保持ルール
保持ルールは、データ・ガバナンス、規制コンプライアンスおよび法的保持要件のためにオブジェクト・ストレージに書き込まれるデータに対して、不変のWORM準拠のストレージ・オプションを提供します。
保存ルールは、偶発的または悪意のある更新、上書きまたは削除からデータを保護することもできます。 保持ルールは、管理者がルールの変更やデータの削除や変更を行わないようにロックできます。
保持ルールはバケット・レベルで構成され、バケット内のすべての個別オブジェクトに適用されます。
Object Storageは、次のユースケースをサポートするデータ保持に対する柔軟なアプローチを提供します。
-
規制準拠
業界では、一定の期間データを保持することが必要になる場合があります。 データ保持規則では、保持設定をロックする必要もあります。 設定をロックした場合、変更できるのは保持期間を延長することのみです。
Object Storageの規制コンプライアンスのために、期限付き保持ルールを作成し、期間を指定します。 指定した期間、オブジェクトの変更および削除は禁止されます。 期間は各オブジェクトに個別に適用され、オブジェクトの最終変更タイムスタンプに基づきます。 必要に応じてルールをロックします。
-
データ・ガバナンス
内部ビジネス・プロセス要件の一部として、特定のデータ・セットを保護する必要がある場合があります。 定義された期間のデータを保持する場合、その期間は変更される可能性があります。
時間制限のある保持ルールを作成し、期間を指定します。 指定した期間、オブジェクトの変更および削除は禁止されます。 期間は各オブジェクトに個別に適用され、オブジェクトの最終変更タイムスタンプに基づきます。 ルールを削除し、必要に応じて期間を変更できるようにするには、ルールをロックしないでください。
-
法的保留
潜在的な訴訟や継続的な訴訟に対応して、特定のビジネス・データを保持する必要がある場合があります。 法的保留には保存期間が定義されておらず、削除されるまで有効です。
Object Storageの法的保留の場合は、無期限の保持ルールを作成します。 オブジェクトの変更および削除は、ルールを削除するまで防止されます。 無期限の保持ルールは期間がないためロックできません。
時間制限ルールの保持期間を理解することが重要です。 バケットの保持ルールを作成している場合でも、ルールの期間はバケット内の各オブジェクトに個別に適用され、オブジェクトの最終変更タイムスタンプに基づきます。 バケットに2つのオブジェクトObjectXおよびObjectYがあるとします。 ObjectXは14か月前に最終変更され、ObjectYは3か月前に最終変更されました。 1年間の保持ルールを作成します。 このルールは、次の9か月間のObjectYの変更または削除を防止します。 保持ルールの期間(1年)がオブジェクトの最終変更タイムスタンプ(14か月)より短いため、このルールではObjectXの変更または削除が許可されます。 ObjectXが翌年の何度か上書きされた場合、残りのルール期間の間、変更および削除は禁止されます。
「保持ルールのロックは元に戻せない操作です」。 テナンシ管理者がロックされたルールを削除することはできません。 ルールがロックされるまで、必須の14日間の遅延があります。 この遅延により、ルールが完全にロックされる前に、ルールまたはルール・ロックを完全にテスト、変更または削除できます。 ルールは作成時にアクティブになります。 ロックは、ルール自体を変更できるかどうかのみを制御します。 ルールがロックされると、期間の増加のみが許可されます。 オブジェクトの変更は禁止されており、ルールはバケットを削除することによってのみ削除できます。 バケットを削除する前に、空にする必要があります。
スコープと制約
-
保持ルールは、オブジェクト・ストレージのバケットに適用できます。
-
アクティブな保持ルールがあるバケットに対して実行できるアクションは制限されています。 保存ルールが削除されるか(無限ルール)、指定した期間(期限付きルール)まで、オブジェクトまたはオブジェクト・メタデータを更新、上書きまたは削除できません。 期限付きルールの期間は、各オブジェクトに個別に適用され、オブジェクトの最終変更タイムスタンプに基づきます。
-
1つのバケットに対して複数の保持ルールを作成できます。 無期限の保持ルールは、時間制限ルールが考慮される前に適用されます。
-
保持ルールがロックされている場合、ルールはバケットを削除することによってのみ削除できます。 バケットを削除する前に、空にする必要があります。
保持とその他のオブジェクト・ストレージ機能間の相互作用
使用している他のObject Storage機能のために配置されているポリシーおよびルールを慎重に確認します。 これらのポリシーおよびルールの一部は保持ルールで有効にならない場合があります。 この項では、保持ルールとその他のオブジェクト・ストレージ機能間の相互作用について知っておく必要がある重要な事項について説明します。
マルチパート・アップロード
コミットされていない(未終了または失敗)マルチパート・アップロードは、保存ルールによって保護されず、いつでも削除できます。
バージョニング
-
バージョニングが有効になっているバケットには保持ルールを追加できません。
-
アクティブな保持ルールがあるバケットでバージョニングを有効にすることはできません。
-
バージョニングが一時停止されているバケットに保持ルールを追加できます。 ただし、アクティブな保持ルールでバージョニングを再開することはできません。
保持ルールのトラブルシューティング
保持ルールを作成できません
保持ルールの作成に失敗した場合、最も可能性の高い原因は、IAM権限が欠落しているか、不完全であることです。 ルールの作成には次が必要です:
-
バケットにアクセスし、それらのバケット内のオブジェクトを管理できるユーザー権限。
-
少なくとも、BUCKET_UPDATEおよびRETENTION_RULE_MANAGE権限です。
-
少なくとも、BUCKET_UPDATEおよびRETENTION_RULE_MANAGE権限です。
保持ルールをロックできません
保持ルールのロックに失敗した場合、最も可能性の高い原因は、IAM権限が欠落しているか、不完全です。 保持ルールをロックするには、少なくともBUCKET_UPDATE、RETENTION_RULE_MANAGEおよびRETENTION_RULE_LOCK権限が必要です。
保持ルールを削除できません
ロックされている期限付き保持ルールは削除できません。 保持ルールがロックされている場合、ルールはバケットを削除することによってのみ削除できます。 バケットを削除する前に、空にする必要があります。
無期限の保持ルールの削除に失敗した場合、最も可能性の高い原因は、IAM権限が欠落しているか、不完全であることです。 ルールの削除には次が必要です:
-
バケットにアクセスし、それらのバケット内のオブジェクトを管理できるユーザー権限。
-
少なくとも、BUCKET_UPDATEおよびRETENTION_RULE_MANAGE権限です。