GSP297

Übersicht

In diesem Lab lernen Sie die Funktion Bucket-Sperre kennen. Sie erfahren, wie Sie damit eine Richtlinie zur Datenaufbewahrung konfigurieren, die bestimmt, wie lange Objekte in einem Cloud Storage-Bucket aufbewahrt werden müssen. Außerdem können Sie mit dieser Funktion eine Sperre einrichten, die verhindert, dass die Richtlinie entfernt oder die Aufbewahrungszeit der Daten verkürzt oder gelöscht wird.

In Verbindung mit Audit-Logs zum detaillierten Erfassen von Anfragen und Antworten in Cloud Storage oder der Verwaltung des Objektlebenszyklus unterstützt Sie diese Funktion dabei, Vorschriften und Compliance-Anforderungen einzuhalten, z. B. in Bezug auf FINRA, SEC und CFTC. Die Bucket-Sperre vereinfacht auch die Einhaltung bestimmter Aufbewahrungsvorschriften im Gesundheitswesen.

Lerninhalte

Aufgaben in diesem Lab:

• Bucket erstellen
• Richtlinie zur Aufbewahrung von Objekten definieren
• Aufbewahrungsrichtlinie entfernen

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

   • Schaltfläche „Google Cloud Console öffnen“
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich „Details zum Lab“.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

2. Klicken Sie sich durch die folgenden Fenster:

   • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
   • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

3. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

4. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

5. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Region für dieses Lab festlegen

gcloud config set compute/region {{{project_0.default_region | "REGION"}}}

Das Cloud Storage-Befehlszeilentool gsutil ist installiert und kann in Google Cloud genutzt werden. In diesem Lab verwenden Sie gsutil in Cloud Shell.

Aufgabe 1: Neuen Bucket erstellen

1. Definieren Sie eine Umgebungsvariable mit dem Namen Cloud Storage_BUCKET. Ihre Projekt-ID dient dabei als Bucket-Name. Rufen Sie Ihre Projekt-ID mit dem folgenden Befehl über das Cloud SDK ab:

export BUCKET=$(gcloud config get-value project)

2. Erstellen Sie anschließend mit dem folgenden gsutil-Befehl einen neuen Bucket:

gsutil mb "gs://$BUCKET"

3. Klicken Sie auf Autorisieren.

Klicken Sie auf Fortschritt prüfen. Storage-Bucket erstellen

Aufgabe 2: Aufbewahrungsrichtlinie definieren

Gehen Sie von diesem Szenario aus: Die Filiale eines Finanzinstituts muss ihre Finanztransaktionsdaten gemäß der SEC-Vorschrift 17a-4 6 Jahre lang aufbewahren (6 Jahre entsprechen in diesem Lab 10 Sekunden). Um diese Anforderung umzusetzen, möchte der IT-Administrator der Filiale, ein technischer Administrator, der für die tägliche Verwaltung und Aufbewahrung von Datensätzen zuständig ist, einen Cloud Storage-Bucket mit einer Richtlinie zur Aufbewahrung von Daten für 10 Sekunden erstellen.

Mit den folgenden Schritten richten Sie eine Aufbewahrungsrichtlinie für einen Bucket ein.

1. Mit dem Cloud Storage-Tool gsutil können Sie Zeiträume von Sekunden, Tagen, Monaten und Jahren für Aufbewahrungsrichtlinien definieren. Erstellen Sie in diesem Beispiel eine Aufbewahrungsrichtlinie für 10 Sekunden:

gsutil retention set 10s "gs://$BUCKET" Hinweis: Sie können hier auch 10d (für 10 Tage), 10m (für 10 Monate) oder 10y (für 10 Jahre) angeben. Weitere Informationen werden angezeigt, wenn Sie den Befehl gsutil help retention set ausführen.

2. Prüfen Sie die Aufbewahrungsrichtlinie für den Bucket:

gsutil retention get "gs://$BUCKET"

Beispielausgabe:

Retention Policy (UNLOCKED): Duration: 10 Second(s) Effective Time: Tue, 23 Jan 2018 01:04:05 GMT

Effective Time (Gültigkeitszeit) gibt an, wann die Richtlinie für den Bucket in Kraft getreten ist.

3. Sie haben für den Bucket nun eine Aufbewahrungsrichtlinie definiert. Testen Sie die Richtlinie, indem Sie ein Transaktionsobjekt hinzufügen:

gsutil cp gs://spls/gsp297/dummy_transactions "gs://$BUCKET/"

4. Überprüfen Sie das Ablaufdatum der Aufbewahrungsrichtlinie:

gsutil ls -L "gs://$BUCKET/dummy_transactions"

Beispielausgabe:

gs://YOUR_BUCKET_NAME/dummy_transactions: Creation time: Tue, 23 Jan 2018 00:45:21 GMT Update time: Thu, 25 Jan 2018 20:14:49 GMT Retention Expiration: Thu, 25 Jan 2018 20:14:59 GMT

Das Objekt kann erst nach Ablauf der Aufbewahrungszeit gelöscht werden.

Um die Aufbewahrungszeit zu verlängern, verwenden Sie den Befehl gsutil retention set.

Klicken Sie auf Fortschritt prüfen. Aufbewahrungsrichtlinie einrichten

Aufgabe 3: Aufbewahrungsrichtlinie sperren

Aufbewahrungsrichtlinien, die nicht gesperrt sind, können aus dem Bucket entfernt und die darin festgelegten Aufbewahrungszeiten reduziert werden. Sobald eine Aufbewahrungsrichtlinie gesperrt wurde, kann sie nicht mehr aus dem Bucket entfernt und die Aufbewahrungszeit nicht mehr reduziert werden.

1. Aufbewahrungsrichtlinie sperren:

gsutil retention lock "gs://$BUCKET/"

Beispielausgabe zur Bestätigung der Sperre:

This will PERMANENTLY set the Retention Policy on gs://YOUR-BUCKET-NAME to: Retention Policy (UNLOCKED): Duration: 10 Second(s) Effective Time: Wed, 07 Feb 2018 01:37:52 GMT This setting cannot be reverted! Continue? [y|N]:

2. Geben Sie zur Bestätigung y ein.

Hinweis: Führen Sie den folgenden Befehl aus, um die Aufbewahrungsrichtlinie für einen Bucket anzuzeigen:

gsutil retention get "gs://$Cloud Storage_BUCKET/"

Gesperrte Aufbewahrungsrichtlinien können nicht mehr entsperrt, sondern nur noch verlängert werden. Die Gültigkeitszeit wird aktualisiert, wenn die seit ihrer Festlegung oder letzten Aktualisierung verstrichene Zeit die in der Aufbewahrungsrichtlinie festgelegte Zeit überschritten hat.

Klicken Sie auf Fortschritt prüfen. Aufbewahrungsrichtlinie sperren

Aufgabe 4: Temporärer Hold

Wir führen das obige Beispiel fort und gehen davon aus, dass Sie für den Bucket bereits eine Aufbewahrungsrichtlinie von 10 Sekunden konfiguriert und die Richtlinie gesperrt haben.

Die Finanzaufsichtsbehörde führt bei einem Kunden der Filiale eine Prüfung durch. Sie verlangt, die entsprechenden Datensätze für die Dauer der Prüfung noch aufzubewahren. Einige der Cloud Storage-Objekte für diesen Kunden nähern sich dem Ablaufdatum und werden bald automatisch gelöscht.

Deshalb setzt der IT-Administrator der Filiale zu Beginn der behördlichen Untersuchung für alle Objekte, die mit der Prüfung in Zusammenhang stehen, das Flag für temporären Hold. Dieses Flag verhindert, dass Objekte gelöscht werden, auch Objekte, die älter als 10 Sekunden sind.

1. Setzen Sie einen temporären Hold für das Transaktionsobjekt:

gsutil retention temp set "gs://$BUCKET/dummy_transactions"

2. Für Objekte mit einem temporären Hold können keine Löschvorgänge durchgeführt werden. Zuerst muss der Hold wieder aufgehoben werden. Versuchen Sie als Beispiel, das Objekt zu löschen:

gsutil rm "gs://$BUCKET/dummy_transactions"

Sie sollten folgende Fehlermeldung sehen:

AccessDeniedException: 403 Object 'YOUR-BUCKET-NAME/dummy_transactions is under active Temporary hold and cannot be deleted, overwritten or archived until hold is removed.

3. Sobald die Aufsichtsbehörde ihre Prüfung abgeschlossen hat, hebt der IT-Administrator der Filiale den temporären Hold auf. Verwenden Sie den folgenden Befehl, um den Hold aufzuheben:

gsutil retention temp release "gs://$BUCKET/dummy_transactions"

Klicken Sie auf Fortschritt prüfen. Temporären Hold einrichten

4. Jetzt können Sie die Datei löschen, es sei denn, die Aufbewahrungsrichtlinie für die Datei ist noch nicht abgelaufen. Warten Sie in diesem Fall einen Moment und versuchen Sie es dann noch einmal.

gsutil rm "gs://$BUCKET/dummy_transactions"

Aufgabe 5: Ereignisbasierte Holds

Wir führen das obige Beispiel fort und gehen davon aus, dass Sie für den Bucket bereits eine Aufbewahrungsrichtlinie von 10 Sekunden konfiguriert und die Richtlinie gesperrt haben.

Zusätzlich zu den Finanztransaktionsdaten muss die Filiale auch ihre Datensätze zu Kredittransaktionen 10 Sekunden lang aufbewahren, beginnend ab dem Datum, an dem der Kredit zurückgezahlt wurde. Zu diesem Zweck lädt der IT-Administrator der Filiale die Kreditdaten als neue Cloud Storage-Objekte hoch. Das ereignisbasierte Hold-Flag ist gesetzt.

Der IT-Administrator der Filiale entfernt als tägliche Aufgabe die ereignisbasierten Hold-Flags von den entsprechenden Cloud Storage-Objekten, wenn die Kredite zurückgezahlt werden. Es sind keine weiteren Maßnahmen erforderlich, da Cloud Storage automatisch eine neue Aufbewahrungszeit berechnet, die 10 Sekunden später abläuft.

Mit ereignisbasierten Holds können Sie den Ablauf einer Aufbewahrungsrichtlinie so lange verzögern, bis der Hold aufgehoben wird. Ereignisbasierte Holds können pro Objekt verwaltet und beim Hinzufügen neuer Objekte in den Bucket-Eigenschaften als Standard festgelegt werden.

Mit den folgenden Schritten aktivieren Sie ereignisbasierte Holds für einen Kredit.

1. Aktivieren Sie mit dem folgenden Befehl ereignisbasierte Holds als Standardeinstellung für Ihren Bucket:

gsutil retention event-default set "gs://$BUCKET/"

2. Fügen Sie dem Bucket mit dem folgenden Befehl einen Kredit als Beispiel hinzu:

gsutil cp gs://spls/gsp297/dummy_loan "gs://$BUCKET/"

3. Prüfen Sie mit dem folgenden Befehl, ob der ereignisbasierte Hold für den neu hinzugefügten Kredit aktiviert ist:

gsutil ls -L "gs://$BUCKET/dummy_loan"

Die Ausgabe sollte in etwa so aussehen:

gs://YOUR-BUCKET-NAME/dummy_loan: Creation time: Fri, 26 Jan 2018 07:40:28 GMT Update time: Fri, 26 Jan 2018 07:40:28 GMT Event-Based Hold: Enabled

Beachten Sie, dass kein Ablaufdatum für die Aufbewahrung angegeben ist. Eine Ablaufzeit ist erst verfügbar, wenn der ereignisbasierte Hold für das Objekt aufgehoben wird.

4. Sobald der Kredit zurückgezahlt ist, hebt der IT-Administrator der Filiale den ereignisbasierten Hold mit dem folgenden Befehl auf:

gsutil retention event release "gs://$BUCKET/dummy_loan"

Die Ausgabe sollte in etwa so aussehen:

Releasing Event-Based Hold on gs://YOUR-BUCKET-NAME/dummy_loan...

5. Nach Aufhebung des ereignisbasierten Holds tritt die Aufbewahrungsrichtlinie des Buckets in Kraft. Überprüfen Sie mit dem folgenden Befehl, ob es für den Beispielkredit nun einen Eintrag zum Ablauf der Aufbewahrungsfrist gibt.

gsutil ls -L "gs://$BUCKET/dummy_loan"

Sie sollten Folgendes sehen:

dummy_loan: Creation time: Fri, 26 Jan 2018 08:14:16 GMT Update time: Fri, 26 Jan 2018 08:14:25 GMT Retention Expiration: Fri, 26 Jan 2018 08:14:45 GMT Hinweis: Ereignisbasierte Holds können auch für ein bestimmtes Objekt festgelegt werden. Verwenden Sie dazu den folgenden Befehl:

gsutil retention event set "gs://bucket-name/object-name"

6. Versuchen Sie, die Datei aus dem Bucket zu löschen:

gsutil rm "gs://$BUCKET/dummy_loan"

Klicken Sie auf Fortschritt prüfen. Ereignisbasierte Holds erstellen

Aufgabe 6: Aufbewahrungsrichtlinie entfernen

Leider wird die Kreditvergabe in der Filiale eingestellt. Der IT-Administrator der Filiale muss die vorhandenen Datensätze weiterhin für die gesamte Dauer aufbewahren, erwartet jedoch keine weiteren neuen Datensätze im Bucket. Nachdem die letzte Aufbewahrungszeit für Kredite abgelaufen ist und keine Aufbewahrungspflicht mehr besteht, kann der IT-Administrator den leeren Bucket löschen. Der Bucket kann trotz der gesperrten Aufbewahrungsrichtlinie gelöscht werden, da er keine Daten enthält, die einer Aufbewahrungspflicht unterliegen.

• Löschen Sie einen leeren Bucket mit dem folgenden Befehl:

gsutil rb "gs://$BUCKET/"

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

In diesem Lab haben Sie gelernt, wie Sie die Aufbewahrung von Objekten mithilfe von zeitbasierten Richtlinien, temporären Holds und ereignisbasierten Holds verwalten und schließlich den Bucket mit gesperrter Aufbewahrungsrichtlinie löschen.

Nächstes Lab absolvieren

Weitere Informationen zu Cloud Storage:

• Erste Schritte mit Cloud KMS
• Cloud Filestore: Qwik Start

Weitere Informationen

• Informationen zur Bucket-Sperre in Cloud Storage
• Informationen zum Verwalten von Objektlebenszyklen in Cloud Storage

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 30. September 2025 aktualisiert

Lab zuletzt am 30. September 2025 getestet

© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.