Datenaufbewahrungsregeln für Object Storage
Erfahren Sie, wie Sie mit Aufbewahrungsregeln Object Storage-Daten beibehalten.
Aufbewahrungsregeln werden auf Bucket-Ebene konfiguriert und auf alle einzelnen Objekte im Bucket angewendet.
Ein Verständnis der Aufbewahrungsdauer für zeitgebundene Regeln ist wichtig. Obwohl Sie Aufbewahrungsregeln für einen Bucket erstellen, wird die Dauer einer Regel auf jedes Objekt im Bucket einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts. Angenommen, Ihr Bucket enthält zwei Objekte: ObjectX und ObjectY. ObjectX wurde vor 14 Monaten zuletzt aktualisiert und ObjectY wurde vor 3 Monaten zuletzt aktualisiert.
Sie erstellen eine Aufbewahrungsregel mit einer Dauer von 1 Jahr. Diese Regel verhindert die Änderung oder das Löschen von ObjectY für die nächsten 9 Monate. Die Regel ermöglicht das Ändern oder Löschen von ObjectX, da die Dauer der Aufbewahrungsregel (1 Jahr) geringer ist, als der Zeitstempel Zuletzt geändert (14 Monate) des Objekts. Wenn ObjectX irgendwann im kommenden Jahr überschrieben wird, würde die Änderung und Löschung für die verbleibende Zeit der Regeldauer verhindert.
Das Sperren einer Aufbewahrungsregel kann nicht rückgängig gemacht werden. Selbst ein Mandantenadministrator oder Oracle Support kann eine gesperrte Regel nicht löschen. Eine obligatorische 14-tägige Verzögerung ist vorhanden, bevor eine Regel gesperrt wird. Mit dieser Verzögerung können Sie die Regeln oder die Regelsperre sorgfältig testen, aktualisieren oder löschen, bevor die Regel endgültig gesperrt wird.
Eine Regel ist zum Zeitpunkt der Erstellung aktiv. Die Sperre kontrolliert nur, ob die Regel selbst verändert werden kann. Nachdem eine Regel gesperrt wurde, sind nur Verlängerungen der Aufbewahrungsdauer zulässig. Eine Objektänderung wird verhindert, und die Regel kann nur durch Löschen des Buckets gelöscht werden. Ein Bucket muss leer sein, damit er gelöscht werden kann.
Wir empfehlen Ihnen, Benachrichtigungen 7 Tage und 3 Tage vor Ablauf der 14-Tage-Periode für sich selbst einzurichten, um die Regel zu entfernen, wenn Sie sich nicht sicher sind, ob Sie sie verwenden möchten.
Eine unabhängige Bewertung der Fähigkeit der Object Storage-Aufbewahrungsregeln, behördliche Anforderungen zur Verwaltung und Aufbewahrung von Datensätzen zu erfüllen, finden Sie unter SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) und MiFID II Compliance Assessment von Cohasset Associate.
Sie können die folgenden Aufgaben für Datenaufbewahrungsregeln ausführen:
Aufbewahrungsregeln für einen Bucket auflisten.
Details einer Aufbewahrungsregel abrufen.
Aktualisieren Sie die Einstellungen einer Aufbewahrungsregel.
Aufbewahrungs-Anwendungsfälle
Object Storage stellt einen flexiblen Ansatz zur Datenaufbewahrung bereit, der die folgenden Anwendungsfälle unterstützt:
| Anwendungsfall | Beschreibung |
|---|---|
| Einhaltung gesetzlicher Bestimmungen | In Ihrer Branche kann es erforderlich sein, dass Sie eine bestimmte Klasse von Daten eine vorgegebene Zeit lang aufbewahren müssen. Möglicherweise sind Sie auch verpflichtet, die Aufbewahrungseinstellungen für Ihre Datenaufbewahrung zu sperren. Wenn Sie die Einstellungen sperren, ist die einzige Änderung, die Sie vornehmen können, eine Verlängerung der Aufbewahrungsdauer. Für die Einhaltung gesetzlicher Vorschriften in Object Storage erstellen Sie eine Regel für die zeitgebundene Aufbewahrung und geben eine Dauer an. Änderungen und Löschungen von Objekten werden während der angegebenen Dauer verhindert. Die Dauer wird auf jedes Objekt einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts. Sperren Sie die Regel nach Bedarf. |
| Daten-Governance | Möglicherweise müssen Sie bestimmte Datasets im Rahmen der internen Geschäftsprozessanforderungen schützen. Es ist zwar notwendig, die Daten eine bestimmte Zeit lang aufzubewahren, aber diese Zeitdauer könnte sich ändern. Für Object Storage Data Governance erstellen Sie eine Regel, die zeitgebundene Aufbewahrung und eine Dauer angeben. Änderungen und Löschungen von Objekten werden während der angegebenen Dauer verhindert. Die Dauer wird auf jedes Objekt einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts. Um die Regel zu löschen und ggf. Änderungen an der Dauer zuzulassen, sperren sie die Regel. |
| Gesetzliche Aufbewahrungsfrist | Möglicherweise müssen Sie als Reaktion auf potenzielle oder laufende Gerichtsverfahren bestimmte Geschäftsdaten aufbewahren. Eine gesetzliche Aufbewahrungsfrist ist nicht definiert und bleibt in Kraft, bis Sie aufgehoben werden. Für gesetzliche Aufbewahrungsfristen in Object Storage erstellen Sie eine unbefristete Aufbewahrungsregel. Änderungen und Löschungen von Objekten werden verhindert, bis Sie die Regel löschen. Sie können keine unbegrenzte Aufbewahrungsregel sperren, da für die Regel keine Dauer angegeben ist. |
Erforderliche IAM-Policys
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.
Für Administratoren:
- Sie können eine Policy erstellen, mit der die angegebene IAM-Gruppe Object Storage-Namespaces, Buckets und die zugehörigen Objekte in allen Compartments im Mandanten verwalten kann. Beispiel: Mit der folgenden Regel kann die IAM-Gruppe "StorageAdmins" alle Aktionen im Mandanten ausführen:
Allow group StorageAdmins to manage object-family in tenancy - Alternativ können Sie Policys erstellen, die den Geltungsbereich für den Zugriff reduzieren. Beispiel: Sie können Policys erstellen, mit denen die StorageAdmins-Gruppe nur Buckets und Objekte in einem Compartment namens ObjectStore im Mandanten verwalten kann:
Allow group StorageAdmins to manage buckets in compartment ObjectStore Allow group StorageAdmins to manage objects in compartment ObjectStore - Wenn Sie restriktivere Policys erstellen, die einzelne Berechtigungen erteilen, sind BUCKET_UPDATE und RETENTION_RULE_MANAGE erforderlich, um Aufbewahrungsregeln zu erstellen, zu bearbeiten und zu löschen. BUCKET_UPDATE, RETENTION_RULE_MANAGE und RETENTION_RULE_LOCK sind erforderlich, um Aufbewahrungsregeln zu sperren.
Informationen zu anderen Möglichkeiten, Policys zu schreiben, finden Sie unter Details zu Object Storage, Archive Storage und Data Transfer.
Geltungsbereich und Constraints
- Aufbewahrungsregeln können auf einen Bucket in der Standard-(Object Storage-) oder Archive Storage-Tier angewendet werden.
- Die Aktionen, die Sie für einen Bucket mit aktiven Aufbewahrungsregeln ausführen können, sind eingeschränkt. Objekte oder Objektmetadaten können erst aktualisiert, überschrieben oder gelöscht werden, wenn die Aufbewahrungsregel gelöscht (unbestimmte Regel) oder für die angegebene Dauer (zeitgebundene Regeln) wurde. Die Dauer zeitgebundener Regeln wird auf jedes Objekt einzeln angewendet und basiert auf dem Zeitstempel Zuletzt geändert des Objekts.
- Sie können mehrere Aufbewahrungsregeln für einen Bucket erstellen. Die unbegrenzte Aufbewahrungsregel wird angewendet, bevor eine zeitgebundene Regel berücksichtigt wird.
- Wenn eine Aufbewahrungsregel gesperrt ist, kann sie nur gelöscht werden, indem der Bucket gelöscht wird. Ein Bucket muss leer sein, damit er gelöscht werden kann.
Interaktion zwischen Aufbewahrungs- und anderen Object Storage-Features
Prüfen Sie sorgfältig die Policys und Regeln, die Sie für die anderen verwendeten Object Storage-Features eingerichtet haben. Einige dieser Policys und Regeln sind möglicherweise bei der Verwendung von Aufbewahrungsregeln nicht mehr sinnvoll. In diesem Abschnitt werden einige wichtige Punkte beschrieben, die Sie über die Interaktion zwischen Aufbewahrungsregeln und anderen Object Storage-Features wissen müssen.
| Feature | Beschreibung |
|---|---|
| Erneute Verschlüsselung des Buckets | Aufbewahrungsregeln blockieren die erneute Bucket-Verschlüsselung nicht mit Oracle oder Ihren eigenen Vault-Masterverschlüsselungsschlüsseln. |
| Multipart-Uploads | Nicht festgeschriebene (nicht abgeschlossene oder nicht erfolgreiche) Multipart-Uploads werden nicht durch Aufbewahrungsregeln geschützt und können jederzeit gelöscht werden. |
| Lebenszyklusmanagement | Lebenszyklus-Policys können die Storage Tier of Objects aktualisieren, die durch Aufbewahrungsregeln geschützt sind Lifecycle Management kann durch aktive Aufbewahrungsregeln geschützte Objekte nicht entfernen. |
| Replikation | Sie können Aufbewahrungsregeln für einen Replikationsquell-Bucket erstellen. Sie können in einem Replikationsziel-Bucket keine Aufbewahrungsregeln erstellen. Die Replikation in einem Ziel-Bucket, der Aufbewahrungsregeln enthält, kann nicht aktiviert werden. |
| Versionierung | Einem Bucket, für den die Versionierung aktiviert wurde, können Sie keine Aufbewahrungsregeln hinzufügen. Die Versionierung eines Buckets mit aktiven Aufbewahrungsregeln kann nicht aktiviert werden. Sie können Aufbewahrungsregeln zu einem Bucket hinzufügen, für den die Versionierung ausgesetzt ist. Die Versionierung kann jedoch mit aktiven Aufbewahrungsregeln nicht fortgesetzt werden. |