Documentação do Oracle Cloud Infrastructure

Regras de Retenção de Dados do Serviço Object Storage

Saiba como usar regras de retenção para preservar dados do serviço Object Storage.

As regras de retenção são configuradas no nível do bucket e são aplicadas a todos os objetos individuais no bucket.

É importante entender a duração da retenção para regras limitadas por tempo. Mesmo que você esteja criando regras de retenção para um bucket, a duração de uma regra será aplicada a cada objeto do bucket individualmente e baseada no timestamp da Última Modificação do objeto. Digamos que você tenha dois objetos no bucket, ObjectX e ObjectY. O ObjectX foi modificado pela última vez há 14 meses e o ObjectY foi modificado pela última vez há 3 meses. Você cria uma regra de retenção com uma duração de 1 ano. Essa regra impede a modificação ou a exclusão do ObjectY pelos próximos 9 meses. A regra permite a modificação ou a exclusão de ObjectX porque a duração da regra de retenção (1 ano) é menor que o timestamp da Última Modificação do objeto (14 meses). Se o ObjectX for substituído em algum momento no próximo ano, a modificação e a exclusão serão impedidas pelo tempo restante da duração da regra.

O bloqueio de uma regra de retenção é uma operação irreversível. Nem um administrador da tenancy pode excluir uma regra bloqueada. Há um atraso obrigatório de 14 dias antes de uma regra ser bloqueada. Esse atraso permite que você teste, modifique ou exclua completamente a regra ou o bloqueio da regra antes que ela seja permanentemente bloqueada. Uma regra está ativa no momento da criação. O bloqueio controla somente se a regra em si pode ser modificada. Depois que uma regra é bloqueada, só são permitidos aumentos na duração. A modificação de objeto é impedida e a regra só pode ser excluída por meio da exclusão do bucket. Um bucket deve estar vazio para que possa ser excluído.

Para uma avaliação independente da capacidade do recurso de regras de retenção do serviço Object Storage para atender aos requisitos regulatórios de gerenciamento e retenção de registros, consulte SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) e MiFID II Compliance Assessment da Cohasset Associates.

Você pode executar as seguintes tarefas de regras de retenção de dados:

Casos de Uso de Retenção

O serviço Object Storage oferece um método flexível de retenção de dados que suporta os seguintes casos de uso:

Conformidade Normativa

Seu setor pode exigir que você mantenha uma determinada classe de dados por um período definido. Suas regulamentações de retenção de dados também podem exigir que você bloqueie as definições de retenção. Se você bloquear as definições, a única alteração que poderá fazer será aumentar a duração da retenção.

Para conformidade regulatória do serviço Object Storage, crie uma regra de retenção limitada por tempo e especifique uma duração. A modificação e a exclusão de objetos são impedidas pela duração especificada. A duração é aplicada a cada objeto individualmente e é baseada no timestamp da Última Modificação do objeto. Bloqueie a regra conforme necessário.

Governança de Dados

Pode ser necessário proteger determinados conjuntos de dados como parte dos requisitos internos do processo de negócios. Embora seja necessário reter os dados por um período definido, esse período pode mudar.

Para a governança de dados do serviço Object Storage, crie uma regra de retenção limitada por tempo e especifique uma duração. A modificação e a exclusão de objetos são impedidas pela duração especificada. A duração é aplicada a cada objeto individualmente e é baseada no timestamp da Última Modificação do objeto. Para excluir a regra e permitir alterações na duração, conforme necessário, não bloqueie a regra.

Retenção Legal

Talvez você precise preservar determinados dados de negócios em resposta a processos judiciais potenciais ou em andamento. Uma retenção legal não tem um período de retenção definido e permanece em vigor até ser removida.

Para retenções legais do serviço Object Storage, crie uma regra de retenção indefinida. A modificação e a exclusão de objetos são impedidas, até que você exclua a regra. Não é possível bloquear uma regra de retenção indefinida porque a regra não tem duração.

Políticas Obrigatórias do Serviço IAM

Para usar o Oracle Cloud Infrastructure, você deve receber de um administrador o acesso de segurança em uma política . Esse acesso é necessário, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou que não está autorizado, verifique com o administrador qual tipo de acesso você tem e em qual compartimento vai trabalhar.

Se você for iniciante em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Para administradores:

  • Você pode criar uma política que permita que o grupo do serviço IAM especificado gerencie namespaces, buckets e seus objetos associados do serviço Object Storage em todos os compartimentos da tenancy. Por exemplo, para permitir que o grupo StorageAdmins do serviço IAM faça tudo na tenancy:

    Allow group StorageAdmins to manage object-family in tenancy

  • Como alternativa, você pode criar políticas que reduzam o escopo do acesso. Por exemplo, você pode criar as políticas para permitir que o grupo StorageAdmins gerencie apenas buckets e objetos em um compartimento chamado ObjectStore na tenancy:

    Allow group StorageAdmins to manage buckets in compartment ObjectStore
Allow group StorageAdmins to manage objects in compartment ObjectStore

  • Se você criar políticas mais restritivas que concedam permissões individuais, serão necessárias as permissões BUCKET_UPDATE e RETENTION_RULE_MANAGE para criar, editar e excluir regras de retenção. As permissões BUCKET_UPDATE, RETENTION_RULE_MANAGE e RETENTION_RULE_LOCK são necessárias para bloquear regras de retenção.

Para obter mais informações sobre outras alternativas para gravar políticas, consulte Detalhes para os Serviços Object Storage, Archive Storage e Data Transfer.

Escopo e Restrições

  • As regras de retenção podem ser aplicadas a um bucket na camada Padrão (Object Storage) ou Archive Storage.

  • As ações que você pode executar em um bucket com regras de retenção ativas são limitadas. Não é possível atualizar, substituir ou excluir objetos ou metadados do objeto até que a regra de retenção seja excluída (regra indefinida) ou pela duração especificada (regras limitadas por tempo). A duração das regras limitadas por tempo é aplicada a cada objeto individualmente e é baseada no timestamp da Última Modificação do objeto.

  • Você pode criar várias regras de retenção para um bucket. A regra de retenção indefinida é aplicada antes de qualquer regra limitada por tempo ser considerada.

  • Quando uma regra de retenção é bloqueada, a regra só pode ser excluída por meio da exclusão do bucket. Um bucket deve estar vazio para que possa ser excluído.

Interação entre Retenção e Outros Recursos do Serviço Object Storage

Analise com cuidado as políticas e regras que você tem em vigor para os outros recursos do serviço Object Storage que você está usando. Algumas dessas políticas e regras podem não fazer mais sentido com as regras de retenção. Esta seção descreve algumas questões importantes que você precisa saber sobre a interação entre regras de retenção e outros recursos do serviço Object Storage.

Recriptografia de Bucket

As regras de retenção não bloqueiam a recriptografia de bucket usando a chave de criptografia mestra da Oracle ou sua própria chave de criptografia mestra do serviço Vault.

Uploads Multiparte

Os uploads de várias partes não submetidos a commit (não finalizado ou com falha) não são protegidos por regras de retenção e podem ser deletados a qualquer momento.

Gerenciamento de Ciclo de Vida

  • As políticas de ciclo de vida podem atualizar a camada de armazenamento de objetos protegidos por regras de retenção

  • O Gerenciamento de Ciclo de Vida não pode remover objetos protegidos por regras de retenção ativas.

Replicação

  • Você pode criar regras de retenção em um bucket de origem de replicação.

  • Você não pode criar regras de retenção em um bucket de destino de replicação.

  • Não é possível ativar a replicação em um bucket de destino que tenha regras de retenção.

Controle de versão

  • Não é possível adicionar regras de retenção a um bucket com controle de versão ativado.
  • Não é possível ativar o controle de versão em um bloco com regras de retenção ativas.
  • Você pode adicionar regras de retenção ao bucket que tem controle de versão suspenso. No entanto, não é possível retomar o controle de versão com regras de retenção ativas.