GSP297
Présentation
Dans cet atelier, vous allez apprendre à utiliser le verrouillage de bucket Cloud Storage. Cette fonctionnalité permet de configurer une règle de conservation des données qui régit la durée de conservation des objets dans un bucket Cloud Storage. Elle permet aussi de verrouiller les règles de conservation des données, ce qui empêche définitivement la suppression de ces règles ou la réduction de leur durée.
Associé au mode de journalisation d'audit détaillé de Cloud Storage, qui consigne les détails des requêtes et des réponses Cloud Storage, ou encore à la gestion du cycle de vie des objets, le verrouillage de bucket peut vous aider à satisfaire aux exigences réglementaires et de conformité, telles que celles de la FINRA, la SEC et la CFTC. Vous pouvez également utiliser le verrouillage de bucket pour respecter certaines réglementations applicables à la conservation des données médicales.
Points abordés
Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :
- Créer un bucket
- Définir une règle de conservation des objets
- Supprimer une règle de conservation
Préparation
Avant de cliquer sur le bouton "Démarrer l'atelier"
Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.
Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.
Pour réaliser cet atelier :
- Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).
Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
- Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.
Démarrer l'atelier et se connecter à la console Google Cloud
-
Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement.
Sur la droite, vous trouverez le panneau Préparation et accès à l'atelier, qui contient les éléments suivants :
- Le bouton Ouvrir la console Google Cloud
- Les identifiants temporaires (nom d'utilisateur et mot de passe) que vous devez utiliser pour cet atelier
- Des informations complémentaires vous permettant d'effectuer l'atelier, si nécessaire
Notez que le minuteur de l'atelier se trouve en haut de la page et indique le temps restant.
-
Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans une fenêtre en navigation privée si vous utilisez Chrome).
L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.
Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.
Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.
-
Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.
{{{user_0.username | "Username"}}}
Vous trouverez également le nom d'utilisateur dans le panneau Préparation et accès à l'atelier.
-
Cliquez sur Suivant.
-
Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.
{{{user_0.password | "Password"}}}
Vous trouverez également le mot de passe dans le panneau Préparation et accès à l'atelier.
-
Cliquez sur Suivant.
Important : Vous devez utiliser les identifiants fournis pour l'atelier. N'utilisez pas les identifiants de votre compte Google Cloud.
Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires pourront vous être facturés.
-
Accédez aux pages suivantes :
- Acceptez les conditions d'utilisation.
- N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
- Ne vous inscrivez pas à des essais sans frais.
Après quelques instants, la console Cloud s'ouvre dans cet onglet.
Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.
Activer Cloud Shell
Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.
-
Cliquez sur Activer Cloud Shell
en haut de la console Google Cloud.
-
Passez les fenêtres suivantes :
- Accédez à la fenêtre d'informations de Cloud Shell.
- Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.
Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :
Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}
gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.
- (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :
gcloud auth list
- Cliquez sur Autoriser.
Résultat :
ACTIVE: *
ACCOUNT: {{{user_0.username | "ACCOUNT"}}}
To set the active account, run:
$ gcloud config set account `ACCOUNT`
- (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :
gcloud config list project
Résultat :
[core]
project = {{{project_0.project_id | "PROJECT_ID"}}}
Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.
Définir la région pour cet atelier
gcloud config set compute/region {{{project_0.default_region | "REGION"}}}
L'utilitaire Cloud Storage, gsutil, est installé et prêt à être utilisé dans Google Cloud. Dans cet atelier, vous allez utiliser gsutil dans Cloud Shell.
Tâche 1 : Créer un bucket
- Définissez une variable d'environnement nommée Cloud Storage_BUCKET et utilisez l'ID de votre projet comme nom de bucket. Exécutez la commande suivante, qui utilise Cloud SDK pour obtenir l'ID de votre projet :
export BUCKET=$(gcloud config get-value project)
- Créez ensuite un bucket à l'aide de la commande gsutil suivante :
gsutil mb "gs://$BUCKET"
- Cliquez sur Autoriser.
Cliquez sur Vérifier ma progression pour valider l'objectif.
Créer un bucket de stockage
Tâche 2 : Définir une règle de conservation
Prenons l'exemple d'une agence bancaire qui doit conserver les enregistrements des transactions financières pendant six ans (durée ramenée à 10 secondes pour les besoins de cet atelier) conformément à la règle SEC 17a-4. L'administrateur informatique de l'agence est responsable sur le plan technique de la gestion et de la conservation des enregistrements au quotidien. Pour cela, il souhaite créer un bucket Cloud Storage avec une règle de conservation (10 secondes pour cet atelier).
Voyons comment configurer une règle de conservation sur un bucket.
- Vous pouvez définir la règle de conservation en utilisant des secondes, jours, mois et années à l'aide de l'outil gsutil de Cloud Storage. Par exemple, créez une règle de conservation de 10 secondes :
gsutil retention set 10s "gs://$BUCKET"
Remarque : Vous pouvez également utiliser 10d pour 10 jours, 10m pour 10 mois ou 10y pour 10 ans. Pour en savoir plus, utilisez la commande gsutil help retention set.
- Vérifiez la règle de conservation définie pour un bucket :
gsutil retention get "gs://$BUCKET"
Exemple de résultat :
Retention Policy (UNLOCKED):
Duration: 10 Second(s)
Effective Time: Tue, 23 Jan 2018 01:04:05 GMT
Effective time définit la date et l'heure où la règle est entrée en vigueur dans le bucket.
- Maintenant qu'une règle de conservation est appliquée au bucket, ajoutez un objet d'enregistrement de transaction pour la tester :
gsutil cp gs://spls/gsp297/dummy_transactions "gs://$BUCKET/"
- Vérifiez l'expiration de la conservation :
gsutil ls -L "gs://$BUCKET/dummy_transactions"
Exemple de résultat :
gs://YOUR_BUCKET_NAME/dummy_transactions:
Creation time: Tue, 23 Jan 2018 00:45:21 GMT
Update time: Thu, 25 Jan 2018 20:14:49 GMT
Retention Expiration: Thu, 25 Jan 2018 20:14:59 GMT
Lorsque la règle de conservation expire pour l'objet concerné, cela signifie qu'il peut être supprimé.
Pour prolonger une règle de conservation, mettez-la à jour à l'aide de la commande gsutil retention set.
Cliquez sur Vérifier ma progression pour valider l'objectif.
Configurer une règle de conservation
Tâche 3 : Verrouiller la règle de conservation
Lorsque la règle de conservation est déverrouillée, vous pouvez la supprimer du bucket ou réduire la durée de conservation. Une fois la règle de conservation verrouillée, vous ne pouvez plus la supprimer du bucket ni réduire la durée de conservation.
- Verrouillez la règle de conservation :
gsutil retention lock "gs://$BUCKET/"
Exemple de résultat permettant de confirmer le verrouillage :
This will PERMANENTLY set the Retention Policy on gs://YOUR-BUCKET-NAME to:
Retention Policy (UNLOCKED):
Duration: 10 Second(s)
Effective Time: Wed, 07 Feb 2018 01:37:52 GMT
This setting cannot be reverted! Continue? [y|N]:
- Saisissez
y (oui) pour confirmer.
Remarque : Pour afficher la règle de conservation d'un bucket, exécutez la commande suivante :
gsutil retention get "gs://$Cloud Storage_BUCKET/"
Une fois verrouillée, la règle de conservation ne peut pas être déverrouillée et ne peut être que prolongée. La date et l'heure d'entrée en vigueur sont mises à jour si la durée écoulée depuis leur définition ou leur dernière mise à jour a dépassé la durée de conservation définie.
Cliquez sur Vérifier ma progression pour valider l'objectif.
Verrouiller la règle de conservation
Tâche 4 : Préservation temporaire
Reprenons l'exemple ci-dessus, en considérant que le bucket est déjà configuré avec une règle de conservation verrouillée de 10 secondes.
Un organisme de réglementation financière décide de réaliser un audit de l'un des clients de l'agence. Il exige que les enregistrements soient conservés pendant toute la durée de l'audit. La date d'expiration de certains objets Cloud Storage de ce client approche, ce qui signifie qu'ils seront bientôt supprimés automatiquement.
Pour résoudre le problème, l'administrateur informatique de l'agence applique le flag de préservation temporaire à chacun des objets liés à l'audit dès que l'investigation réglementaire commence. Tant que ce flag restera en place, les objets seront protégés contre la suppression, même s'ils datent de plus de 10 secondes.
- Définissez une préservation temporaire sur l'objet "transactions" :
gsutil retention temp set "gs://$BUCKET/dummy_transactions"
- Si vous appliquez une préservation temporaire à l'objet, les opérations de suppression ne seront pas possibles tant que la préservation n'aura pas été levée. Par exemple, essayez de supprimer l'objet :
gsutil rm "gs://$BUCKET/dummy_transactions"
Le message d'erreur suivant doit s'afficher :
AccessDeniedException: 403 Object 'YOUR-BUCKET-NAME/dummy_transactions is under active Temporary hold and cannot be deleted, overwritten or archived until hold is removed.
- Une fois que l'organisme de réglementation a terminé son audit, l'administrateur informatique de l'agence supprime la préservation temporaire. Utilisez la commande suivante pour lever la préservation :
gsutil retention temp release "gs://$BUCKET/dummy_transactions"
- Vous pouvez maintenant supprimer le fichier, sauf si la règle de conservation associée n'a pas encore expiré. Dans ce cas, patientez quelques instants, puis réessayez.
gsutil rm "gs://$BUCKET/dummy_transactions"
Cliquez sur Vérifier ma progression pour valider l'objectif.
Configurer une préservation temporaire
Tâche 5 : Obligations de conservation basées sur des événements
Reprenons l'exemple ci-dessus, en considérant que le bucket est déjà configuré avec une règle de conservation verrouillée de 10 secondes.
En plus de conserver les enregistrements des transactions financières pendant 10 secondes, l'agence doit conserver ceux concernant les prêts pendant 10 secondes à compter de la date de remboursement. Pour cela, l'administrateur informatique importe les enregistrements des prêts en tant que nouveaux objets Cloud Storage et leur applique le flag d'obligation de conservation basée sur les événements.
Chaque jour, à mesure que les prêts sont remboursés, il annule ce flag sur les objets Cloud Storage correspondants. Aucune autre action n'est nécessaire, car Cloud Storage calcule automatiquement une nouvelle règle de conservation qui expire 10 secondes après.
Les obligations de conservation basées sur les événements vous permettent de retarder le décompte d'une règle de conservation jusqu'à ce que l'obligation soit levée. Elles peuvent être gérées par objet et définies par défaut dans les propriétés du bucket pour être appliquées lorsque de nouveaux objets y sont ajoutés.
Voyons comment activer les obligations de conservation basées sur les événements pour un prêt.
- Activez l'obligation de conservation basée sur les événements par défaut pour votre bucket à l'aide de la commande suivante :
gsutil retention event-default set "gs://$BUCKET/"
- Ajoutez un exemple de prêt au bucket à l'aide de la commande suivante :
gsutil cp gs://spls/gsp297/dummy_loan "gs://$BUCKET/"
- Vérifiez que l'obligation de conservation basée sur les événements est activée pour le prêt que vous venez d'ajouter à l'aide de la commande suivante :
gsutil ls -L "gs://$BUCKET/dummy_loan"
Le résultat doit ressembler à ceci :
gs://YOUR-BUCKET-NAME/dummy_loan:
Creation time: Fri, 26 Jan 2018 07:40:28 GMT
Update time: Fri, 26 Jan 2018 07:40:28 GMT
Event-Based Hold: Enabled
Notez que l'expiration de la conservation n'est pas définie. Pour que le délai d'expiration soit disponible, l'objet doit être libéré de l'obligation de conservation basée sur les événements.
- Une fois le prêt remboursé, l'administrateur informatique de l'agence lève l'obligation de conservation basée sur les événements à l'aide de la commande suivante :
gsutil retention event release "gs://$BUCKET/dummy_loan"
Le résultat doit ressembler à ceci :
Releasing Event-Based Hold on gs://YOUR-BUCKET-NAME/dummy_loan...
- Une fois qu'une obligation de conservation basée sur les événements est levée, la règle de conservation du bucket prend effet. Vérifiez que l'exemple de prêt comporte désormais le champ "Retention Expiration" (Expiration de la conservation) à l'aide de la commande suivante :
gsutil ls -L "gs://$BUCKET/dummy_loan"
Le résultat suivant doit s'afficher :
dummy_loan:
Creation time: Fri, 26 Jan 2018 08:14:16 GMT
Update time: Fri, 26 Jan 2018 08:14:25 GMT
Retention Expiration: Fri, 26 Jan 2018 08:14:45 GMT
Remarque : Vous pouvez également définir une obligation de conservation basée sur les événements pour un objet spécifique à l'aide de la commande ci-dessous :
gsutil retention event set "gs://bucket-name/object-name"
- Essayez de supprimer le fichier du bucket :
gsutil rm "gs://$BUCKET/dummy_loan"
Cliquez sur Vérifier ma progression pour valider l'objectif.
Créer des obligations de conservation basées sur les événements
Tâche 6 : Supprimer une règle de conservation
Malheureusement, l'agence doit cesser ses activités de prêt. L'administrateur informatique doit quand même conserver les enregistrements existants pendant toute la durée des prêts, mais il n'a plus besoin de produire d'enregistrements dans le bucket. Lorsque la période de conservation du dernier prêt expire et qu'il n'y a plus d'obligation de conservation, l'administrateur informatique de l'agence peut supprimer le bucket vide. Le bucket peut être supprimé même s'il est associé à une règle de conservation verrouillée, car il ne contient aucune donnée soumise à des règles ou à des obligations de conservation.
- Supprimez le bucket vide à l'aide de la commande suivante :
gsutil rb "gs://$BUCKET/"
Félicitations !
Dans cet atelier, vous avez appris à gérer la conservation des objets à l'aide de règles définies par durée, de préservations temporaires et d'obligations de conservation basées sur les événements. Vous avez également appris à supprimer un bucket associé à une règle de conservation verrouillée.
Atelier suivant
En savoir plus sur Cloud Storage
Étapes suivantes et informations supplémentaires
Formations et certifications Google Cloud
Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.
Dernière mise à jour du manuel : 30 avril 2026
Dernier test de l'atelier : 30 avril 2026
Copyright 2026 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.