Règles de conservation des données Object Storage
Découvrez comment utiliser des règles de conservation pour préserver les données Object Storage.
Les règles de conservation sont configurées au niveau du bucket et sont appliquées à tous les objets qu'il contient.
Il est important de comprendre la durée de conservation des règles liées au temps. Bien que vous créez une règle de conservation pour un bucket, la durée d'une règle est appliquée à chaque objet du bucket et repose sur l'horodatage Dernière modification de l'objet. Supposons que vous disposiez de deux objets dans le bucket, ObjectX et ObjectY. ObjectX a été mis à jour pour la dernière fois il y a 14 mois et ObjectY pour la dernière fois il y a 3 mois.
Vous créez une règle de conservation avec une durée de 1 an. Cette règle empêche la modification ou la suppression d'ObjectY pendant les 9 prochains mois. Elle permet en revanche de modification ou de suppression de ObjectX car la durée des règles de conservation (1 an) est inférieure à celle de l'horodatage Dernière modification de l'objet (14 mois). Si ObjectX est écrasé au cours de l'année à venir, les modifications et les suppressions seront bloquées pendant la durée restante de la règle.
Le verrouillage d'une règle de conservation est une opération irréversible. Même l'administrateur de location ou le support technique Oracle ne peut pas supprimer une règle verrouillée. Il existe un délai de 14 jours obligatoire avant qu'une règle ne soit verrouillée. Ce délai vous permet de tester minutieusement, de mettre à jour ou de supprimer la règle ou son verrouillage avant qu'elle ne soit définitivement verrouillée.
Une règle est active au moment de la création. Le verrouillage permet uniquement de contrôler si la règle elle-même peut être modifiée Une fois qu'une règle est verrouillée, seules les augmentations de durée sont autorisées. Les modifications d'objet sont bloquées et la règle ne peut être supprimée que par la suppression du bucket. Vous ne pouvez supprimer un bucket que s'il est vide.
Nous vous recommandons de configurer des avis pour vous-même pendant 7 jours et 3 jours avant la fin de la période de 14 jours pour supprimer la règle si vous n'êtes pas sûr de l'utiliser.
Pour obtenir une évaluation indépendante de la capacité de la fonctionnalité des règles de conservation Object Storage à répondre aux exigences réglementaires en matière de gestion et de conservation des enregistrements, reportez-vous à l'évaluation de conformité pour SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) et MiFID II de Cohasset Associates.
Vous pouvez effectuer les tâches de règle de conservation des données suivantes :
Liste des règles de conservation d'un bucket.
Créez une règle de conservation.
Obtenez les détails d'une règle de conservation.
Cas d'utilisation de la conservation
Object Storage fournit une approche flexible de la conservation des données, qui prend en charge les cas d'emploi suivants :
| Cas d'emploi | Description |
|---|---|
| Conformité aux réglementations | Dans votre secteur d'activité, vous avez peut-être l'obligation de conserver une certaine catégorie de données pendant une durée définie. Les réglementations en matière de conservation des données peuvent également nécessiter le verrouillage des paramètres de conservation. Si vous verrouillez les paramètres, la seule modification que vous pouvez effectuer est d'augmenter la durée de conservation. Pour la conformité réglementaire Object Storage, vous créez une règle de conservation liée au temps et indiquez une durée. Les modifications et suppressions d'objet sont bloquées pendant la durée indiquée. La durée est appliquée à chaque objet et dépend de l'horodatage Dernière modification de celui-ci. Verrouillez la règle si nécessaire. |
| Gestion des données | Vous pouvez avoir besoin de protéger certains ensembles de données pour respecter des exigences de processus métier internes. La conservation des données pendant une durée définie est nécessaire, mais cette durée peut changer. Pour la gouvernance de données Object Storage, vous créez une règle de conservation liée à la durée et indiquez une durée. Les modifications et suppressions d'objet sont bloquées pendant la durée indiquée. La durée est appliquée à chaque objet individuellement et dépend de l'horodatage Dernière modification de l'objet. Pour supprimer la règle et autoriser les modifications de durée si nécessaire, ne pas verrouiller la règle. |
| Blocage légal | Vous pouvez avoir besoin de conserver certaines données d'activité en vue d'une action en justice en cours ou éventuelle. Un blocage légal n'a pas de période de conservation définie et reste en vigueur jusqu'à ce qu'il soit enlevé. Dans le cadre des obligations de stockage Object Storage, vous créez une règle de préservation indéfinie. Les modifications et suppressions d'objet sont bloquées tant que vous ne supprimez pas la règle. Vous n'êtes pas autorisé à verrouiller une règle de conservation indéfinie, car elle n'a pas de durée. |
Stratégies IAM requises
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.
Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes.
Pour les administrateurs :
- Vous pouvez créer une stratégie qui permet au groupe IAM indiqué de gérer les espaces de noms Object Storage, les buckets et les objets associés dans tous les compartiments de la location. Par exemple, pour que le groupe IAM StorageAdmins puisse effectuer n'importe quelle opération dans la location :
Allow group StorageAdmins to manage object-family in tenancy - Vous pouvez également créer des stratégies qui réduisent la portée de l'accès. Par exemple, vous pouvez créer des stratégies permettant au groupe StorageAdmins de gérer uniquement les buckets et les objets d'un compartiment de la location appelé ObjectStore :
Allow group StorageAdmins to manage buckets in compartment ObjectStore Allow group StorageAdmins to manage objects in compartment ObjectStore - Si vous créez des stratégies plus restrictives octroyant des droits d'accès individuels, BUCKET_UPDATE et RETENTION_RULE_MANAGE sont requis pour créer, modifier et supprimer des règles de conservation. BUCKET_UPDATE, RETENTION_RULE_MANAGE et RETENTION_RULE_LOCK sont requis pour verrouiller les règles de conservation.
Pour plus d'informations sur les alternatives en matière d'écriture de stratégies, reportez-vous à Détails relatifs à Object Storage, Archive Storage et Transfert de données.
Portée et contraintes
- Les règles de conservation peuvent être appliquées à un bucket du niveau Standard ( Object Storage ) ou Archive Storage .
- Les actions que vous pouvez effectuer sur un bucket avec des règles de conservation actives sont limitées. Vous n'êtes pas autorisé à mettre à jour, écraser ou supprimer les objets ou les métadonnées d'objet tant que la règle de conservation n'est ni supprimée (règle indéfini) ni la durée spécifiée (règles liées au temps). La durée des règles liées au temps est appliquée à chaque objet et dépend de l'horodatage de la dernière modification de l'objet.
- Vous pouvez créer plusieurs règles de conservation pour un bucket. Les règles de conservation indéfinies sont appliquées avant que les règles liées au temps soient prises en compte.
- Lorsqu'une règle de conservation est verrouillée, elle ne peut être supprimée que par la suppression du bucket. Vous ne pouvez supprimer un bucket que s'il est vide.
Interaction entre la conservation et d'autres fonctionnalités Object Storage
Vérifiez attentivement les stratégies et les règles en place pour les autres fonctionnalités Object Storage que vous utilisez. Certaines de ces stratégies et règles peuvent ne plus être pertinentes compte tenu des règles de conservation. Cette section décrit certains éléments clés à connaître à propos de l'interaction entre les règles de conservation et d'autres fonctionnalités Object Storage.
| Fonction | Description |
|---|---|
| Recryptage de bucket | Les règles de conservation n'interdisent pas le recryptage de bucket à l'aide de vos propres clés Oracle ou des clés de cryptage maître Vault. |
| Téléchargements multipart vers le serveur | Les téléchargements multipart vers le serveur non validés (non terminés ou en échec) ne sont pas protégés par les règles de conservation et peuvent être supprimés à tout moment. |
| Gestion du cycle de vie | Les stratégies de cycle de vie peuvent mettre à jour le niveau de stockage des objets protégés par des règles de conservation Impossible d'enlever les objets protégés par des règles de conservation actives. |
| Réplication | Vous pouvez créer des règles de conservation sur un bucket source de réplication. Vous n'êtes pas en mesure de créer des règles de conservation sur un compartiment de destination. Vous n'êtes pas autorisé à activer la réplication sur un bucket de destination comportant des règles de conservation. |
| Gestion des versions | Vous n'êtes pas autorisé à ajouter des règles de conservation à un bucket dont la gestion des versions est activée. Vous n'êtes pas autorisé à activer la gestion des versions sur un bucket avec des règles de conservation actives. Vous pouvez ajouter des règles de conservation à un bucket dont la gestion des versions est suspendue. Toutefois, vous n'êtes pas en mesure de reprendre la gestion des versions avec des règles de conservation actives. |