Bucket-Sperre (original) (raw)

Einrichtung

Auf dieser Seite wird die Bucket-Sperrfunktion beschrieben, mit der Sie die Aufbewahrungsrichtlinie eines Cloud Storage-Bucket konfigurieren können. Diese Richtlinie legt fest, wie lange Objekte im Bucket aufbewahrt werden müssen. Sie können damit auch die Aufbewahrungsrichtlinie des Buckets sperren und so verhindern, dass die Gültigkeitsdauer der Richtlinie verkürzt oder die Richtlinie entfernt wird.

Mit der Sperrfunktion stellen Sie einen unveränderlichen Speicher in Cloud Storage bereit. In Verbindung mit dem detaillierten Audit-Logging-Modus, in dem die Details von Cloud Storage-Anfragen und -Antworten protokolliert werden, unterstützt die Bucket-Sperre Sie bei der Einhaltung von Vorschriften und Compliance-Anforderungen, z. B. in Bezug auf FINRA, SEC und CFTC. Sie kann auch die Einhaltung bestimmter Aufbewahrungsvorschriften im Gesundheitswesen ermöglichen.

Übersicht

• Zur Festlegung einer Aufbewahrungsdauer fügen Sie einem Bucket eine Aufbewahrungsrichtlinie hinzu
  • Wenn eine Aufbewahrungsrichtlinie für einen Bucket festgelegt ist, lassen sich die Objekte im Bucket nur löschen oder ersetzen, wenn die Aufbewahrungsdauer für sie überschritten ist.
  • Die Richtlinie gilt rückwirkend für vorhandene Objekte im Bucket sowie für neu in den Bucket eingefügte Objekte. Dies unterscheidet sich von der Funktion Objektaufbewahrungssperre, mit der Sie Anforderungen an die Datenaufbewahrung auf einer Pro-Objekt-Basis definieren können.
• Sie können die Aufbewahrungsrichtlinie eines Buckets sperren und so dauerhaft für den Bucket festlegen.
  • Wenn Sie eine Richtlinie gesperrt haben, können Sie sie nicht mehr entfernen oder die Aufbewahrungsdauer verkürzen.
  • Sie können einen Bucket mit einer gesperrten Richtlinie nur löschen, wenn jedes Objekt im Bucket die Aufbewahrungsdauer überschritten hat.
  • Sie können die Aufbewahrungsdauer einer gesperrten Richtlinie verlängern.

Bucket-Aufbewahrungsrichtlinien

Eine Aufbewahrungsrichtlinie lässt sich entweder direkt beim Erstellen eines neuen Buckets oder einem bereits vorhandenen Bucket hinzufügen. Mit einer Aufbewahrungsrichtlinie in einem Bucket verhindern Sie, dass die aktuellen und zukünftigen Objekte im Bucket gelöscht oder ersetzt werden. Der Schutz reicht so lange, bis die Aufbewahrungsdauer, die in der Richtlinie festgelegt wurde, abgelaufen ist. Wenn versucht wird, Objekte zu löschen oder zu ersetzen, die die Aufbewahrungsdauer noch nicht überschritten haben, wird der Fehler 403 - retentionPolicyNotMet ausgegeben.

Angenommen, Sie haben einen Bucket mit zwei Objekten: Objekt A, das Sie vor einem Monat hinzugefügt haben, und Objekt B, das Sie vor zwei Jahren hinzugefügt haben. Wenn Sie auf den Bucket eine Aufbewahrungsrichtlinie anwenden, die eine Aufbewahrungsdauer von einem Jahr hat, können Sie Objekt A erst in elf Monaten löschen oder ersetzen. Objekt A ist derzeit ein Monat alt, muss jedoch mindestens ein Jahr alt sein, um gelöscht oder ersetzt zu werden. Objekt B hingegen kann sofort gelöscht oder ersetzt werden, da sein Alter die Aufbewahrungsdauer bereits überschreitet. Wenn Sie Objekt B ersetzen, beginnt die neue Version von Objekt B bei einem Alter von null Jahren.

Das Alter der einzelnen Objekte in einem Bucket mit Aufbewahrungsrichtlinie kann über die Metadaten für die Aufbewahrungsdauer ermittelt werden. Diese Metadaten zeigen Datum und Uhrzeit des Ablaufs der Aufbewahrungsdauer für jedes Objekt an.

Allgemeines

Bei der Anwendung von Aufbewahrungsrichtlinien ist Folgendes zu beachten:

• Wenn die Aufbewahrungsrichtlinie eines Buckets nicht gesperrt ist, können Sie die Richtlinie erhöhen, verringern oder entfernen.
• Die bearbeitbaren Metadaten eines Objekts unterliegen nicht der Aufbewahrungsrichtlinie eines Buckets und können auch dann geändert werden, wenn das Objekt selbst nicht geändert werden kann.
• Die Aufbewahrungsrichtlinie eines Buckets enthält eine effektive Zeit, nach der alle Objekte im Bucket garantiert die Aufbewahrungsdauer erreicht haben.
• Wenn Sie wissen möchten, wann ein bestimmtes Objekt in einem Bucket mit einer Aufbewahrungsrichtlinie frühestens gelöscht werden kann, rufen Sie das Ablaufdatum für die Aufbewahrung in den Metadaten des Objekts ab.

Überlegungen zu anderen Funktionen

Im Folgenden sind Interaktionen aufgeführt, die in Aufbewahrungsrichtlinien mit anderen Cloud Storage-Features enthalten sind:

• In Buckets, die die Objektversionsverwaltung verwenden, kann eine Live-Objektversion mit einem Ablaufdatum für die Aufbewahrung in der Zukunft weiterhin nicht aktuell gemacht werden. Alle versionierten Objekte, die im Bucket vorhanden sind, wenn Sie eine Aufbewahrungsrichtlinie anwenden, sind ebenfalls durch die Richtlinie geschützt.
• Ein Objekt, das einem ereignisbasierten Hold unterliegt, kann nicht gelöscht werden, während der Hold dafür gilt. Wenn der ereignisbasierte Hold aus dem Objekt entfernt wird, wird die Aufbewahrungsdauer des Objekts zurückgesetzt.
• Für ein einzelnes Objekt kann sowohl die Aufbewahrungsrichtlinie des Buckets als auch eine eigene Aufbewahrungskonfiguration gelten. Wenn ein Objekt beiden unterliegt, wird es beibehalten, bis beide Aufbewahrungsfristen erfüllt sind.
• Sie können keine Cloud Key Management Service-Schlüsselversionen löschen, die Objekte in gesperrten Buckets verschlüsseln, wenn die Objekte ihre Ablaufzeit für die Aufbewahrung nicht erreicht haben. Weitere Informationen finden Sie unter Schlüsselversionen zum Verschlüsseln gesperrter Objekte.
• Über die Verwaltung des Objektlebenszyklus können Sie Objekte in einem Bucket – auch in einem Bucket mit einer gesperrten Richtlinie – automatisch löschen. Eine Lebenszyklusregel löscht ein Objekt erst, wenn das Objekt die Aufbewahrungsrichtlinie erfüllt.
• Sie sollten keine parallelen zusammengesetzten Uploads ausführen, wenn Ihr Bucket eine Aufbewahrungsrichtlinie hat, da die Komponenten erst gelöscht werden können, wenn für jede die Mindestaufbewahrungsdauer des Buckets erreicht wurde.
• Der Versuch, einen mehrteiligen XML-API-Upload abzuschließen, scheitert, wenn das resultierende Objekt ein Objekt überschreiben würde, das die Aufbewahrungsdauer noch nicht erreicht hat.
• Durch die Beschränkung bezüglich Aufbewahrungsrichtlinien in Ihren Organisationsrichtlinien können Sie festlegen, dass beim Erstellen eines neuen Buckets oder beim Hinzufügen oder Aktualisieren der Aufbewahrungsrichtlinie für einen vorhandenen Bucket Aufbewahrungsrichtlinien mit einer bestimmten Aufbewahrungsdauer enthalten sein müssen.

Aufbewahrungsdauer

Die Aufbewahrungsdauer wird in Sekunden gemessen. In einigen Tools wie der Google Cloud -Konsole und der Google Cloud CLI können Sie die Aufbewahrungsdauer jedoch auch mit anderen Zeiteinheiten festlegen und abrufen. In diesen Fällen gelten folgende Konvertierungsregeln:

• Ein Tag umfasst 86.400 Sekunden
• Eine Woche umfasst 7 Tage, also 604.800 Sekunden.
• Ein Monat umfasst 31 Tage, also 2.678.400 Sekunden
• Ein Jahr umfasst 365,25 Tage, also 31.557.600 Sekunden

Sie können maximal eine Aufbewahrungsdauer von 3.155.760.000 Sekunden (100 Jahre) festlegen.

gcloud-CLI

Geben Sie für die gcloud CLI den Aufbewahrungszeitraum im folgenden Format an:

P#Y#M#W#DT#H#M#S

In diesem Format steht jedes # für eine von Ihnen angegebene Ganzzahl, auf die eine Zeiteinheit folgen muss. Die Einheiten Y, W, D, H und S stehen für Jahre, Wochen, Tage, Stunden bzw. Sekunden. M steht für Monate, wenn es nach P kommt, und für Minuten, wenn es nach T kommt.M

Sie müssen mindestens ein Ganzzahl-Einheit-Paar in Ihren Aufbewahrungszeitraum aufnehmen, können aber alle Ganzzahl-Einheit-Paare weglassen, die Sie nicht benötigen.

Beispiel: P1DT720M legt eine Aufbewahrungsdauer von 1 Tag und 720 Minuten (eineinhalb Tage) fest.

Aufbewahrungsrichtlinien sperren

Wenn Sie die Aufbewahrungsrichtlinie eines Buckets sperren, verhindern Sie, dass die Richtlinie entfernt oder die Aufbewahrungsdauer verkürzt wird. Sie können die Aufbewahrungsdauer aber verlängern. Wenn Sie versuchen, die Dauer der Richtlinie eines gesperrten Buckets zu entfernen oder zu verkürzen, wird der Fehler 400 BadRequestException ausgegeben. Sobald eine Aufbewahrungsrichtlinie gesperrt ist, können Sie den Bucket erst löschen, wenn die Aufbewahrungsdauer für jedes Objekt im Bucket abgelaufen ist.

Das Sperren der Aufbewahrungsrichtlinie eines Buckets kann nicht rückgängig gemacht werden. Sie sollten deshalb mit den Auswirkungen dieses Vorgangs vertraut sein, bevor Sie diese Funktion nutzen. Wenn Sie eine nicht gesperrte Aufbewahrungsrichtlinie verwenden, können Sie die Richtlinie entfernen und so Objekte bei Bedarf weiterhin löschen. Wenn Sie eine Richtlinie sperren, müssen Sie erst den gesamten Bucket löschen, bevor Sie die Richtlinie "entfernen" können. Sie können einen Bucket jedoch nicht löschen, wenn sich darin Objekte befinden, deren Aufbewahrungsdauer noch nicht abgelaufen ist. Ein Bucket mit einer gesperrten Richtlinie lässt sich erst löschen, wenn die Aufbewahrungsdauer für jedes Objekt im Bucket abgelaufen ist.

Wenn Sie eine Aufbewahrungsrichtlinie sperren, wendet Cloud Storage außerdem automatisch eine Sperre auf die Berechtigung projects.delete für das Projekt an, das den Bucket enthält. Die Sperre verhindert, dass das Projekt gelöscht wird. Wenn Sie das Projekt löschen möchten, müssen Sie zuerst alle derartigen Sperren entfernen. Beachten Sie, dass zum Entfernen einer Sperre die Berechtigung resourcemanager.projects.updateLiens erforderlich ist, die Teil der Rollen roles/owner und roles/resourcemanager.lienModifier ist.

Informationen dazu, wie das Sperren einer Aufbewahrungsrichtlinie dazu beitragen kann, dass Ihre Daten die Aufbewahrungsvorschriften für Aufzeichnungen einhalten, finden Sie auf der Seite zur Compliance.

Nächste Schritte

• Aufbewahrungsrichtlinien verwenden und sperren
• Weitere Informationen zur Objektaufbewahrungssperre und zu Objekt-Holds, mit denen einzelne Objekte vor dem Löschen geschützt werden können.
• Weitere Informationen zum detaillierten Audit-Logging-Modus, der Sie bei der Einhaltung von Vorschriften und Compliance-Anforderungen unterstützt