Documentação do Oracle Cloud Infrastructure

Regras de Retenção de Dados do Serviço Object Storage

Saiba como usar regras de retenção para preservar dados do Object Storage.

As regras de retenção são configuradas no nível do bucket e são aplicadas a todos os objetos individuais no bucket.

É importante entender a duração da retenção para regras limitadas por tempo. Embora você esteja criando regras da retenção para um bucket, a duração de uma regra é aplicada individualmente a cada objeto do bucket e se baseia no timestamp Última Modificação do objeto. Digamos que você tenha dois objetos no bucket, ObjectX e ObjectY. ObjectX foi actualizado pela última vez há 14 meses e ObjectY foi actualizado pela última vez há 3 meses.

Você cria uma regra de retenção com uma duração de 1 ano. Essa regra impede a modificação ou a exclusão do ObjectY pelos próximos 9 meses. A regra permite a modificação ou exclusão de ObjectX porque a duração de regra da retenção (1 ano) é menor que o timestamp Última Modificação do objeto (14 meses). Se o ObjectX for substituído em algum momento no próximo ano, a modificação e a exclusão serão impedidas pelo tempo restante da duração da regra.

Importante

O bloqueio de uma regra de retenção é uma operação irreversível. Nem mesmo um administrador de tenancy ou o Suporte Técnico da Oracle pode excluir uma regra bloqueada. Existe um atraso de 14 dias obrigatório para que uma regra seja bloqueada. Esse atraso permite que você teste, atualize ou exclua totalmente a regra ou o bloqueio da regra antes que a regra seja bloqueada permanentemente.

Uma regra está ativa no momento da criação. O bloqueio só controla se a própria regra pode ser alterada. Depois que uma regra é bloqueada, só são permitidos aumentos na duração. A modificação de objeto é impedida e a regra só pode ser excluída por meio da exclusão do bucket. Um bucket deve estar vazio para que possa ser excluído.

Recomendamos que você configure avisos para si mesmo por 7 dias e 3 dias antes do término do período de 14 dias para remover a regra se você não tiver certeza sobre como usá-la.

Para uma avaliação independente da capacidade do recurso de regras de retenção do serviço Object Storage para atender aos requisitos regulatórios de gerenciamento e retenção de registros, consulte SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) e MiFID II Compliance Assessment da Cohasset Associates.

Você pode executar as seguintes tarefas de regras de retenção de dados:

Listar as regras de retenção de um bucket.

Crie uma regra de retenção.

Obter detalhes de uma regra de retenção.

Atualizar as definições de uma regra de retenção.

Excluir uma regra de retenção de um bucket.

Casos de Uso de Retenção

O serviço Object Storage oferece um método flexível de retenção de dados que suporta os seguintes casos de uso:

Casos de Uso de Retenção
Caso de Uso Descrição
Conformidade Normativa Seu setor pode exigir que você mantenha uma determinada classe de dados por um período definido. Suas regulamentações de retenção de dados também podem exigir que você bloqueie as definições de retenção. Se você bloquear as definições, a única alteração que poderá fazer será aumentar a duração da retenção.

Para conformidade regulatória do serviço Object Storage, crie uma regra de retenção limitada por tempo e especifique uma duração. A modificação e a exclusão de objetos são impedidas pela duração especificada. A duração é aplicada a cada objeto individualmente e é baseada no timestamp da Última Modificação do objeto. Bloqueie a regra conforme necessário.
Governança de Dados Pode ser necessário proteger determinados conjuntos de dados como parte dos requisitos internos do processo de negócios. Embora seja necessário reter os dados por um período definido, esse período pode mudar.

Para a governança de dados do serviço Object Storage, crie uma regra de retenção limitada por tempo e especifique uma duração. A modificação e a exclusão de objetos são impedidas pela duração especificada. A Duração é aplicada a cada objeto individualmente e se baseia no timestamp Última Modificação do objeto. Para excluir a regra e permitir alterações na duração, conforme necessário, não bloqueie a regra.
Retenção Legal Talvez você precise preservar determinados dados de negócios em resposta a processos judiciais potenciais ou em andamento. Uma retenção legal, não tem um período definido de retenção e permanece em vigor até a remoção.

Para retenções legais do serviço Object Storage, você cria uma regra de retenção indefinida. A modificação e a exclusão de objetos são impedidas, até que você exclua a regra. Você não pode bloquear uma regra da retenção indefinida porque a regra não tem duração.

Políticas Obrigatórias do Serviço IAM

Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.

Se você for iniciante em políticas, consulte Gerenciando Domínios de Identidades e Políticas Comuns.

Para administradores:

  • Você pode criar uma política que permita que o grupo do serviço IAM especificado gerencie namespaces, buckets e seus objetos associados do serviço Object Storage em todos os compartimentos da tenancy. Por exemplo, para permitir que o grupo StorageAdmins do serviço IAM faça tudo na tenancy:
    Allow group StorageAdmins to manage object-family in tenancy
  • Como alternativa, você pode criar políticas que reduzam o escopo do acesso. Por exemplo, você pode criar as políticas para permitir que o grupo StorageAdmins gerencie apenas buckets e objetos em um compartimento chamado ObjectStore na tenancy:
    Allow group StorageAdmins to manage buckets in compartment ObjectStore
Allow group StorageAdmins to manage objects in compartment ObjectStore
  • Se você criar políticas mais restritivas que concedam permissões individuais, serão necessárias as permissões BUCKET_UPDATE e RETENTION_RULE_MANAGE para criar, editar e excluir regras de retenção. As permissões BUCKET_UPDATE, RETENTION_RULE_MANAGE e RETENTION_RULE_LOCK são necessárias para bloquear regras de retenção.

Para obter mais informações sobre outras alternativas para gravar políticas, consulte Detalhes para os Serviços Object Storage, Archive Storage e Data Transfer.

Escopo e Restrições

  • As regras de retenção podem ser aplicadas a um bucket na Camada Padrão ( Object Storage) ou Archive Storage.
  • As ações que você pode executar em um bucket com regras de retenção ativas são limitadas. Você não pode atualizar, substituir ou excluir objetos ou metadados de objeto até que a regra de retenção seja excluída (regra indefinida) ou pela duração especificada (regras limitadas pelo tempo). A duração de regras limitadas por tempo é aplicada a cada objeto individualmente e se baseia no timestamp Última Modificação do objeto.
  • Você pode criar várias regras de retenção para um bucket. A regra de retenção indefinida é aplicada antes de qualquer regra limitada por tempo ser considerada.
  • Quando uma regra de retenção é bloqueada, a regra só pode ser excluída por meio da exclusão do bucket. Um bucket deve estar vazio para que possa ser excluído.

Interação entre Retenção e Outros Recursos do Serviço Object Storage

Analise com cuidado as políticas e regras que você tem em vigor para os outros recursos do serviço Object Storage que você está usando. Algumas dessas políticas e regras podem não fazer mais sentido com as regras de retenção. Esta seção descreve algumas questões importantes que você precisa saber sobre a interação entre regras de retenção e outros recursos do serviço Object Storage.

Interação entre retenção e outros recursos
Recurso Descrição
Recriptografia de Bucket As regras de retenção Não bloqueiam a recriptografia do bucket usando a Oracle ou suas próprias chaves de criptografia mestras do serviço Vault.
Uploads Multiparte Os uploads de várias partes não submetidos a commit (não finalizado ou com falha) não são protegidos por regras de retenção e podem ser deletados a qualquer momento.
Gerenciamento do Ciclo de Vida As políticas de ciclo de vida podem atualizar a camada de armazenamento de objetos protegidos por regras de retenção

O Gerenciamento de Ciclo de Vida não pode remover objetos protegidos por regras de retenção ativas.
Replicação Você pode criar regras de retenção em um bucket de origem de replicação.

Não é possível criar regras de retenção em um bucket do destino da replicação.

Você não pode ativar a replicação em um bucket de destino que tenha regras de retenção.
Controle de Versão Você não pode adicionar regras de retenção a um bucket que tenha controle de versão ativado.

Você não pode ativar o controle de versão em um bucket com regras de retenção ativas.

Você pode adicionar regras de retenção ao bucket que tem controle de versão suspenso. No entanto, você não pode retomar o controle de versão com regras ativas de retenção.