Oracle Cloud Infrastructure - Dokumentation

Datenaufbewahrungsregeln für Object Storage

Erfahren Sie, wie Sie mit Aufbewahrungsregeln Object Storage-Daten beibehalten.

Aufbewahrungsregeln werden auf Bucket-Ebene konfiguriert und auf alle einzelnen Objekte im Bucket angewendet.

Ein Verständnis der Aufbewahrungsdauer für zeitgebundene Regeln ist wichtig. Auch wenn Sie Aufbewahrungsregeln für einen Bucket erstellen, wird die Dauer einer Regel auf jedes Objekt im Bucket einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts. Angenommen, Ihr Bucket enthält zwei Objekte: ObjectX und ObjectY. ObjectX wurde vor 14 Monaten zuletzt geändert, und ObjectY wurde vor 3 Monaten zuletzt geändert. Sie erstellen eine Aufbewahrungsregel mit einer Dauer von 1 Jahr. Diese Regel verhindert die Änderung oder das Löschen von ObjectY für die nächsten 9 Monate. Die Regel ermöglicht das Ändern oder Löschen von ObjectX, da die Dauer der Aufbewahrungsregel (1 Jahr) geringer ist als der Zeitstempel Zuletzt geändert (14 Monate) des Objekts. Wenn ObjectX irgendwann im kommenden Jahr überschrieben wird, würde die Änderung und Löschung für die verbleibende Zeit der Regeldauer verhindert.

Wichtig

Das Sperren einer Aufbewahrungsregel kann nicht rückgängig gemacht werden. Selbst ein Mandantenadministrator oder Oracle Support kann eine gesperrte Regel nicht löschen. Vor dem Sperren einer Regel gibt es eine obligatorische 14-tägige Verzögerung. Mit dieser Verzögerung können Sie die Regel oder die Regelsperre sorgfältig testen, ändern oder löschen, bevor die Regel endgültig gesperrt wird.

Eine Regel ist zum Zeitpunkt der Erstellung aktiv. Die Sperre kontrolliert nur, ob die Regel selbst geändert werden kann. Nachdem eine Regel gesperrt wurde, sind nur Verlängerungen der Aufbewahrungsdauer zulässig. Eine Objektänderung wird verhindert, und die Regel kann nur durch Löschen des Buckets gelöscht werden. Ein Bucket muss leer sein, damit er gelöscht werden kann.

Wir empfehlen Ihnen, Benachrichtigungen 7 Tage und 3 Tage vor Ablauf der 14-Tage-Periode für sich selbst einzurichten, um die Regel zu entfernen, wenn Sie sich nicht sicher sind, ob Sie sie verwenden möchten.

Eine unabhängige Bewertung der Fähigkeit der Object Storage-Aufbewahrungsregeln, behördliche Anforderungen zur Verwaltung und Aufbewahrung von Datensätzen zu erfüllen, finden Sie unter SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) und MiFID II Compliance Assessment von Cohasset Associate.

Aufgaben: Datenaufbewahrungsregel

Sie können die folgenden Aufgaben für Datenaufbewahrungsregeln ausführen:

Aufbewahrungs-Anwendungsfälle

Object Storage stellt einen flexiblen Ansatz zur Datenaufbewahrung bereit, der die folgenden Anwendungsfälle unterstützt:

Einhaltung gesetzlicher Vorschriften

In Ihrer Branche kann es erforderlich sein, dass Sie eine bestimmte Klasse von Daten eine vorgegebene Zeit lang aufbewahren müssen. Möglicherweise sind Sie auch verpflichtet, die Aufbewahrungseinstellungen für Ihre Datenaufbewahrung zu sperren. Wenn Sie die Einstellungen sperren, ist die einzige Änderung, die Sie vornehmen können, eine Verlängerung der Aufbewahrungsdauer.

Für die Einhaltung gesetzlicher Vorschriften in Object Storage erstellen Sie eine Regel für die zeitgebundene Aufbewahrung und geben eine Dauer an. Änderungen und Löschungen von Objekten werden während der angegebenen Dauer verhindert. Die Dauer wird auf jedes Objekt einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts. Sperren Sie die Regel nach Bedarf.

Data Governance

Möglicherweise müssen Sie bestimmte Datasets im Rahmen der internen Geschäftsprozessanforderungen schützen. Es ist zwar notwendig, die Daten eine bestimmte Zeit lang aufzubewahren, aber diese Zeitdauer könnte sich ändern.

Für Object Storage Data Governance erstellen Sie eine Regel für die zeitgebundene Aufbewahrung und geben eine Dauer an. Änderungen und Löschungen von Objekten werden während der angegebenen Dauer verhindert. Die Dauer wird auf jedes Objekt einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts. Um die Regel löschen zu können und bei Bedarf Änderungen an der Dauer zulassen zu können, sperren Sie die Regel nicht.

Gesetzliche Aufbewahrungsfrist

Möglicherweise müssen Sie als Reaktion auf potenzielle oder laufende Gerichtsverfahren bestimmte Geschäftsdaten aufbewahren. Eine gesetzliche Aufbewahrungsfrist hat keine definierte Aufbewahrungsfrist und bleibt in Kraft, bis sie aufgehoben wird.

Für gesetzliche Aufbewahrungsfristen in Object Storage erstellen Sie eine unbegrenzte Aufbewahrungsregel. Änderungen und Löschungen von Objekten werden verhindert, bis Sie die Regel löschen. Sie können eine unbegrenzte Aufbewahrungsregel nicht sperren, da für die Regel keine Dauer angegeben ist.

Erforderliche IAM-Policys

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der von einem Mandantenadministrator Sicherheitszugriff in einer Policy erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Ihr Zugriff funktioniert.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.

Für Administratoren:

  • Sie können eine Policy erstellen, mit der die angegebene IAM-Gruppe Object Storage-Namespaces, Buckets und die zugehörigen Objekte in allen Compartments im Mandanten verwalten kann. Beispiel: Mit der folgenden Regel kann die IAM-Gruppe "StorageAdmins" alle Aktionen im Mandanten ausführen:

    Allow group StorageAdmins to manage object-family in tenancy

  • Alternativ können Sie Policys erstellen, die den Geltungsbereich für den Zugriff reduzieren. Beispiel: Sie können Policys erstellen, mit denen die StorageAdmins-Gruppe nur Buckets und Objekte in einem Compartment namens ObjectStore im Mandanten verwalten kann:

    Allow group StorageAdmins to manage buckets in compartment ObjectStore
Allow group StorageAdmins to manage objects in compartment ObjectStore

  • Wenn Sie restriktivere Policys erstellen, die einzelne Berechtigungen erteilen, sind BUCKET_UPDATE und RETENTION_RULE_MANAGE erforderlich, um Aufbewahrungsregeln zu erstellen, zu bearbeiten und zu löschen. BUCKET_UPDATE, RETENTION_RULE_MANAGE und RETENTION_RULE_LOCK sind erforderlich, um Aufbewahrungsregeln zu sperren.

Informationen zu anderen Möglichkeiten, Policys zu schreiben, finden Sie unter Details zu Object Storage, Archive Storage und Data Transfer.

Geltungsbereich und Constraints

  • Aufbewahrungsregeln können auf einen Bucket in der Standard-Tier (Object Storage) oder in der Archive Storage-Ebene angewendet werden.

  • Die Aktionen, die Sie für einen Bucket mit aktiven Aufbewahrungsregeln ausführen können, sind eingeschränkt. Bei zeitgebundenen Regeln können Sie Objekte oder Objektmetadaten während der angegebenen Dauer nicht aktualisieren, überschreiben oder löschen. Bei unbegrenzten Regeln können Sie diese Aktionen erst ausführen, nachdem die Aufbewahrungsregel gelöscht wurde. Die Dauer von zeitgebundenen Regeln wird auf jedes Objekt einzeln angewendet und basiert auf dem Zeitstempel "Zuletzt geändert" des Objekts.

  • Sie können mehrere Aufbewahrungsregeln für einen Bucket erstellen. Die unbegrenzte Aufbewahrungsregel wird angewendet, bevor eine zeitgebundene Regel berücksichtigt wird.

  • Wenn eine Aufbewahrungsregel gesperrt ist, kann sie nur gelöscht werden, indem der Bucket gelöscht wird. Ein Bucket muss leer sein, damit er gelöscht werden kann.

Interaktion zwischen Aufbewahrungs- und anderen Object Storage-Features

Prüfen Sie sorgfältig die Policys und Regeln, die Sie für die anderen verwendeten Object Storage-Features eingerichtet haben. Einige dieser Policys und Regeln sind möglicherweise bei der Verwendung von Aufbewahrungsregeln nicht mehr sinnvoll. In diesem Abschnitt werden einige wichtige Punkte beschrieben, die Sie über die Interaktion zwischen Aufbewahrungsregeln und anderen Object Storage-Features wissen müssen.

Erneute Verschlüsselung des Buckets

Aufbewahrungsregeln blockieren keine erneute Bucket-Verschlüsselung mit von Oracle verwalteten oder Ihren eigenen Vault-Masterverschlüsselungsschlüsseln.

Multipart-Uploads

Nicht festgeschriebene (nicht abgeschlossene oder nicht erfolgreiche) Multipart-Uploads werden nicht durch Aufbewahrungsregeln geschützt und können jederzeit gelöscht werden.

Lifecycle Management

  • Lebenszyklus-Policys können die Storage Tier of Objects aktualisieren, die durch Aufbewahrungsregeln geschützt sind

  • Lifecycle Management kann durch aktive Aufbewahrungsregeln geschützte Objekte nicht entfernen.

Replikation

  • Sie können Aufbewahrungsregeln für einen Replikationsquell-Bucket erstellen.

  • Sie können keine Aufbewahrungsregeln für einen Replikationsziel-Bucket erstellen.

  • Die Replikation in einem Ziel-Bucket mit Aufbewahrungsregeln kann nicht aktiviert werden.

Versionierung

  • Sie können Aufbewahrungsregeln nicht zu einem Bucket hinzufügen, für den die Versionierung aktiviert ist.
  • Sie können die Versionierung eines Buckets mit aktiven Aufbewahrungsregeln nicht aktivieren.
  • Sie können Aufbewahrungsregeln zu einem Bucket hinzufügen, für den die Versionierung ausgesetzt ist. Sie können die Versionierung jedoch nicht mit aktiven Aufbewahrungsregeln wiederaufnehmen.