Documentazione di Oracle Cloud Infrastructure

Regole di conservazione dei dati di storage degli oggetti

Scopri come utilizzare le regole di conservazione per conservare i dati dello storage degli oggetti.

Le regole di conservazione vengono configurate a livello di bucket e vengono applicate a tutti i singoli oggetti nel bucket.

È importante comprendere la durata della conservazione per le regole con limite di tempo. Sebbene si stiano creando regole di conservazione per un bucket, la durata di una regola viene applicata a ogni oggetto del bucket singolarmente e si basa sull'indicatore orario dell'ultima modifica dell'oggetto. Si supponga di disporre di due oggetti nel bucket, ObjectX e ObjectY. ObjectX è stato modificato l'ultima volta 14 mesi fa e ObjectY è stato modificato l'ultima volta 3 mesi fa. Creare una regola di conservazione con una durata di 1 anno. Questa regola impedisce la modifica o l'eliminazione di ObjectY per i prossimi 9 mesi. La regola consente la modifica o l'eliminazione di ObjectX perché la durata della regola di conservazione (1 anno) è inferiore all'indicatore orario Ultima modifica (14 mesi) dell'oggetto. Se ObjectX viene sovrascritto nel corso dell'anno successivo, la modifica e l'eliminazione verranno impedite per il tempo rimanente della durata della regola.

Importante

Il blocco di una regola di conservazione è un'operazione irreversibile. Nemmeno un amministratore della tenancy o il Supporto Oracle può eliminare una regola bloccata. È previsto un ritardo obbligatorio di 14 giorni prima che una regola venga bloccata. Questo ritardo consente di testare, modificare o eliminare completamente la regola o il blocco della regola prima che la regola venga bloccata definitivamente.

Una regola è attiva al momento della creazione. Il blocco controlla solo se la regola stessa può essere modificata. Dopo il blocco di una regola, è consentito solo aumentare la durata. La modifica dell'oggetto non è possibile e la regola può essere eliminata solo eliminando il bucket. Per poter essere eliminato, un bucket deve essere vuoto.

Ti consigliamo di impostare avvisi per te stesso per 7 giorni e 3 giorni prima della fine del periodo di 14 giorni per rimuovere la regola se non sei sicuro di usarla.

Per una valutazione indipendente della capacità della funzione delle regole di conservazione dello storage degli oggetti di soddisfare i requisiti normativi per la gestione e la conservazione dei record, consulta la valutazione di conformità SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) e MiFID II di Cohasset Associate.

Regola di conservazione dati - Task

È possibile eseguire i task delle regole di conservazione dei dati riportati di seguito.

Casi d'uso di conservazione

Lo storage degli oggetti offre un approccio flessibile alla conservazione dei dati che supporta i casi d'uso riportati di seguito.

Compliance delle normative

Il tuo settore potrebbe richiedere di conservare una determinata classe di dati per un periodo di tempo definito. Le normative sulla conservazione dei dati potrebbero anche richiedere il blocco delle impostazioni di conservazione. Se si bloccano le impostazioni, l'unica modifica che è possibile apportare è quella di aumentare la durata della conservazione.

Per la conformità alle normative sullo storage degli oggetti, crei una regola di conservazione con limiti di tempo e specifichi una durata. La modifica e l'eliminazione dell'oggetto non sono consentite per la durata specificata. La durata viene applicata a ogni singolo oggetto e si basa sull'indicatore orario dell'ultima modifica dell'oggetto. Bloccare la regola in base alle esigenze.

Gestione controllo dati

Potrebbe essere necessario proteggere determinati set di dati come parte dei requisiti interni dei processi aziendali. Sebbene sia necessario conservare i dati per un periodo di tempo definito, tale periodo di tempo potrebbe cambiare.

Per la governance dei dati dello storage degli oggetti, crei una regola di conservazione con limite di tempo e specifichi una durata. La modifica e l'eliminazione dell'oggetto non sono consentite per la durata specificata. La durata viene applicata a ogni singolo oggetto e si basa sull'indicatore orario dell'ultima modifica dell'oggetto. Per poter eliminare la regola e consentire modifiche alla durata in base alle esigenze, non bloccare la regola.

Conservazione legale

Potrebbe essere necessario conservare determinati dati aziendali in risposta a potenziali cause legali o in corso. Un blocco legale non ha un periodo di conservazione definito e rimane in vigore fino alla rimozione.

Per i blocchi legali dello storage degli oggetti, crei una regola di conservazione indefinita. La modifica e l'eliminazione dell'oggetto sono consentite solo dopo aver eliminato la regola. Impossibile bloccare una regola di conservazione indefinita perché la regola non ha durata.

Criteri IAM necessari

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.

Per gli amministratori:

  • Puoi creare un criterio che consenta al gruppo IAM specificato di gestire gli spazi di nomi dello storage degli oggetti, i bucket e i relativi oggetti associati in tutti i compartimenti della tenancy. Ad esempio, per consentire al gruppo IAM StorageAdmins di eseguire tutte le operazioni nella tenancy:

    Allow group StorageAdmins to manage object-family in tenancy

  • In alternativa, è possibile creare criteri che riducono l'ambito di accesso. Ad esempio, è possibile creare i criteri per consentire al gruppo StorageAdmins di gestire solo i bucket e gli oggetti in un compartimento denominato ObjectStore nella tenancy:

    Allow group StorageAdmins to manage buckets in compartment ObjectStore
Allow group StorageAdmins to manage objects in compartment ObjectStore

  • Se si creano criteri più restrittivi che concedono autorizzazioni individuali, per creare, modificare ed eliminare le regole di conservazione sono necessari BUCKET_UPDATE e RETENTION_RULE_MANAGE. Per bloccare le regole di conservazione, sono necessari BUCKET_UPDATE, RETENTION_RULE_MANAGE e RETENTION_RULE_LOCK.

Per ulteriori informazioni su altre alternative per la scrittura dei criteri, consulta la sezione relativa ai dettagli di storage degli oggetti, storage di archivio e trasferimento dati.

Ambito e vincoli

  • Le regole di conservazione possono essere applicate a un bucket nel livello Standard (Storage degli oggetti) o Storage di archivio.

  • Le azioni che è possibile eseguire su un bucket con regole di conservazione attive sono limitate. Non è possibile aggiornare, sovrascrivere o eliminare oggetti o metadati degli oggetti finché la regola di conservazione non viene eliminata (regola indefinita) o per la durata specificata (regole con limite di tempo). La durata delle regole con limite di tempo viene applicata a ogni singolo oggetto e si basa sull'indicatore orario dell'ultima modifica dell'oggetto.

  • Puoi creare più regole di conservazione per un bucket. Prima di prendere in considerazione qualsiasi regola con limite di tempo, viene applicata una regola di conservazione indefinita.

  • Quando una regola di conservazione è bloccata, può essere eliminata solo eliminando il bucket. Per poter essere eliminato, un bucket deve essere vuoto.

Interazione tra la conservazione e altre funzioni di storage degli oggetti

Esaminare attentamente i criteri e le regole in uso per le altre funzioni di storage degli oggetti in uso. Alcune di queste politiche e regole potrebbero non avere più senso con le regole di conservazione. Questa sezione descrive alcune informazioni chiave che è necessario conoscere sull'interazione tra le regole di conservazione e altre funzioni di storage degli oggetti.

Nuova cifratura bucket

Le regole di conservazione non bloccano la nuova cifratura del bucket utilizzando Oracle o le chiavi di cifratura principali del vault.

Caricamenti multiparte

I caricamenti multiparte senza commit (non completati o non riusciti) non sono protetti dalle regole di conservazione e possono essere eliminati in qualsiasi momento.

Gestione del ciclo di vita

  • I criteri del ciclo di vita possono aggiornare il livello di storage degli oggetti protetti dalle regole di conservazione.

  • Lifecycle Management non può rimuovere oggetti protetti da regole di conservazione attive.

replica

  • È possibile creare regole di conservazione in un bucket di origine replica.

  • Non è possibile creare regole di conservazione in un bucket di destinazione della replica.

  • Non è possibile abilitare la replica in un bucket di destinazione con regole di conservazione.

Controllo versioni

  • Non è possibile aggiungere regole di conservazione a un bucket con controllo delle versioni abilitato.
  • Non è possibile abilitare il controllo delle versioni in un bucket con regole di conservazione attive.
  • Puoi aggiungere regole di conservazione al bucket con controllo delle versioni sospeso. Tuttavia, non è possibile riprendere il controllo delle versioni con regole di conservazione attive.