Documentation Oracle Cloud Infrastructure

Règles de conservation des données Object Storage

Découvrez comment utiliser des règles de conservation pour conserver les données Object Storage.

Les règles de conservation sont configurées au niveau du bucket et sont appliquées à tous les objets qu'il contient.

Il est important de comprendre la durée de conservation des règles liées au temps. Même si vous créez des règles de conservation pour un bucket, la durée d'une règle est appliquée à chaque objet du bucket et repose sur l'horodatage Dernière modification de l'objet. Supposons que vous disposiez de deux objets dans le bucket, ObjectX et ObjectY. ObjectX a été modifié pour la dernière fois il y a 14 mois et ObjectY il y a 3 mois. Vous créez une règle de conservation avec une durée de 1 an. Cette règle empêche la modification ou la suppression d'ObjectY pendant les 9 prochains mois. Elle permet de modifier ou de supprimer ObjectX car la durée de la règle de conservation (1 an) est inférieure à celle de l'horodatage Dernière modification de l'objet (14 mois). Si ObjectX est écrasé au cours de l'année à venir, les modifications et les suppressions seront bloquées pendant la durée restante de la règle.

Le verrouillage d'une règle de conservation est une opération irréversible. Même les administrateurs de location ne peuvent pas supprimer une règle verrouillée. Un délai obligatoire de 14 jours doit être respecté avant qu'une règle ne soit verrouillée. Ce délai vous permet de tester en profondeur, de modifier ou de supprimer la règle ou son verrouillage avant qu'elle ne soit définitivement verrouillée. Une règle est active au moment de la création. Le verrouillage contrôle uniquement si la règle elle-même peut être modifiée. Une fois qu'une règle est verrouillée, seules les augmentations de durée sont autorisées. Les modifications d'objet sont bloquées et la règle ne peut être supprimée que par la suppression du bucket. Vous ne pouvez supprimer un bucket que s'il est vide.

Pour obtenir une évaluation indépendante de la capacité de la fonctionnalité des règles de conservation Object Storage à répondre aux exigences réglementaires en matière de gestion et de conservation des enregistrements, reportez-vous à l'évaluation de conformité pour SEC 17a-4(f), FINRA 4511(c), CFTC 1.31(c)-(d) et MiFID II de Cohasset Associates.

Vous pouvez effectuer les tâches de règle de conservation des données suivantes :

Cas d'utilisation de la conservation

Object Storage fournit une approche flexible de la conservation des données, qui prend en charge les cas d'emploi suivants :

Conformité réglementaire

Dans votre secteur d'activité, vous avez peut-être l'obligation de conserver une certaine catégorie de données pendant une durée définie. Les réglementations en matière de conservation des données peuvent également nécessiter le verrouillage des paramètres de conservation. Si vous verrouillez les paramètres, la seule modification que vous pouvez effectuer est d'augmenter la durée de conservation.

Pour la conformité réglementaire Object Storage, vous créez une règle de conservation liée au temps et indiquez une durée. Les modifications et suppressions d'objet sont bloquées pendant la durée indiquée. La durée est appliquée à chaque objet et dépend de l'horodatage Dernière modification de celui-ci. Verrouillez la règle si nécessaire.

Gouvernance des données

Vous pouvez avoir besoin de protéger certains ensembles de données pour respecter des exigences de processus métier internes. La conservation des données pendant une durée définie est nécessaire, mais cette durée peut changer.

Dans le cadre de la gouvernance des données Object Storage, vous créez une règle de conservation liée au temps et indiquez une durée. Les modifications et suppressions d'objet sont bloquées pendant la durée indiquée. La durée est appliquée à chaque objet et dépend de l'horodatage Dernière modification de celui-ci. Pour pouvoir supprimer la règle et autoriser les modifications de durée si nécessaire, ne verrouillez pas la règle.

Blocage légal

Vous pouvez avoir besoin de conserver certaines données d'activité en vue d'une action en justice en cours ou éventuelle. Les obligations de conservation n'ont pas de période de conservation définie. Elles restent en vigueur jusqu'à ce qu'elles soient enlevées.

Dans le cadre des obligations de conservation Object Storage, vous créez une règle de conservation indéfinie. Les modifications et suppressions d'objet sont bloquées tant que vous ne supprimez pas la règle. Vous ne pouvez pas verrouiller une règle de conservation indéfinie, car elle n'a pas de durée.

Stratégies IAM requises

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

Pour les administrateurs :

  • Vous pouvez créer une stratégie qui permet au groupe IAM indiqué de gérer les espaces de noms Object Storage, les buckets et les objets associés dans tous les compartiments de la location. Par exemple, pour que le groupe IAM StorageAdmins puisse effectuer n'importe quelle opération dans la location :

    Allow group StorageAdmins to manage object-family in tenancy

  • Vous pouvez également créer des stratégies qui réduisent la portée de l'accès. Par exemple, vous pouvez créer des stratégies permettant au groupe StorageAdmins de gérer uniquement les buckets et les objets d'un compartiment de la location appelé ObjectStore :

    Allow group StorageAdmins to manage buckets in compartment ObjectStore
Allow group StorageAdmins to manage objects in compartment ObjectStore

  • Si vous créez des stratégies plus restrictives octroyant des droits d'accès individuels, BUCKET_UPDATE et RETENTION_RULE_MANAGE sont requis pour créer, modifier et supprimer des règles de conservation. BUCKET_UPDATE, RETENTION_RULE_MANAGE et RETENTION_RULE_LOCK sont requis pour verrouiller les règles de conservation.

Pour plus d'informations sur les alternatives en matière d'écriture de stratégies, reportez-vous à Détails relatifs à Object Storage, Archive Storage et Transfert de données.

Portée et contraintes

  • Les règles de conservation peuvent être appliquées à un bucket appartenant au niveau Standard (Object Storage) ou Archive Storage.

  • Les actions que vous pouvez effectuer sur un bucket avec des règles de conservation actives sont limitées. Vous ne pouvez pas mettre à jour, écraser ou supprimer des objets ou des métadonnées d'objet tant que la règle de conservation n'est pas supprimée (règle indéfinie) ou la durée spécifiée écoulée (règle liée au temps). La durée des règles liées au temps est appliquée à chaque objet et dépend de l'horodatage Dernière modification de celui-ci.

  • Vous pouvez créer plusieurs règles de conservation pour un bucket. Les règles de conservation indéfinies sont appliquées avant que les règles liées au temps soient prises en compte.

  • Lorsqu'une règle de conservation est verrouillée, elle ne peut être supprimée que par la suppression du bucket. Vous ne pouvez supprimer un bucket que s'il est vide.

Interaction entre la conservation et d'autres fonctionnalités Object Storage

Vérifiez attentivement les stratégies et les règles en place pour les autres fonctionnalités Object Storage que vous utilisez. Certaines de ces stratégies et règles peuvent ne plus être pertinentes compte tenu des règles de conservation. Cette section décrit certains éléments clés à connaître à propos de l'interaction entre les règles de conservation et d'autres fonctionnalités Object Storage.

Recryptage de bucket

Les règles de conservation ne bloquent pas le recryptage de bucket à l'aide de vos propres clés de cryptage maître Vault ou des clés Oracle.

Téléchargements multipart vers le serveur

Les téléchargements multipart vers le serveur non validés (non terminés ou en échec) ne sont pas protégés par les règles de conservation et peuvent être supprimés à tout moment.

Gestion du cycle de vie

  • Les stratégies de cycle de vie peuvent mettre à jour le niveau de stockage des objets protégés par des règles de conservation

  • Impossible d'enlever les objets protégés par des règles de conservation actives.

Réplication

  • Vous pouvez créer des règles de conservation sur un bucket source de réplication.

  • Vous ne pouvez pas créer de règles de conservation sur un bucket de destination de réplication.

  • Vous ne pouvez pas activer la réplication sur un bucket de destination comportant des règles de conservation.

Gestion des versions

  • Vous ne pouvez pas ajouter de règles de conservation à un bucket pour lequel la gestion des versions est activée.
  • Vous ne pouvez pas activer la gestion des versions sur un bucket avec des règles de conservation actives.
  • Vous pouvez ajouter des règles de conservation à un bucket dont la gestion des versions est suspendue. Toutefois, vous ne pouvez pas reprendre la gestion des versions avec des règles de conservation actives.