateLiens
, che fa parte dei ruoli roles/owner
e roles/resourcemanager.lienModifier
.
Per informazioni su come il blocco di un criterio di conservazione possa aiutare i tuoi dati a rispettare le normative sulla conservazione dei record, consulta la pagina sulla conformità.
Passaggi successivi
- Scopri come utilizzare e bloccare i criteri di conservazione.
- Scopri di più sul blocco della conservazione degli oggetti e sui blocchi degli oggetti, che consentono di proteggere i singoli oggetti dall'eliminazione.
- Scopri di più sulla modalità di audit logging dettagliato, che può essere utile anche per i requisiti normativi e di conformità.