Funkce neměnného úložiště pro službu Azure Blob Storage uživatelům umožňuje ukládat důležitá podniková data ve stavu WORM (Write Once, Read Many). Ve stavu WORM nelze data upravit nebo odstranit po dobu zadanou uživatelem. Konfigurací zásad neměnnosti pro data objektů blob můžete chránit data před přepsáním a odstraněním. Zásady neměnnosti zahrnují zásady uchovávání informací na základě času a blokování z právních důvodů. Další informace o zásadách neměnnosti pro Blob Storage najdete v tématu Ukládání důležitých obchodních dat objektů blob s neměnným úložištěm.
Zásady neměnnosti můžou být vymezeny buď na jednotlivé verze objektů blob, nebo na kontejner. Tento článek popisuje, jak nakonfigurovat zásady neměnnosti na úrovni kontejneru. Informace o konfiguraci zásad neměnnosti na úrovni verzí najdete v tématu Konfigurace zásad neměnnosti pro verze objektů blob.
Poznámka:
Zásady neměnnosti nejsou podporovány v účtech s povoleným protokolem NFS (Network File System) 3.0 nebo protokolem SSH File Transfer Protocol (SFTP).
Konfigurace zásad uchovávání informací v kontejneru
Ke konfiguraci zásad uchovávání informací na základě času v kontejneru použijte Azure Portal, PowerShell nebo Azure CLI. Můžete nakonfigurovat zásady uchovávání informací na úrovni kontejneru po dobu 1 až 146000 dnů.
Možnost Doplňovací objekty blob umožňuje úlohám přidávat nové bloky dat na konec doplňovacího objektu blob pomocí operace Doplňovací blok .
Možnost Objekty blob bloku a připojení poskytuje stejná oprávnění jako možnost Doplňovací objekty blob, ale přidává možnost zapisovat nové bloky do objektu blob bloku. Rozhraní API služby Blob Storage neposkytuje způsob, jak to aplikace provést přímo. Aplikace toho ale můžou dosáhnout pomocí metod připojení a vyprázdnění, které jsou k dispozici v rozhraní DATA Lake Storage Gen2 API. Některé aplikace Microsoftu také používají interní rozhraní API k vytváření objektů blob bloku a jejich následnému připojení. Pokud vaše úlohy závisí na některém z těchto nástrojů, můžete pomocí této vlastnosti zabránit chybám, které se můžou zobrazit, když se tyto nástroje pokusí připojit bloky k objektu blob bloku.
Po nakonfigurování zásady neměnnosti uvidíte, že je vymezený na kontejner:
Pokud chcete nakonfigurovat zásady uchovávání informací na základě času v kontejneru pomocí PowerShellu, zavolejte příkaz Set-AzRmStorageContainerImmutabilityPolicy a zadejte interval uchovávání ve dnech. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:
Možnost AllowProtectedAppendWrite umožňuje úlohám přidávat na konec doplňovacího objektu blob nové bloky dat pomocí operace Doplňovací blok .
Možnost AllowProtectedAppendWriteAll poskytuje stejná oprávnění jako možnost AllowProtectedAppendWrite , ale přidává možnost zapisovat nové bloky do objektu blob bloku. Rozhraní API služby Blob Storage neposkytuje způsob, jak to aplikace provést přímo. Aplikace toho ale můžou dosáhnout pomocí metod připojení a vyprázdnění, které jsou k dispozici v rozhraní DATA Lake Storage Gen2 API. Některé aplikace Microsoftu také používají interní rozhraní API k vytváření objektů blob bloku a jejich následnému připojení. Pokud vaše úlohy závisí na některém z těchto nástrojů, můžete pomocí této vlastnosti zabránit chybám, které se můžou zobrazit, když se tyto nástroje pokusí připojit bloky k objektu blob bloku.
Pokud chcete nakonfigurovat zásady uchovávání informací na základě času pro kontejner pomocí Azure CLI, zavolejte příkaz az storage container immutability-policy create a zadejte interval uchovávání ve dnech. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:
Možnost --allow-protected-append-writes umožňuje úlohám přidávat nové bloky dat na konec doplňovacího objektu blob pomocí operace Doplňovací blok .
Možnost --allow-protected-append-writes-all poskytuje stejná oprávnění jako možnost --allow-protected-append-writes, ale přidává možnost zapisovat nové bloky do objektu blob bloku. Rozhraní API služby Blob Storage neposkytuje způsob, jak to aplikace provést přímo. Aplikace toho ale můžou dosáhnout pomocí metod připojení a vyprázdnění, které jsou k dispozici v rozhraní DATA Lake Storage Gen2 API. Některé aplikace Microsoftu také používají interní rozhraní API k vytváření objektů blob bloku a jejich následnému připojení. Pokud vaše úlohy závisí na některém z těchto nástrojů, můžete pomocí této vlastnosti zabránit chybám, které se můžou zobrazit, když se tyto nástroje pokusí připojit bloky k objektu blob bloku.
Odemknuté zásady uchovávání informací na základě času můžete upravit tak, aby zkrátily nebo zkrátily interval uchovávání a povolily další zápisy do doplňovacího objektu blob v kontejneru. Můžete také odstranit odemknuté zásady.
Pokud chcete změnit odemknuté zásady uchovávání informací na základě času na webu Azure Portal, postupujte takto:
Přejděte do požadovaného kontejneru.
Vyberte tlačítko Další a zvolte Zásady přístupu.
V části Neměnné verze objektů blob vyhledejte existující odemknuté zásady. Vyberte tlačítko Další a pak v nabídce vyberte Upravit.
Zadejte nový interval uchovávání informací pro zásadu. Můžete také vybrat Možnost Povolit další chráněné připojení a povolit zápisy do chráněných doplňovacích objektů blob.
Pokud chcete odstranit odemknuté zásady, vyberte tlačítko Další a pak odstraňte.
Poznámka:
Zásady neměnnosti na úrovni verzí můžete povolit zaškrtnutím políčka Povolit neměnnost na úrovni verzí. Další informace o povolení zásad neměnnosti na úrovni verzí najdete v tématu Konfigurace zásad neměnnosti pro verze objektů blob.
Pokud chcete pomocí Azure CLI upravit odemknuté zásady uchovávání informací na základě času, zavolejte příkaz az storage container immutability-policy extend a zadejte nový interval uchovávání ve dnech. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:
Uzamčení zásad uchovávání informací na základě času
Po dokončení testování zásad uchovávání informací na základě času můžete zásady uzamknout. Uzamčené zásady jsou v souladu se standardem SEC 17a-4(f) a dalšími zákonnými předpisy. Interval uchovávání uzamčených zásad můžete prodloužit až pětkrát, ale nemůžete ho zkrátit.
Po uzamčení zásady ji nemůžete odstranit. Objekt blob však můžete odstranit po vypršení intervalu uchovávání informací.
Pokud chcete nakonfigurovat blokování z právních důvodů u kontejneru pomocí webu Azure Portal, postupujte takto:
Přejděte do požadovaného kontejneru.
Vyberte tlačítko Další a zvolte Zásady přístupu.
V části Immutable Blob Versions (Neměnné verze objektů blob) vyberte Add policy (Přidat zásadu).
Jako typ zásady zvolte blokování z právních důvodů.
Přidejte jednu nebo více značek blokování z právních důvodů.
Zvolte, jestli chcete povolit chráněné zápisy připojení, a pak vyberte Uložit.
Možnost Doplňovací objekty blob umožňuje úlohám přidávat nové bloky dat na konec doplňovacího objektu blob pomocí operace Doplňovací blok .
Toto nastavení také přidává možnost zapisovat nové bloky do objektu blob bloku. Rozhraní API služby Blob Storage neposkytuje způsob, jak to aplikace provést přímo. Aplikace toho ale můžou dosáhnout pomocí metod připojení a vyprázdnění, které jsou k dispozici v rozhraní DATA Lake Storage Gen2 API. Tato vlastnost také umožňuje aplikacím Microsoftu, jako je Azure Data Factory, přidávat bloky dat pomocí interních rozhraní API. Pokud vaše úlohy závisí na některém z těchto nástrojů, můžete pomocí této vlastnosti zabránit chybám, které se můžou zobrazit, když se tyto nástroje pokusí připojit data k objektům blob.
Po nakonfigurování zásady neměnnosti uvidíte, že je vymezený na kontejner:
Následující obrázek ukazuje kontejner s nakonfigurovanými zásadami uchovávání informací podle času i blokováním z právních důvodů.
Pokud chcete zrušit blokování z právních důvodů, přejděte do dialogového okna Zásady přístupu, vyberte tlačítko Další a zvolte Odstranit.
Pokud chcete nakonfigurovat blokování z právních důvodů v kontejneru pomocí PowerShellu, zavolejte příkaz Add-AzRmStorageContainerLegalHold . Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:
Pokud chcete nakonfigurovat blokování z právních důvodů v kontejneru pomocí PowerShellu, zavolejte příkaz az storage container legal-hold set . Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:
