Reglas de retención de datos de almacenamiento de objetos
Descubra cómo utilizar reglas de retención para conservar los datos de Object Storage.
Las reglas de retención se configuran en el nivel de cubo y se aplican a todos los objetos individuales del cubo.
Es importante comprender la duración de la retención de las reglas de límite temporal. Aunque esté creando reglas para un cubo, la duración de una regla se aplica a cada objeto del cubo de forma individualmente y está basada en el valor de registro de hora Última modificación del objeto. Supongamos que tiene dos objetos en el cubo, ObjectX y ObjectY. ObjectX se actualizó por última vez hace 14 meses y ObjectY se actualizó por última vez hace 3 meses.
Usted crea una regla de retención con una duración de 1 año. Esta regla impide la modificación o la supresión de ObjectY durante los próximos 9 meses. La regla permite la modificación o supresión de ObjectX porque la duración de las reglas de retención (1 año) es menor que la fecha/hora de la última modificación del objeto (14 meses). Si ObjectX se sobrescribe en algún momento durante el próximo año, se impedirá la modificación y la supresión de la regla durante el tiempo restante.
El bloqueo de una regla de retención es una operación irreversible. Ni siquiera un administrador de arrendamiento ni Oracle Support pueden suprimir una regla bloqueada. Ya existe un retraso obligatorio de 14 días para que se bloquee una regla. Este retraso le permite probar, modificar o suprimir minuciosamente la regla o el bloqueo de la regla antes del bloqueo de forma permanente de la regla.
Una regla está activa en el momento de su creación. El bloqueo solo controla si la regla en sí se puede cambiar. Una vez bloqueada una regla, solo se permite realizar aumentos en la duración. Se impide la modificación del objeto y la regla solo se puede suprimir mediante la supresión del cubo. Un cubo debe estar vacío para que se pueda suprimir.
Le recomendamos que configure avisos para usted durante 7 días y 3 días antes de que finalice el período de 14 días para eliminar la regla si no está seguro de usarla.
Para obtener una evaluación independiente de la capacidad de la función de reglas de retención de Object Storage para cumplir los requisitos normativos de gestión y retención de registros, consulte la sección sobre evaluación de conformidad SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) y MiFID II de Cohasset Associate.
Puede realizar las siguientes tareas de reglas de retención de datos:
Muestre las reglas de retención de un cubo.
Obtenga los detalles de una regla de retención.
Casos de Uso de Retención
Object Storage proporciona un enfoque flexible de la retención de datos que admite los siguientes casos de uso:
| Caso de uso | Descripción |
|---|---|
| Conformidad con las normativas | Es posible que su sector necesite retener una clase de datos determinada durante un período de tiempo definido. Es posible que su normativa de retención de datos también requiera que bloquee la configuración de retención. Si bloquea la configuración, el único cambio que puede realizar es aumentar la duración de la retención. Para la conformidad normativa de Object Storage, cree una regla de retención de límite temporal y especifique una duración. Se impide la modificación y la supresión de objetos durante el período de duración especificado. La duración se aplica a cada objeto individualmente y se basa en el registro de hora de Last Modified del objeto. Bloquee la regla según sea necesario. |
| Gobernanza de datos | Es posible que necesite proteger determinados juegos de datos como parte de los requisitos internos del proceso de negocio. Si bien la retención de datos durante un período de tiempo definido es necesaria, este período de tiempo podría cambiar. Para el gobierno de datos de Object Storage, cree una regla de retención de límite temporal y especifique una duración. Se impide la modificación y la supresión de objetos durante el período de duración especificado. La duración se aplica a cada objeto individualmente y se basa en el valor de registro de hora Última modificación del objeto. Para suprimir la regla y permitir que los cambios en la duración según sea necesario, no bloquee la regla. |
| Retención legal | Es posible que necesite conservar determinados datos de negocio para dar respuesta a demandas potenciales o en curso. Las retenciones legales no tienen un periodo de retención definido y permanecen en vigor hasta la eliminación. Para las retenciones legales de Object Storage, cree una regla de retención indefinida. Se impide la modificación y la supresión de objetos hasta que suprima la regla. No se puede bloquear una regla de retención indefinida porque la regla no tiene duración. |
Políticas de IAM necesarias
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que se le haya otorgado acceso de seguridad en una política por parte de un administrador de arrendamiento. Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indique que no tiene permiso o no está autorizado, verifique con su administrador de arrendamiento el tipo de acceso y el compartimento en el que funciona su acceso.
Si no está familiarizado con las políticas, consulte Gestión de dominios de identidad y Políticas comunes.
Para administradores:
- Puede crear una política que permita al grupo de IAM especificado gestionar espacios de nombre de Object Storage, cubos y sus objetos asociados en todos los compartimentos del arrendamiento. Por ejemplo, para permitir que el grupo de IAM StorageAdmins realice todas las acciones en el arrendamiento:
Allow group StorageAdmins to manage object-family in tenancy - Como alternativa, puede crear políticas que reduzcan el ámbito de acceso. Por ejemplo, puede crear políticas que permitan al grupo StorageAdmins gestionar solo los cubos y los objetos de un compartimento denominado ObjectStore del arrendamiento:
Allow group StorageAdmins to manage buckets in compartment ObjectStore Allow group StorageAdmins to manage objects in compartment ObjectStore - Si crea políticas más restrictivas que otorguen permisos individuales, BUCKET_UPDATE y RETENTION_RULE_MANAGE son necesarios para crear, editar y suprimir reglas de retención. BUCKET_UPDATE, RETENTION_RULE_MANAGE y RETENTION_RULE_LOCK son necesarios para bloquear las reglas de retención.
Para obtener más información sobre otras alternativas para la escritura de políticas, consulte Detalles de Object Storage, Archive Storage y Data Transfer.
Ámbito y restricciones
- Las reglas de retención se pueden aplicar a un cubo en el Nivel Estándar ( Object Storage ) o de Archive Storage .
- Las acciones que puede realizar en un cubo con reglas de retención activas son limitadas. No se pueden actualizar, sobrescribir o suprimir objetos o metadatos del objeto hasta que se suprima la regla de retención (regla indefinida) o por el periodo de duración especificado (reglas de límite temporal). La duración de las reglas de límite de tiempo se aplica a cada objeto individualmente y se basa en el indicador de hora Última modificación del objeto.
- Puede crear varias reglas de retención para un cubo. La regla de retención indefinida se aplica antes de que se considere cualquier regla de límite temporal.
- Cuando una regla de retención está bloqueada, solo se puede suprimir mediante la supresión del cubo. Un cubo debe estar vacío para que se pueda suprimir.
Interacción entre la retención y otras funciones de Object Storage
Revise cuidadosamente las políticas y las reglas que se aplican para las demás funciones de Object Storage que está utilizando. Es posible que algunas de estas políticas y reglas ya no tengan sentido con las reglas de retención. En esta sección se describen algunos elementos clave que debe conocer sobre la interacción entre las reglas de retención y otras funciones de Object Storage.
| Función | Descripción |
|---|---|
| Nuevo cifrado del cubo | Las reglas de retención No bloquean la nueva codificación del cubo mediante Oracle o sus propias clave de cifrado maestras del almacén. |
| Cargas de varias partes | Las cargas de varias partes no confirmadas (no finalizadas o con fallos) no están protegidas por las reglas de retención y se pueden suprimir en cualquier momento. |
| Gestión del ciclo de vida | Las políticas de ciclo de vida pueden actualizar el nivel de almacenamiento de objetos protegidos por reglas de retención La gestión del ciclo de vida no puede eliminar objetos protegidos por reglas de retención activas. |
| Replicación | Puede crear reglas de retención en un cubo de origen de replicación. No se pueden crear reglas de retención en un cubo del destino para replicación. No se puede activar la replicación en un cubo de destino que tenga reglas de retención. |
| Control de versiones | No se pueden agregar reglas de retención a un cubo que tenga activado el control de versiones. No se puede activar un control de versiones en un cubo con reglas de retención activas. Puede agregar reglas de retención al cubo que tenga el control de versiones suspendido. Sin embargo, no se puede reanudar el control de versiones con reglas de retención activas. |