GSP297

Présentation

Dans cet atelier, vous allez apprendre à utiliser le verrou de bucket Cloud Storage. Cette fonctionnalité permet de configurer une règle de conservation des données qui régit la durée de conservation des objets dans un bucket Cloud Storage. Elle permet aussi de verrouiller les règles de conservation des données, empêchant ainsi de manière définitive la suppression de ces règles ou la réduction de leur durée.

Associé au mode de journalisation d'audit détaillé de Cloud Storage, qui consigne les détails des requêtes et des réponses Cloud Storage, ou encore à la gestion du cycle de vie des objets, le verrou de bucket peut vous aider à satisfaire aux exigences réglementaires et de conformité, telles que les règles édictées par la FINRA, la SEC et la CFTC. Vous pouvez également utiliser le verrou de bucket pour respecter certaines réglementations applicables à la conservation des données médicales.

Points abordés

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

• Créer un bucket
• Définir une règle de conservation des objets
• Supprimer une règle de conservation

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).

Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

   • Le bouton "Ouvrir la console Google Cloud"
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

2. Passez les fenêtres suivantes :

   • Accédez à la fenêtre d'informations de Cloud Shell.
   • Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

3. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

4. Cliquez sur Autoriser.

Résultat :

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Définir la région pour cet atelier

gcloud config set compute/region {{{project_0.default_region | "REGION"}}}

L'utilitaire Cloud Storage, gsutil, est installé et prêt à être utilisé dans Google Cloud. Dans cet atelier, vous allez utiliser gsutil dans Cloud Shell.

Tâche 1 : Créer un bucket

1. Définissez une variable d'environnement nommée Cloud Storage_BUCKET et utilisez l'ID de votre projet comme nom de bucket. Exécutez la commande suivante, qui utilise Cloud SDK pour obtenir l'ID de votre projet :

export BUCKET=$(gcloud config get-value project)

2. Créez ensuite un bucket à l'aide de la commande gsutil suivante :

gsutil mb "gs://$BUCKET"

3. Cliquez sur Autoriser.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer un bucket de stockage

Tâche 2 : Définir une règle de conservation

Prenons l'exemple d'une agence bancaire qui doit conserver les enregistrements des transactions financières pendant six ans (durée ramenée à 10 secondes pour les besoins de cet atelier) conformément à la règle SEC 17a-4. L'administrateur informatique de l'agence est responsable sur le plan technique de la gestion et de la conservation des enregistrements au quotidien. Pour cela, il souhaite créer un bucket Cloud Storage avec une règle de conservation (10 secondes pour cet atelier).

Voyons comment configurer une règle de conservation sur un bucket.

1. Vous pouvez définir la règle de conservation en utilisant des secondes, jours, mois et années à l'aide de l'outil gsutil de Cloud Storage. Par exemple, créez une règle de conservation de 10 secondes :

gsutil retention set 10s "gs://$BUCKET" Remarque : Vous pouvez également utiliser 10d pour 10 jours, 10m pour 10 mois ou 10y pour 10 ans. Pour en savoir plus, utilisez la commande gsutil help retention set.

2. Vérifiez la règle de conservation définie pour un bucket :

gsutil retention get "gs://$BUCKET"

Exemple de résultat :

Retention Policy (UNLOCKED): Duration: 10 Second(s) Effective Time: Tue, 23 Jan 2018 01:04:05 GMT

Effective time définit la date et l'heure où la règle est entrée en vigueur dans le bucket.

3. Maintenant qu'une règle de conservation est appliquée au bucket, ajoutez un objet d'enregistrement de transaction pour la tester :

gsutil cp gs://spls/gsp297/dummy_transactions "gs://$BUCKET/"

4. Vérifiez la date d'expiration de la conservation :

gsutil ls -L "gs://$BUCKET/dummy_transactions"

Exemple de résultat :

gs://YOUR_BUCKET_NAME/dummy_transactions: Creation time: Tue, 23 Jan 2018 00:45:21 GMT Update time: Thu, 25 Jan 2018 20:14:49 GMT Retention Expiration: Thu, 25 Jan 2018 20:14:59 GMT

Lorsque la règle de conservation expire pour l'objet concerné, cela signifie qu'il peut être supprimé.

Pour prolonger une règle de conservation, utilisez la commande gsutil retention set afin de la mettre à jour.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer une règle de conservation

Tâche 3 : Verrouiller la règle de conservation

Lorsque la règle de conservation est déverrouillée, vous pouvez la supprimer du bucket ou réduire la durée de conservation. Une fois la règle de conservation verrouillée, vous ne pouvez plus la supprimer du bucket ni réduire la durée de conservation.

1. Verrouillez la règle de conservation :

gsutil retention lock "gs://$BUCKET/"

Exemple de sortie permettant de confirmer le verrouillage :

This will PERMANENTLY set the Retention Policy on gs://YOUR-BUCKET-NAME to: Retention Policy (UNLOCKED): Duration: 10 Second(s) Effective Time: Wed, 07 Feb 2018 01:37:52 GMT This setting cannot be reverted! Continue? [y|N]:

2. Saisissez y pour confirmer.

Remarque : Pour afficher la règle de conservation d'un bucket, exécutez la commande suivante :

gsutil retention get "gs://$Cloud Storage_BUCKET/"

Une fois verrouillée, la règle de conservation ne peut pas être déverrouillée et ne peut être que prolongée. La date et l'heure d'entrée en vigueur sont mises à jour si la durée écoulée depuis leur définition ou leur dernière mise à jour a dépassé la durée de conservation définie.

Cliquez sur Vérifier ma progression pour valider l'objectif. Verrouiller la règle de conservation

Tâche 4 : Préservation temporaire

Reprenons l'exemple ci-dessus, en considérant que le bucket est déjà configuré avec une règle de conservation verrouillée de 10 secondes.

Un organisme de réglementation financière décide de réaliser un audit de l'un des clients de l'agence. Il exige que les enregistrements soient conservés pendant toute la durée de l'audit. La date d'expiration de certains objets Cloud Storage de ce client approche, ce qui signifie qu'ils seront bientôt supprimés automatiquement.

Pour résoudre le problème, l'administrateur informatique de l'agence doit appliquer une préservation temporaire sur chacun des objets liés à l'audit dès le commencement de l'investigation réglementaire. Tant qu'elle restera en place, les objets seront protégés contre la suppression, même s'ils datent de plus de 10 secondes.

1. Définissez une préservation temporaire sur l'objet "transactions" :

gsutil retention temp set "gs://$BUCKET/dummy_transactions"

2. Si vous appliquez une préservation temporaire sur l'objet, les opérations de suppression ne sont pas possibles tant que l'objet n'est pas libéré de la préservation. Par exemple, essayez de supprimer l'objet :

gsutil rm "gs://$BUCKET/dummy_transactions"

Le message d'erreur suivant doit s'afficher :

AccessDeniedException: 403 Object 'YOUR-BUCKET-NAME/dummy_transactions is under active Temporary hold and cannot be deleted, overwritten or archived until hold is removed.

3. Une fois que l'organisme de réglementation a terminé son audit, l'administrateur informatique de l'agence supprime la préservation temporaire. Utilisez la commande suivante pour lever la préservation :

gsutil retention temp release "gs://$BUCKET/dummy_transactions"

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer une préservation temporaire

4. Vous pouvez maintenant supprimer le fichier, sauf si la règle de conservation associée n'a pas encore expiré. Si tel est le cas, patientez quelques instants, puis réessayez.

gsutil rm "gs://$BUCKET/dummy_transactions"

Tâche 5 : Obligations de conservation basées sur des événements

Reprenons l'exemple ci-dessus, en considérant que le bucket est déjà configuré avec une règle de conservation verrouillée de 10 secondes.

En plus de conserver les enregistrements des transactions financières pendant 10 secondes, l'agence doit également conserver ceux concernant les prêts pendant 10 secondes à compter de la date de remboursement. Pour cela, l'administrateur informatique importe les enregistrements des prêts en tant que nouveaux objets Cloud Storage, qu'il soumet à une obligation de conservation basée sur des événements.

Chaque jour, à mesure que les prêts sont remboursés, il annule cette obligation sur les objets Cloud Storage correspondants. Aucune autre action n'est nécessaire, car Cloud Storage calcule automatiquement une nouvelle règle de conservation qui expire 10 secondes après.

Les obligations de conservation basées sur des événements vous permettent de retarder le décompte d'une règle de conservation jusqu'à ce que l'obligation soit levée. Elles peuvent être gérées par objet et définies par défaut dans les propriétés du bucket pour être appliquées lorsque de nouveaux objets y sont ajoutés.

Voyons comment activer les obligations de conservation basées sur des événements pour un prêt.

1. Activez l'obligation de conservation basée sur des événements par défaut pour votre bucket à l'aide de la commande suivante :

gsutil retention event-default set "gs://$BUCKET/"

2. Procédez comme suit pour créer le bucket.

gsutil cp gs://spls/gsp297/dummy_loan "gs://$BUCKET/"

3. Vérifiez que l'obligation de conservation basée sur des événements est activée pour le prêt que vous venez d'ajouter à l'aide de la commande suivante :

gsutil ls -L "gs://$BUCKET/dummy_loan"

Le résultat doit se présenter comme suit :

gs://YOUR-BUCKET-NAME/dummy_loan: Creation time: Fri, 26 Jan 2018 07:40:28 GMT Update time: Fri, 26 Jan 2018 07:40:28 GMT Event-Based Hold: Enabled

Notez que l'expiration de la conservation n'est pas définie. Pour que le délai d'expiration soit disponible, l'objet doit être libéré de l'obligation de conservation basée sur des événements.

4. Une fois le prêt remboursé, l'administrateur informatique de l'agence lève l'obligation de conservation basée sur des événements à l'aide de la commande suivante :

gsutil retention event release "gs://$BUCKET/dummy_loan"

Le résultat doit se présenter comme suit :

Releasing Event-Based Hold on gs://YOUR-BUCKET-NAME/dummy_loan...

5. Une fois qu'une obligation de conservation basée sur des événements est levée, la règle de conservation du bucket prend effet. Vérifiez que l'exemple de prêt comporte désormais le champ "Retention Expiration" (Expiration de la conservation) à l'aide de la commande suivante :

gsutil ls -L "gs://$BUCKET/dummy_loan"

Le résultat suivant doit s'afficher :

dummy_loan: Creation time: Fri, 26 Jan 2018 08:14:16 GMT Update time: Fri, 26 Jan 2018 08:14:25 GMT Retention Expiration: Fri, 26 Jan 2018 08:14:45 GMT Remarque : Vous pouvez également définir une obligation de conservation basée sur des événements pour un objet spécifique à l'aide de la commande ci-dessous :

gsutil retention event set "gs://bucket-name/object-name"

6. Essayez de supprimer le fichier du bucket :

gsutil rm "gs://$BUCKET/dummy_loan"

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer des obligations de conservation basées sur des événements

Tâche 6 : Supprimer une règle de conservation

Malheureusement, l'agence doit cesser ses activités de prêt. L'administrateur informatique doit quand même conserver les enregistrements existants pendant toute la durée des prêts, mais il n'a plus besoin de produire d'enregistrements dans le bucket. Lorsque la période de conservation du dernier prêt expire et qu'il n'y a plus d'obligation de conservation, l'administrateur informatique de l'agence peut supprimer le bucket vide. Le bucket peut être supprimé même s'il est associé à une règle de conservation verrouillée, car il ne contient aucune donnée soumise à des règles ou à des obligations de conservation.

• Supprimez le bucket vide à l'aide de la commande suivante :

gsutil rb "gs://$BUCKET/"

Félicitations !

Dans cet atelier, vous avez appris à gérer la conservation des objets à l'aide de règles définies par durée, de préservations temporaires et d'obligations de conservation basées sur des événements. Vous avez également appris à supprimer un bucket associé à une règle de conservation verrouillée.

Atelier suivant

En savoir plus sur Cloud Storage

• Premiers pas avec Cloud KMS
• Cloud Filestore : Qwik Start

Étapes suivantes et informations supplémentaires

• En savoir plus sur le verrou de bucket Cloud Storage
• En savoir plus sur la gestion du cycle de vie des objets dans Cloud Storage

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 30 septembre 2025

Dernier test de l'atelier : 30 septembre 2025

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.