GSP297

總覽

在本實驗室中，您將學習如何使用 Cloud Storage 的 bucket 鎖定功能，為 Cloud Storage bucket 設定資料保留政策，指定 bucket 物件的保留期。本功能也能讓您鎖定資料保留政策，永久防止政策遭刪減或移除。

只要搭配 Cloud Storage 詳細稽核記錄模式 (記錄 Cloud Storage 要求和回應詳情) 或物件生命週期管理，bucket 鎖定功能可協助您遵循法規，例如與 FINRA、SEC 和 CFTC 相關的規範。您也能使用 bucket 鎖定功能，因應醫療照護產業的某些資料保留法規。

課程內容

本實驗室的學習內容包括：

• 建立 bucket
• 定義物件資料保留政策
• 移除資料保留政策

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

設定本實驗室要用的區域

gcloud config set compute/region {{{project_0.default_region | "REGION"}}}

Cloud Storage 公用程式工具 gsutil 已安裝在 Google Cloud，可隨時使用。在本實驗室中，您會在 Cloud Shell 運用 gsutil。

工作 1：建立新的 bucket

1. 定義名為 Cloud Storage_BUCKET 的環境變數，bucket 名稱則使用專案 ID。使用下列指令，透過 Cloud SDK 取得專案 ID：

export BUCKET=$(gcloud config get-value project)

2. 接著，使用下列 gsutil 指令建立新的 bucket：

gsutil mb "gs://$BUCKET"

3. 點選「授權」。

點選「Check my progress」，確認目標已達成。 建立 Storage bucket

工作 2：定義資料保留政策

假設某金融機構分行必須遵守美國證券交易委員會 (SEC) 規則 17a-4，將金融交易記錄保留 6 年 (本實驗室為示範性質，因此改成保留 10 秒)。這間分行的 IT 管理員，負責管理日常交易記錄和保留相關資料，他想建立資料保留政策為 10 秒的 Cloud Storage bucket，以符合 SEC 的規範。

以下示範如何設定 bucket 的資料保留政策。

1. 您可以使用 Cloud Storage gsutil 工具，以秒、天、月和年為單位定義資料保留政策。舉例來說，如要建立保留 10 秒的政策：

gsutil retention set 10s "gs://$BUCKET" 注意：您也能用 10d 表示 10 天、10m 表示 10 個月，或 10y 表示 10 年。使用下列指令可查看更多說明：gsutil help retention set。

2. 驗證 bucket 的資料保留政策：

gsutil retention get "gs://$BUCKET"

輸出內容範例：

Retention Policy (UNLOCKED): Duration: 10 Second(s) Effective Time: Tue, 23 Jan 2018 01:04:05 GMT

Effective Time (生效時間) 會定義政策何時開始在 bucket 中生效。

3. 現在 bucket 已設定好資料保留政策，請新增交易記錄物件來測試：

gsutil cp gs://spls/gsp297/dummy_transactions "gs://$BUCKET/"

4. 查看保留期限：

gsutil ls -L "gs://$BUCKET/dummy_transactions"

輸出內容範例：

gs://YOUR_BUCKET_NAME/dummy_transactions: Creation time: Tue, 23 Jan 2018 00:45:21 GMT Update time: Thu, 25 Jan 2018 20:14:49 GMT Retention Expiration: Thu, 25 Jan 2018 20:14:59 GMT

物件的資料保留政策到期後，即可刪除該政策。

如要延長資料保留政策，請使用 gsutil retention set 指令更新政策。

點選「Check my progress」，確認目標已達成。 設定保留政策

工作 3：鎖定資料保留政策

如果資料保留政策未處於鎖定狀態，您可以將政策從 bucket 移除，或縮短保留時間。資料保留政策一旦鎖定後，就無法從 bucket 中移除，也無法縮短保留時間。

1. 鎖定資料保留政策：

gsutil retention lock "gs://$BUCKET/"

用來確認鎖定功能的輸出內容範例：

This will PERMANENTLY set the Retention Policy on gs://YOUR-BUCKET-NAME to: Retention Policy (UNLOCKED): Duration: 10 Second(s) Effective Time: Wed, 07 Feb 2018 01:37:52 GMT This setting cannot be reverted! Continue? [y|N]:

2. 輸入 y 確認。

注意：如要查看 bucket 的資料保留政策，請再次執行下列指令：

gsutil retention get "gs://$Cloud Storage_BUCKET/"

資料保留政策鎖定後即無法解鎖，只能延長保留時間。如果自初次設定或上次更新生效時間以來，經過的時間已超過保留政策指定期限，系統將更新生效時間。

點選「Check my progress」，確認目標已達成。 鎖定資料保留政策

工作 4：暫時性保留

延續上方範例，假設 bucket 設有 10 秒的資料保留政策，且政策已鎖定。

金融監管機構決定對某個分行的客戶進行稽核，並要求稽核期間都要保留記錄。這位客戶的部分 Cloud Storage 物件即將到期，很快就會由系統自動刪除。

為因應這個情況，分行 IT 管理員可以在監管調查開始時，為各個與稽核相關的物件增設暫時性保留標記，這樣即使物件保留超過 10 秒，也不會遭到刪除。

1. 為交易物件設定暫時性保留：

gsutil retention temp set "gs://$BUCKET/dummy_transactions"

2. 對物件設定暫時性保留後，除非解除保留狀態，否則物件無法刪除。假設用下列指令嘗試刪除物件：

gsutil rm "gs://$BUCKET/dummy_transactions"

您應該會看見下列錯誤訊息：

AccessDeniedException: 403 Object 'YOUR-BUCKET-NAME/dummy_transactions is under active Temporary hold and cannot be deleted, overwritten or archived until hold is removed.

3. 監管機構完成稽核後，分行 IT 管理員即可解除暫時性保留。您可使用下列指令解除保留：

gsutil retention temp release "gs://$BUCKET/dummy_transactions"

點選「Check my progress」，確認目標已達成。 設定暫時性保留

4. 現在您應該能刪除檔案，除非檔案的資料保留政策尚未到期。如果是的話，請稍候片刻，然後再試一次。

gsutil rm "gs://$BUCKET/dummy_transactions"

工作 5：事件型保留

延續上方範例，假設 bucket 設有 10 秒的資料保留政策，且政策已鎖定。

除了保留金融交易記錄 10 秒外，分行也必須自貸款還清日當天起，保留貸款記錄 10 秒。為遵守這項規範，分行 IT 管理員會上傳貸款記錄做為新的 Cloud Storage 物件，然後設定事件型的保留標記。

每天都有客戶還清貸款，分行 IT 管理員也會取消對應 Cloud Storage 物件的事件型保留標記。Cloud Storage 會自動計算新的資料保留政策期限 (自當天起 10 秒後到期)，因此 IT 管理員無須採取進一步行動。

只要加上事件型保留標記，資料保留政策就會延後生效，直到解除保留後才開始倒數計時。您可以按物件管理事件型保留設定，也能在 bucket 屬性建立預設設定，這樣新物件加入 bucket 時就會自動套用。

以下示範如何為貸款增設事件型保留標記。

1. 使用下列指令，為 bucket 套用預設的事件型保留政策：

gsutil retention event-default set "gs://$BUCKET/"

2. 使用下列指令，將範例貸款新增至 bucket：

gsutil cp gs://spls/gsp297/dummy_loan "gs://$BUCKET/"

3. 使用下列指令，確認新增的貸款是否已套用事件型保留標記：

gsutil ls -L "gs://$BUCKET/dummy_loan"

您應該會看見類似下方的輸出內容：

gs://YOUR-BUCKET-NAME/dummy_loan: Creation time: Fri, 26 Jan 2018 07:40:28 GMT Update time: Fri, 26 Jan 2018 07:40:28 GMT Event-Based Hold: Enabled

您應該會注意到，系統傳回的結果中未顯示保留期限。只有在物件的事件型保留解除後，保留期限才會顯示。

4. 客戶還清貸款後，分行 IT 管理員就會使用下列指令解除事件型保留：

gsutil retention event release "gs://$BUCKET/dummy_loan"

您應該會看見類似下方的輸出內容：

Releasing Event-Based Hold on gs://YOUR-BUCKET-NAME/dummy_loan...

5. 事件型保留解除後，bucket 資料保留政策就會生效。使用下列指令，確認範例貸款現在是否出現 Retention Expiration (保留期限) 欄位：

gsutil ls -L "gs://$BUCKET/dummy_loan"

系統應該會傳回下列內容：

dummy_loan: Creation time: Fri, 26 Jan 2018 08:14:16 GMT Update time: Fri, 26 Jan 2018 08:14:25 GMT Retention Expiration: Fri, 26 Jan 2018 08:14:45 GMT 注意：您也能使用下列指令，為特定物件設定事件型保留：

gsutil retention event set "gs://bucket-name/object-name"

6. 嘗試從 bucket 刪除檔案：

gsutil rm "gs://$BUCKET/dummy_loan"

點選「Check my progress」，確認目標已達成。 建立事件型保留

工作 6：移除資料保留政策

該分行因故必須終止貸款業務。分行 IT 管理員仍須在現有記錄到期前全程維護資料，但 bucket 原則上不會再出現新的記錄。最後一筆貸款的保留期限到期，且不再受保留政策限制後，分行 IT 管理員即可刪除空 bucket。即使 bucket 有鎖定中的資料保留政策，管理員也能刪除 bucket，因為該處已經沒有需要保留的資料。

• 使用下列指令刪除空 bucket：

gsutil rb "gs://$BUCKET/"

恭喜！

在本實驗室中，您學會多種管理保留物件的方式，包括定義具效期的政策、暫時性保留、事件型保留，以及刪除具有鎖定保留政策的 bucket。

挑戰下一個實驗室

進一步瞭解 Cloud Storage：

• 開始使用 Cloud KMS
• Cloud Filestore：Qwik Start

後續步驟/瞭解詳情

• 瞭解 Cloud Storage 的bucket 鎖定功能。
• 瞭解如何在 Cloud Storage 管理物件生命週期。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2025 年 9 月 30 日

實驗室上次測試日期：2025 年 9 月 30 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。