通过保留策略（WORM）确保指定时间内不支持修改和删除OSS数据

OSS保留策略具有WORM（Write Once Read Many）特性，满足用户以不可删除、不可篡改方式保存和使用数据。如果您希望指定时间内任何用户（包括资源拥有者）均不能修改和删除OSS某个Bucket中的Object，您可以选择为Bucket配置保留策略。在保留策略指定的Object保留时间到期之前，仅支持在Bucket中上传和读取Object。Object保留时间到期后，才可以修改或删除Object。

前提条件

华东1（杭州）、华东2（上海）、华东6（福州-本地地域）、华北1（青岛）、华北2（北京）、华北 3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国香港、美国（硅谷）、日本（东京）、韩国（首尔）、新加坡、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）、德国（法兰克福）、英国（伦敦）、阿联酋（迪拜）地域支持设置保留策略。
确保需要设置保留策略的Bucket未开启版本控制。关于版本控制的更多信息，请参见版本控制介绍。

使用场景

OSS保留策略支持的WORM特性符合美国证券交易委员会（SEC）和金融业监管局（FINRA）的合规要求。适用于金融、保险、医疗、证券、日志数据等保审查等场景。

说明

OSS是目前已通过Cohasset Associates审计认证的云服务，可满足严格的电子记录保留要求，例如SEC Rule 17a-4（f）、FINRA 4511、CFTC 1.31等合规要求。更多信息，请参见OSS Cohasset Assessment Report。

注意事项

目前仅支持针对Bucket级别设置保留策略。
同一个Bucket中，不建议同时开通OSS-HDFS服务并设置保留策略。
如果Bucket开通了OSS-HDFS服务并设置了保留策略，会导致通过OSS-HDFS提供的方式删除.dlsdata/目录下的数据时提示删除成功，但在保留策略有效期内OSS仍将保留该目录下被删除的数据，且在保留策略失效后也无法识别并删除.dlsdata/目录下相关的数据。
Bucket内的Object在保留策略生效期间，可通过设置生命周期规则进行存储类型转化，在保证合规性的前提下，降低存储成本。

规则说明

生效规则
当基于时间的保留策略创建后，该策略默认处于InProgress状态，且该状态的有效期为24小时。在有效期24小时内，此策略对应的Bucket资源处于保护状态。
- 启动保留策略24小时内
  - 如果24小时内未提交锁定保留策略，则Bucket所有者以及授权用户可以删除该策略。
  - 如果24小时内已提交锁定保留策略，则不允许删除该策略，且无法缩短策略保护周期，仅可以延长保护周期。
  - 如果24小时内已提交锁定保留策略，则Bucket内的数据处于被保护状态时，如果您尝试删除或修改这些数据，OSS将返回409 FileImmutable的错误信息。
- 启动保留策略24小时后
  如果超过24小时未锁定该保留策略，则该策略自动失效，您可以删除该策略。
删除规则
- 基于时间的保留策略是Bucket的一种Metadata属性。当删除某个Bucket时，该Bucket对应的保留策略也会被删除。
- 启动保留策略24小时内，如果该保留策略未提交锁定，则Bucket所有者以及授权用户可以删除该策略。
- 如果Bucket内有Object处于保护周期内，那么您将无法删除保留策略，同时也无法删除Bucket。
规则示例
假设您在2022年06月01日为您账号下的某个Bucket创建了保护周期为30天的保留策略，且该策略在创建后进入锁定状态。您在不同时间上传了file1.txt、file2.txt、file3.txt三个Object。关于这三个Object的具体上传时间以及对应的到期时间说明如下：
Object名称
上传时间
Object到期时间
file1.txt
2022年04月01日
2022年04月30日
file2.txt
2022年06月01日
2022年06月30日
file3.txt
2022年09月01日
2022年09月30日

操作步骤

使用OSS控制台

创建保留策略。
1. 登录OSS管理控制台。
2. 单击Bucket 列表，然后单击目标Bucket名称。
3. 在左侧导航栏，选择数据安全>保留策略。
4. 在保留策略页面，单击创建策略。
5. 在创建策略对话框，指定保留周期。
  说明
  保留周期以天为单位，取值范围为1~25,550。
6. 单击确定。
  说明
  策略状态为待锁定。该状态的有效期为24小时。在有效期24小时内，该策略对应的Bucket资源处于保护状态。如果您不希望保留该策略，您可以在有效期24小时内删除策略。
锁定保留策略。
1. 单击锁定。
2. 在弹出的对话框，单击确定。
  重要
  基于时间的保留策略被锁定后，您将无法锁定保留周期或者删除保留策略，且在保留周期内无法修改或删除Bucket中的数据。
（可选）修改保留周期。
1. 单击编辑。
2. 在弹出的对话框，修改保留周期。
  重要
  您可以延长保留周期，但无法缩短保留周期。

使用阿里云SDK

以下仅列举常见SDK的设置保留策略的代码示例。关于其他SDK的设置保留策略代码示例，请参见SDK简介。

Java

import com.aliyun.oss.ClientException;
import com.aliyun.oss.OSS;
import com.aliyun.oss.common.auth.*;
import com.aliyun.oss.OSSClientBuilder;
import com.aliyun.oss.OSSException;
import com.aliyun.oss.model.InitiateBucketWormRequest;
import com.aliyun.oss.model.InitiateBucketWormResult;

public class Demo {

    public static void main(String[] args) throws Exception {
        // Endpoint以华东1（杭州）为例，其它Region请按实际情况填写。
        String endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
        // 从环境变量中获取访问凭证。运行本代码示例之前，请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
        EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
        // 填写Bucket名称，例如examplebucket。
        String bucketName = "examplebucket";
        // 填写Bucket所在地域。以华东1（杭州）为例，Region填写为cn-hangzhou。
        String region = "cn-hangzhou";

        // 创建OSSClient实例。
        ClientBuilderConfiguration clientBuilderConfiguration = new ClientBuilderConfiguration();
        clientBuilderConfiguration.setSignatureVersion(SignVersion.V4);        
        OSS ossClient = OSSClientBuilder.create()
        .endpoint(endpoint)
        .credentialsProvider(credentialsProvider)
        .clientConfiguration(clientBuilderConfiguration)
        .region(region)               
        .build();

        try {
            // 创建InitiateBucketWormRequest对象。
            InitiateBucketWormRequest initiateBucketWormRequest = new InitiateBucketWormRequest(bucketName);
            // 指定Object保护天数为1天。
            initiateBucketWormRequest.setRetentionPeriodInDays(1);

            // 创建合规保留策略。
            InitiateBucketWormResult initiateBucketWormResult = ossClient.initiateBucketWorm(initiateBucketWormRequest);

            // 查看合规保留策略ID。
            String wormId = initiateBucketWormResult.getWormId();
            System.out.println(wormId);
        } catch (OSSException oe) {
            System.out.println("Caught an OSSException, which means your request made it to OSS, "
                    + "but was rejected with an error response for some reason.");
            System.out.println("Error Message:" + oe.getErrorMessage());
            System.out.println("Error Code:" + oe.getErrorCode());
            System.out.println("Request ID:" + oe.getRequestId());
            System.out.println("Host ID:" + oe.getHostId());
        } catch (ClientException ce) {
            System.out.println("Caught an ClientException, which means the client encountered "
                    + "a serious internal problem while trying to communicate with OSS, "
                    + "such as not being able to access the network.");
            System.out.println("Error Message:" + ce.getMessage());
        } finally {
            if (ossClient != null) {
                ossClient.shutdown();
            }
        }
    }
}

PHP

<?php
if (is_file(__DIR__ . '/../autoload.php')) {
    require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__ . '/../vendor/autoload.php')) {
    require_once __DIR__ . '/../vendor/autoload.php';
}

use OSS\Credentials\EnvironmentVariableCredentialsProvider;
use OSS\OssClient;
use OSS\CoreOssException;

// 从环境变量中获取访问凭证。运行本代码示例之前，请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。 
$provider = new EnvironmentVariableCredentialsProvider();
// Endpoint以杭州为例，其它Region请按实际情况填写。
$endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";

$config = array(
        "provider" => $provider,
        "endpoint" => $endpoint,
        "signatureVersion" => OssClient::OSS_SIGNATURE_VERSION_V4,
        "region"=> "cn-hangzhou"
    );
    $ossClient = new OssClient($config);

try {
    // 创建保留策略，指定Object保护天数为30天。
    $wormId = $ossClient->initiateBucketWorm($bucket, 30);

    // 查看保留策略ID。
    print($wormId);
} catch (OssException $e) {
    printf(__FUNCTION__ . ": FAILED\n");
    printf($e->getMessage() . "\n");
    return;
}

print(__FUNCTION__ . ": OK" . "\n");

Node.js

const OSS = require('ali-oss');

const client = new OSS({
  // yourregion填写Bucket所在地域。以华东1（杭州）为例，Region填写为oss-cn-hangzhou。
  region: 'yourregion',
  // 从环境变量中获取访问凭证。运行本代码示例之前，请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
  accessKeyId: process.env.OSS_ACCESS_KEY_ID,
  accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,  
  authorizationV4: true,
  // yourBucketName填写Bucket名称。
  bucket: 'yourBucketName',
});
// 创建保留策略。
async function initiateBucketWorm() {
 // yourbucketname填写存储空间名称。
  const bucket = 'yourbucketname'
  // 指定Object保护天数。
  const days = '<Retention Days>'
    const res = await client.initiateBucketWorm(bucket, days)
  console.log(res.wormId)
}

initiateBucketWorm()

Python

# -*- coding: utf-8 -*-
import oss2
from oss2.credentials import EnvironmentVariableCredentialsProvider
# 从环境变量中获取访问凭证。运行本代码示例之前，请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
auth = oss2.ProviderAuthV4(EnvironmentVariableCredentialsProvider())

# 填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
endpoint = "https://oss-cn-hangzhou.aliyuncs.com"
# 填写Endpoint对应的Region信息，例如cn-hangzhou。注意，v4签名下，必须填写该参数
region = "cn-hangzhou"

# yourBucketName填写存储空间名称。
bucket = oss2.Bucket(auth, endpoint, "yourBucketName", region=region)

# 新建保留策略，并指定Object保护天数为1天。
result = bucket.init_bucket_worm(1)
# 查看保留策略ID。
print(result.worm_id)

Go

package main

import (
	"log"

	"github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
	// 从环境变量中获取访问凭证。运行本代码示例之前，请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
	provider, err := oss.NewEnvironmentVariableCredentialsProvider()
	if err != nil {
		log.Fatalf("Error creating credentials provider: %v", err)
	}

	// 创建OSSClient实例。
	// yourEndpoint填写Bucket对应的Endpoint，以华东1（杭州）为例，填写为https://oss-cn-hangzhou.aliyuncs.com。其它Region请按实际情况填写。
	// yourRegion填写Bucket所在地域，以华东1（杭州）为例，填写为cn-hangzhou。其它Region请按实际情况填写。
	clientOptions := []oss.ClientOption{oss.SetCredentialsProvider(&provider)}
	clientOptions = append(clientOptions, oss.Region("yourRegion"))
	// 设置签名版本
	clientOptions = append(clientOptions, oss.AuthVersion(oss.AuthV4))
	client, err := oss.New("yourEndpoint", "", "", clientOptions...)
	if err != nil {
		log.Fatalf("Error creating OSS client: %v", err)
	}

	// 填写待配置合规保留策略的Bucket名称。
	bucketName := "<yourBucketName>"

	// 指定Object保护天数为60天。
	result, err := client.InitiateBucketWorm(bucketName, 60)
	if err != nil {
		log.Fatalf("Error initiating bucket WORM: %v", err)
	}

	log.Println("WORM policy initiated successfully:", result)
}

C++

#include <alibabacloud/oss/OssClient.h>
using namespace AlibabaCloud::OSS;

int main(void)
{
    /* 初始化OSS账号信息。*/
            
    /* yourEndpoint填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。*/
    std::string Endpoint = "yourEndpoint";
    /* yourRegion填写Bucket所在地域对应的Region。以华东1（杭州）为例，Region填写为cn-hangzhou。*/
    std::string Region = "yourRegion";
    /* 填写Bucket名称，例如examplebucket。*/
    std::string BucketName = "examplebucket";

      /* 初始化网络等资源。*/
      InitializeSdk();

      ClientConfiguration conf;
      conf.signatureVersion = SignatureVersionType::V4;
      /* 从环境变量中获取访问凭证。运行本代码示例之前，请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。*/
    auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
    OssClient client(Endpoint, credentialsProvider, conf);
    client.SetRegion(Region);
  
      /* 创建保留策略，指定Object保护天数为10天。*/
      auto outcome = client.InitiateBucketWorm(InitiateBucketWormRequest(BucketName, 10));

      if (outcome.isSuccess()) {      
            std::cout << " InitiateBucketWorm success " << std::endl;
            std::cout << "WormId:" << outcome.result().WormId() << std::endl;
      }
      else {
        /* 异常处理。*/
        std::cout << "InitiateBucketWorm fail" <<
        ",code:" << outcome.error().Code() <<
        ",message:" << outcome.error().Message() <<
        ",requestId:" << outcome.error().RequestId() << std::endl;
        return -1;
      }

      /* 释放网络等资源。*/
      ShutdownSdk();
      return 0;
}

使用命令行工具ossutil

关于使用ossutil设置保留策略的具体步骤，请参见worm（保留策略）。

使用REST API

如果您的程序自定义要求较高，您可以直接发起REST API请求。直接发起REST API请求需要手动编写代码计算签名。更多信息，请参见InitiateBucketWorm。

常见问题

保留策略有哪些优势？

保留策略可提供数据合规存储，数据在保留策略保护周期内，任何用户都不能删除和修改。而通过RAM policy和Bucket Policy保护的数据，则存在被修改和删除可能。

什么情况下需要设置保留策略？

您需要长期存储且不允许修改或删除的重要数据，如医疗档案、技术文件、合同文书等，可以存放在指定的Bucket内，并通过开启保留策略保护您的重要数据。

是否支持取消保留策略？

视保留策略的状态而定。

如果保留策略未提交锁定，则Bucket拥有者以及授权用户可以删除该策略。
如果保留策略已提交锁定，则任何人均无法删除该策略。

是否支持针对Object设置保留策略？

仅支持针对Bucket设置保留策略，不支持针对目录以及单个对象设置保留策略。

如何计算Object的保留时间？

您可以结合Bucket内Object的最后修改时间以及保留策略设置的保留周期计算出Object的保留时间。例如，Bucket A设置了保留时间为10天的保留策略，Object的最后修改时间为2022年02月15日，则该Object的保留时间为2022年02月25日。

如何删除已开启保留策略的Bucket ？

如果该Bucket内未存储Object，可以直接删除该Bucket。
如果该Bucket内已存储Object，且所有Object均已过了保护期，删除该Bucket会提示失败。此时，您可以先删除该Bucket内所有Object，再删除Bucket。
如果该Bucket内已存储Object，且还有Object处于保护期内，无法删除该Bucket。

如果OSS欠费，但仍有Object处于保留策略的保护期内，这些Object会被保留么？

在未付款的情况下，阿里云会根据您签署的合同条款和条件，应用对应的数据保留策略。

授权的RAM用户是否可以设置保留策略？

保留策略相关API接口已全部对外开放，并且相关API操作已支持接入RAM policy。通过RAM Policy授权的RAM用户可以通过控制台、API、SDK等方式创建、删除保留策略。

Object名称	上传时间	Object到期时间
file1.txt	2022年04月01日	2022年04月30日
file2.txt	2022年06月01日	2022年06月30日
file3.txt	2022年09月01日	2022年09月30日