Documentación de Oracle Cloud Infrastructure

Reglas de retención de datos de almacenamiento de objetos

Descubra cómo utilizar reglas de retención para conservar los datos de Object Storage.

Las reglas de retención se configuran en el nivel de cubo y se aplican a todos los objetos individuales del cubo.

Es importante comprender la duración de la retención de las reglas de límite temporal. Aunque cree reglas de retención para un cubo, la duración de una regla se aplica a cada objeto del cubo de forma individual y se basa en el registro de hora Última modificación del objeto. Supongamos que tiene dos objetos en el cubo, ObjectX y ObjectY. ObjectX se modificó por última vez hace 14 meses, y ObjectY se modificó por última vez hace 3 meses. Usted crea una regla de retención con una duración de 1 año. Esta regla impide la modificación o la supresión de ObjectY durante los próximos 9 meses. La regla permite la modificación o la supresión de ObjectX porque la duración de la regla de retención (1 año) es menor que el registro de hora Última modificación del objeto (14 meses). Si ObjectX se sobrescribe en algún momento durante el próximo año, se impedirá la modificación y la supresión de la regla durante el tiempo restante.

El bloqueo de una regla de retención es una operación irreversible. Ni siquiera un administrador de arrendamiento puede suprimir una regla bloqueada. Existe un retraso obligatorio de 14 días para bloquear una regla. Este retraso le permite probar, modificar o suprimir minuciosamente la regla o el bloqueo de la regla antes de que ésta se bloquee de forma permanente. Una regla está activa en el momento de su creación. El bloqueo solo controla si la regla en sí se puede modificar. Una vez bloqueada una regla, solo se permite realizar aumentos en la duración. Se impide la modificación del objeto y la regla solo se puede suprimir mediante la supresión del cubo. Un cubo debe estar vacío para que se pueda suprimir.

Para obtener una evaluación independiente de la capacidad de la función de reglas de retención de Object Storage para cumplir los requisitos normativos de gestión y retención de registros, consulte la sección sobre evaluación de conformidad SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) y MiFID II de Cohasset Associate.

Tareas de Regla de Retención de Datos

Puede realizar las siguientes tareas de reglas de retención de datos:

Casos de Uso de Retención

Object Storage proporciona un enfoque flexible de la retención de datos que admite los siguientes casos de uso:

Conformidad normativa

Es posible que su sector necesite retener una clase de datos determinada durante un período de tiempo definido. Es posible que su normativa de retención de datos también requiera que bloquee la configuración de retención. Si bloquea la configuración, el único cambio que puede realizar es aumentar la duración de la retención.

Para la conformidad normativa de Object Storage, cree una regla de retención de límite temporal y especifique una duración. Se impide la modificación y la supresión de objetos durante el período de duración especificado. La duración se aplica a cada objeto individualmente y se basa en el registro de hora de Last Modified del objeto. Bloquee la regla según sea necesario.

Gobernanza de datos

Es posible que necesite proteger determinados juegos de datos como parte de los requisitos internos del proceso de negocio. Si bien la retención de datos durante un período de tiempo definido es necesaria, este período de tiempo podría cambiar.

Para la gobernanza de datos de Object Storage, cree una regla de retención de límite temporal y especifique una duración. Se impide la modificación y la supresión de objetos durante el período de duración especificado. La duración se aplica a cada objeto individualmente y se basa en el registro de hora de Last Modified del objeto. Para poder suprimir la regla y permitir que se realicen cambios en la duración según sea necesario, no bloquee la regla.

Retención legal

Es posible que necesite conservar determinados datos de negocio para dar respuesta a demandas potenciales o en curso. Una retención legal no tiene un período de retención definido y permanece en vigor hasta que se elimina.

Para las retenciones legales de Object Storage, cree una regla de retención indefinida. Se impide la modificación y la supresión de objetos hasta que suprima la regla. No puede bloquear una regla de retención indefinida porque la regla no tiene una duración.

Políticas de IAM necesarias

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que tiene y en qué compartimento debe trabajar.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Para administradores:

  • Puede crear una política que permita al grupo de IAM especificado gestionar espacios de nombre de Object Storage, cubos y sus objetos asociados en todos los compartimentos del arrendamiento. Por ejemplo, para permitir que el grupo de IAM StorageAdmins realice todas las acciones en el arrendamiento:

    Allow group StorageAdmins to manage object-family in tenancy

  • Como alternativa, puede crear políticas que reduzcan el ámbito de acceso. Por ejemplo, puede crear políticas que permitan al grupo StorageAdmins gestionar solo los cubos y los objetos de un compartimento denominado ObjectStore del arrendamiento:

    Allow group StorageAdmins to manage buckets in compartment ObjectStore
Allow group StorageAdmins to manage objects in compartment ObjectStore

  • Si crea políticas más restrictivas que otorguen permisos individuales, BUCKET_UPDATE y RETENTION_RULE_MANAGE son necesarios para crear, editar y suprimir reglas de retención. BUCKET_UPDATE, RETENTION_RULE_MANAGE y RETENTION_RULE_LOCK son necesarios para bloquear las reglas de retención.

Para obtener más información sobre otras alternativas para la escritura de políticas, consulte Detalles de Object Storage, Archive Storage y Data Transfer.

Ámbito y restricciones

  • Las reglas de retención se pueden aplicar a un cubo en el nivel estándar (Object Storage) o de Archive Storage.

  • Las acciones que puede realizar en un cubo con reglas de retención activas son limitadas. No puede actualizar, sobrescribir ni suprimir objetos o metadatos de objeto hasta que se suprima la regla de retención (regla indefinida) o durante el período de duración especificado (reglas de límite temporal). La duración de las reglas de límite temporal se aplica a cada objeto individualmente y se basa en el registro de hora de la última modificación del objeto.

  • Puede crear varias reglas de retención para un cubo. La regla de retención indefinida se aplica antes de que se considere cualquier regla de límite temporal.

  • Cuando una regla de retención está bloqueada, solo se puede suprimir mediante la supresión del cubo. Un cubo debe estar vacío para que se pueda suprimir.

Interacción entre la retención y otras funciones de Object Storage

Revise cuidadosamente las políticas y las reglas que se aplican para las demás funciones de Object Storage que está utilizando. Es posible que algunas de estas políticas y reglas ya no tengan sentido con las reglas de retención. En esta sección se describen algunos elementos clave que debe conocer sobre la interacción entre las reglas de retención y otras funciones de Object Storage.

Nuevo cifrado del cubo

Las reglas de retención no bloquean el nuevo cifrado del cubo mediante Oracle o sus propias claves de cifrado maestras del almacén de claves.

Cargas de varias partes

Las cargas de varias partes no confirmadas (no finalizadas o con fallos) no están protegidas por las reglas de retención y se pueden suprimir en cualquier momento.

Gestión del ciclo de vida

  • Las políticas de ciclo de vida pueden actualizar el nivel de almacenamiento de objetos protegidos por reglas de retención

  • La gestión del ciclo de vida no puede eliminar objetos protegidos por reglas de retención activas.

Replicación

  • Puede crear reglas de retención en un cubo de origen de replicación.

  • No puede crear reglas de retención en un cubo de destino de replicación.

  • No puede activar la replicación en un cubo de destino que tenga reglas de retención.

Control de versiones

  • No puede agregar reglas de retención a un cubo que tenga activado el control de versiones.
  • No puede activar el control de versiones en un cubo con reglas de retención activas.
  • Puede agregar reglas de retención al cubo que tenga el control de versiones suspendido. Sin embargo, no puede reanudar el control de versiones con reglas de retención activas.