Regole di conservazione dei dati di storage degli oggetti
Scopri come utilizzare le regole di conservazione per conservare i dati dello storage degli oggetti.
Le regole di conservazione vengono configurate a livello di bucket e vengono applicate a tutti i singoli oggetti nel bucket.
È importante comprendere la durata della conservazione per le regole legate al tempo. Anche se si stanno creando regole di conservazione per un bucket, la durata di una regola viene applicata a ogni oggetto nel bucket singolarmente e si basa sull'indicatore orario Ultima modifica dell'oggetto. Si supponga di disporre di due oggetti nel bucket, ObjectX e ObjectY. ObjectX è stato aggiornato l'ultima volta 14 mesi fa e ObjectY è stato aggiornato l'ultima volta 3 mesi fa.
Creare una regola di conservazione con una durata di 1 anno. Questa regola impedisce la modifica o l'eliminazione di ObjectY per i prossimi 9 mesi. La regola consente la modifica o l'eliminazione di ObjectX perché la durata della regola di conservazione (1 anno) è inferiore all'indicatore orario Ultima modifica dell'oggetto (14 mesi). Se ObjectX viene sovrascritto un po' di tempo nel prossimo anno, la modifica e l'eliminazione verranno impedite per il tempo rimanente della durata della regola.
Il blocco di una regola di conservazione è un'operazione irreversibile. Nemmeno un amministratore della tenancy o il Supporto Oracle possono eliminare una regola bloccata. Esiste un ritardo obbligatorio di 14 giorni prima del blocco di una regola. Questo ritardo consente di testare, aggiornare o eliminare completamente la regola o il blocco della regola prima che la regola venga bloccata definitivamente.
Una regola è attiva al momento della creazione. Il blocco controlla solo se la regola stessa può essere modificata. Dopo il blocco di una regola, sono consentiti solo aumenti della durata. La modifica dell'oggetto non è possibile e la regola può essere eliminata solo eliminando il bucket. Per poter essere eliminato, un bucket deve essere vuoto.
Ti consigliamo di impostare avvisi per te stesso per 7 giorni e 3 giorni prima della fine del periodo di 14 giorni per rimuovere la regola se non sei sicuro di usarla.
Per una valutazione indipendente della capacità della funzione delle regole di conservazione dello storage degli oggetti di soddisfare i requisiti normativi per la gestione e la conservazione dei record, consulta la valutazione di conformità SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) e MiFID II di Cohasset Associate.
È possibile eseguire i task delle regole di conservazione dei dati riportati di seguito.
Elencare le regole di conservazione per un bucket.
Creare una regola di conservazione.
Ottenere i dettagli di una regola di conservazione.
Casi d'uso di conservazione
Lo storage degli oggetti offre un approccio flessibile alla conservazione dei dati che supporta i casi d'uso riportati di seguito.
| Caso d'uso | Descrizione |
|---|---|
| Conformità alle normative | Il tuo settore potrebbe richiedere di conservare una determinata classe di dati per un periodo di tempo definito. Le normative sulla conservazione dei dati potrebbero anche richiedere il blocco delle impostazioni di conservazione. Se si bloccano le impostazioni, l'unica modifica che è possibile apportare è quella di aumentare la durata della conservazione. Per la conformità alle normative sullo storage degli oggetti, crei una regola di conservazione con limiti di tempo e specifichi una durata. La modifica e l'eliminazione dell'oggetto non sono consentite per la durata specificata. La durata viene applicata a ogni singolo oggetto e si basa sull'indicatore orario dell'ultima modifica dell'oggetto. Bloccare la regola in base alle esigenze. |
| Governance dati | Potrebbe essere necessario proteggere determinati set di dati come parte dei requisiti interni dei processi aziendali. Sebbene sia necessario conservare i dati per un periodo di tempo definito, tale periodo di tempo potrebbe cambiare. Per la governance dei dati dello storage degli oggetti, crei una regola di conservazione basata sul tempo e specifichi una durata. La modifica e l'eliminazione dell'oggetto non sono consentite per la durata specificata. La durata viene applicata a ogni singolo oggetto e si basa sull'indicatore orario dell'ultima modifica dell'oggetto Ultima modifica. Per eliminare la regola e consentire modifiche alla durata in base alle esigenze, non bloccare la regola. |
| Blocco legale | Potrebbe essere necessario conservare determinati dati aziendali in risposta a cause potenziali o in corso. Una sospensione legale non ha un periodo di conservazione definito e rimane in vigore fino alla rimozione. Per i blocchi legali dello storage degli oggetti, si crea una regola di conservazione indefinita. La modifica e l'eliminazione dell'oggetto non sono consentite finché non si elimina la regola. Impossibile bloccare una regola di conservazione indefinita perché la regola non ha durata. |
Criteri IAM necessari
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.
Per gli amministratori:
- Puoi creare un criterio che consenta al gruppo IAM specificato di gestire gli spazi di nomi dello storage degli oggetti, i bucket e i relativi oggetti associati in tutti i compartimenti della tenancy. Ad esempio, per consentire al gruppo IAM StorageAdmins di eseguire tutte le operazioni nella tenancy:
Allow group StorageAdmins to manage object-family in tenancy - In alternativa, è possibile creare criteri che riducono l'ambito di accesso. Ad esempio, è possibile creare i criteri per consentire al gruppo StorageAdmins di gestire solo i bucket e gli oggetti in un compartimento denominato ObjectStore nella tenancy:
Allow group StorageAdmins to manage buckets in compartment ObjectStore Allow group StorageAdmins to manage objects in compartment ObjectStore - Se si creano criteri più restrittivi che concedono autorizzazioni individuali, per creare, modificare ed eliminare le regole di conservazione sono necessari BUCKET_UPDATE e RETENTION_RULE_MANAGE. Per bloccare le regole di conservazione, sono necessari BUCKET_UPDATE, RETENTION_RULE_MANAGE e RETENTION_RULE_LOCK.
Per ulteriori informazioni su altre alternative per la scrittura dei criteri, consulta la sezione relativa ai dettagli di storage degli oggetti, storage di archivio e trasferimento dati.
Ambito e vincoli
- Le regole di conservazione possono essere applicate a un bucket nel livello Standard (Storage degli oggetti) o Storage di archivio.
- Le azioni che è possibile eseguire su un bucket con regole di conservazione attive sono limitate. Impossibile aggiornare, sovrascrivere o eliminare oggetti o metadati oggetto finché la regola di conservazione non viene eliminata (regola indefinita) o per la durata specificata (regole con tempo). La durata delle regole associate al tempo viene applicata a ogni singolo oggetto e si basa sull'indicatore orario dell'ultima modifica dell'oggetto.Ultima modifica
- È possibile creare diverse regole di conservazione per un bucket. La regola di conservazione indefinita viene applicata prima che venga presa in considerazione qualsiasi regola legata al tempo.
- Quando una regola di conservazione è bloccata, può essere eliminata solo eliminando il bucket. Per poter essere eliminato, un bucket deve essere vuoto.
Interazione tra la conservazione e altre funzioni di storage degli oggetti
Esaminare attentamente i criteri e le regole in uso per le altre funzioni di storage degli oggetti in uso. Alcune di queste politiche e regole potrebbero non avere più senso con le regole di conservazione. Questa sezione descrive alcune informazioni chiave che è necessario conoscere sull'interazione tra le regole di conservazione e altre funzioni di storage degli oggetti.
| Funzione | Descrizione |
|---|---|
| Nuova cifratura bucket | Le regole di conservazione non bloccano la nuova cifratura del bucket utilizzando Oracle o le chiavi di cifratura master del Vault. |
| Caricamenti multiparte | I caricamenti multiparte senza commit (non completati o non riusciti) non sono protetti dalle regole di conservazione e possono essere eliminati in qualsiasi momento. |
| Gestione del ciclo di vita | I criteri del ciclo di vita possono aggiornare il livello di storage degli oggetti protetti dalle regole di conservazione. Lifecycle Management non può rimuovere oggetti protetti da regole di conservazione attive. |
| Replica | È possibile creare regole di conservazione in un bucket di origine replica. Non è possibile creare regole di conservazione in un bucket di destinazione di replica. Non è possibile abilitare la replica in un bucket di destinazione con regole di conservazione. |
| Controllo versioni | Non è possibile aggiungere regole di conservazione a un bucket per cui è abilitato il controllo delle versioni. Non è possibile abilitare il controllo delle versioni in un bucket con regole di conservazione attive. È possibile aggiungere regole di conservazione al bucket con controllo delle versioni sospeso. Tuttavia, non è possibile riprendere il controllo delle versioni con le regole di conservazione attive. |