Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Neměnné úložiště pro Azure Blob Storage umožňuje uživatelům ukládat důležitá obchodní data ve stavu WORM (Zapsat jednou, Číst mnoho). Ve stavu WORM nelze data upravit ani odstranit pro uživatelem zadaný interval. Konfigurací zásad neměnnosti pro data objektů blob můžete chránit data před přepsáním a odstraněním.
Neměnné úložiště pro Azure Blob Storage podporuje dva typy zásad neměnnosti:
Zásady uchovávání informací založené na čase: Pomocí zásad uchovávání informací na základě času můžou uživatelé nastavit zásady pro ukládání dat pro zadaný interval. Při nastavení zásad uchovávání informací na základě času je možné vytvářet a číst objekty, ale ne upravovat nebo odstraňovat. Po uplynutí doby uchovávání je možné objekty odstranit, ale nepřepsat.
Zásady blokování z právních důvodů: Blokování z právních důvodů ukládá neměnná data, dokud se blokování z právních důvodů explicitně nevymaže. Při nastavení blokování z právních důvodů je možné vytvářet a číst objekty, ale ne upravovat nebo odstraňovat.
Tyto zásady je možné nastavit současně s ostatními. Uživatel může mít například zásady uchovávání informací na základě času i blokování z právních důvodů nastavené na stejné úrovni i ve stejnou dobu. Aby zápis proběhl úspěšně, musíte mít buď povolenou správu verzí, nebo nemít pro data blokování z právních důvodů ani zásady uchovávání informací založené na čase. Aby bylo odstranění úspěšné, nesmí na datech existovat právní blokace ani časově založená zásada uchovávání.
Následující diagram znázorňuje, jak zásady uchovávání informací na základě času a blokování z právních důvodů brání operacím zápisu a odstranění v době jejich platnosti.
V rámci neměnného úložiště existují dvě funkce: WORM na úrovni kontejneru a WORM na úrovni verzí. WORM na úrovni kontejneru umožňuje nastavit zásady pouze na úrovni kontejneru, zatímco WORM na úrovni verze umožňuje nastavit zásady na úrovni účtu, kontejneru nebo na úrovni verze.
Neměnné úložiště pro datové objekty
Immutable Storage pomáhá organizacím zdravotní péče, finančním institucím a souvisejícím odvětvím ( zejména organizacím prodejců brokerů) bezpečně ukládat data. Neměnné úložiště je možné použít v jakémkoli scénáři k ochraně důležitých dat před úpravami nebo odstraněním.
Mezi typické aplikace patří:
Dodržování právních předpisů: Neměnné úložiště pro Azure Blob Storage pomáhá organizacím řešit SEC 17a-4(f), CFTC 1.31(d), FINRA a další předpisy.
Zabezpečené uchovávání dokumentů: Neměnné úložiště objektů blob zajišťuje, že data nebudou moct upravovat ani odstraňovat žádný uživatel, ani uživatelé s oprávněními správce účtu.
Právní blokování: Neměnné úložiště objektů umožňuje uživatelům ukládat citlivé informace, které jsou zásadní pro soudní spory nebo obchodní použití, do stavu odolného proti manipulaci po požadovanou dobu, dokud se blokování neodebere. Tato funkce není omezena pouze na případy právního použití, ale lze ji považovat za blokování založené na událostech nebo podnikový zámek, kde je potřeba chránit data na základě triggerů událostí nebo firemních zásad.
Dodržování právních předpisů
Společnost Microsoft si zajistila přední nezávislou firmu pro hodnocení, která se specializuje na správu záznamů a řízení informací, Cohasset Associates, aby vyhodnotila neměnitelný blob storage a jeho soulad s požadavky specifické pro finanční služby. Společnost Cohasset ověřila, že neměnné úložiště, pokud se používá k uchovávání datových blobů ve stavu WORM, splňuje relevantní požadavky na úložiště podle pravidla CFTC 1.31(c)-(d), pravidla FINRA 4511 a pravidla SEC 17a-4(f). Společnost Microsoft se na tuto sadu pravidel zaměřila, protože představují nejskriptivnější pokyny globálně pro uchovávání záznamů pro finanční instituce.
Sestava Cohasset je k dispozici v Centru důvěryhodnosti služeb Microsoft. Centrum zabezpečení Azure obsahuje podrobné informace o certifikacích dodržování předpisů Microsoftu. Pokud chcete požádat o potvrzující dopis od Microsoftu ohledně dodržování neměnnosti WORM, obraťte se na Podporu Azure.
Zásady uchovávání informací na základě času
Zásady uchovávání informací založené na čase ukládají data objektů blob ve formátu WORM pro zadaný interval. Když je nastavená zásada uchovávání informací podle času, můžou klienti vytvářet a číst objekty blob, ale nemůžou je upravovat ani odstraňovat. Po vypršení platnosti intervalu uchovávání je možné objekty blob odstranit, ale nepřepsat.
Rozsah
Zásady uchovávání informací založené na čase je možné nakonfigurovat v následujících oborech:
- Zásady WORM na úrovni verze: Zásady uchovávání informací na základě času je možné nakonfigurovat na úrovni účtu, kontejneru nebo verze. Pokud je nakonfigurovaná na úrovni účtu nebo kontejneru, zdědí ho všechny objekty blob v příslušném účtu nebo kontejneru. Pokud existuje blokování z právních důvodů v kontejneru, nelze pro stejný kontejner vytvořit verzi WORM. Důvodem je to, že verze se nedají vygenerovat kvůli blokování z právních důvodů.
- Zásady WORM na úrovni kontejneru: Zásady uchovávání informací na základě času nakonfigurované na úrovni kontejneru se vztahují na všechny objekty blob v daném kontejneru. Jednotlivé objekty blob není možné konfigurovat s vlastními zásadami neměnnosti.
Interval uchovávání pro zásady založené na čase
Minimální interval uchovávání informací pro zásady uchovávání informací na základě času je jeden den a maximum je 146 000 dnů (400 let). Při konfiguraci zásad uchovávání informací na základě času zůstanou ovlivněné objekty v neměnném stavu během efektivní doby uchovávání informací. Efektivní doba uchovávání pro objekty se rovná rozdílu mezi časem vytvoření objektu blob a uživatelem zadaným intervalem uchovávání informací. Vzhledem k tomu, že je možné prodloužit interval uchovávání zásad, neměnné úložiště používá k výpočtu efektivní doby uchovávání nejnovější hodnotu intervalu uchovávání informací zadaného uživatelem.
Předpokládejme například, že uživatel vytvoří zásadu uchovávání informací na základě času s intervalem uchovávání informací 5 let. Existující objekt blob v daném kontejneru testblob1 byl vytvořen před rokem, takže efektivní doba uchovávání pro testblob1 je čtyři roky. Když se do kontejneru nahraje nový objekt blob testblob2, efektivní doba uchovávání pro testblob2 je pět let od doby jejího vytvoření.
Uzamčené versus odemknuté zásady
Při první konfiguraci zásad uchovávání informací na základě času se zásada odemkne pro účely testování. Po dokončení testování můžete zásady zakódovat tak, aby byla plně v souladu s předpisem SEC 17a-4(f) a dalšími zákonnými předpisy.
Uzamčené i odemknuté zásady zamezují odstranění a přepsání. Ale můžete upravit odemknuté zásady zkrácením nebo prodloužením doby uchovávání. Můžete také odstranit odemknutou politiku. Nemůžete odstranit uzamčené zásady uchovávání informací podle času. Dobu uchovávání můžete prodloužit, ale nemůžete ji snížit. Po dobu životnosti uzamčené zásady, definované na úrovni kontejneru, je povoleno maximálně pět zvýšení účinnosti období uchovávání. Pro zásadu nakonfigurovanou pro verzi objektu blob neexistuje žádné omezení počtu zvýšení do účinného období.
Důležité
Zásady uchovávání informací založené na čase musí být uzamčeny, aby objekt blob byl v neměnném stavu chráněném proti zápisu a odstranění pro dodržení předpisů SEC 17a-4(f) a dalších právních požadavků. Microsoft doporučuje, abyste politiku uzamkli v rozumném časovém horizontu, obvykle méně než 24 hodin. I když odemknutý stav poskytuje ochranu neměnnosti, použití odemknutého stavu pro jakýkoli jiný účel než krátkodobé testování se nedoporučuje.
Protokolování auditu zásad uchovávání informací
Každý kontejner s povolenými zásadami uchovávání informací podle času poskytuje protokol auditu zásad. Protokol auditu obsahuje až sedm příkazů uchovávání informací na základě času pro uzamčené zásady uchovávání informací na základě času. Protokolování se obvykle spustí, jakmile zásadu uzamknete. Položky protokolu zahrnují ID uživatele, typ příkazu, časové razítko a interval uchovávání. Protokol auditu se uchovává po celou dobu životnosti zásady v souladu se zákonnými pokyny SEC 17a-4(f).
Protokol aktivit Azure poskytuje komplexnější protokol všech aktivit služeb správy. Protokoly prostředků Azure uchovávají informace o operacích s daty. Za trvalé ukládání těchto protokolů zodpovídá uživatel, jak může být vyžadováno pro zákonné nebo jiné účely.
Změny zásad uchovávání informací na základě času na úrovni verze nejsou auditovány.
Blokování z právních důvodů
Blokování z právních důvodů je dočasná zásada neměnnosti, kterou je možné použít pro účely právního šetření nebo obecné zásady ochrany. Právní blokace ukládá bloky dat ve formátu Write-Once Read-Many (WORM), dokud není blokace explicitně zrušena. Pokud je blokování z právních důvodů platné, dají se objekty blob vytvářet a číst, ale ne upravovat ani odstraňovat. Blokování z právních důvodů použijte, pokud je doba, po kterou musí být data uložena ve stavu WORM, neznámá.
Rozsah
Zásady blokování z právních důvodů je možné nakonfigurovat v některém z následujících oborů:
Zásady WORM na úrovni verze: Blokování z právních důvodů je možné nakonfigurovat na úrovni jednotlivých verzí objektů blob pro podrobnou správu citlivých dat.
Zásady WORM na úrovni kontejneru: Právní blokování nakonfigurované na úrovni kontejneru se vztahuje na všechny bloby v daném kontejneru. Jednotlivé objekty blob není možné konfigurovat s vlastními zásadami neměnnosti.
Štítky
Blokování na úrovni kontejneru musí být přidruženo k jedné nebo více uživatelsky definovaným alfanumerickým značkám, které fungují jako identifikační řetězce. Značka může například obsahovat ID případu nebo název události.
Protokolování auditu
Každý kontejner s právní blokací poskytuje protokol o auditu zásad. Protokol obsahuje ID uživatele, typ příkazu, časové razítko a značky blokování z právních důvodů. Protokol auditu se uchovává po celou dobu životnosti zásady v souladu se zákonnými pokyny SEC 17a-4(f).
Protokol aktivit Azure poskytuje komplexnější protokol všech aktivit služeb správy. Protokoly prostředků Azure uchovávají informace o operacích s daty. Za trvalé ukládání těchto protokolů zodpovídá uživatel, jak může být vyžadováno pro zákonné nebo jiné účely.
Změny blokování z právních důvodů na úrovni verze nejsou auditovány.
Možnosti funkce neměnného úložiště
Následující tabulka ukazuje rozdělení rozdílů mezi WORM na úrovni kontejneru a WORM na úrovni verze:
| Kategorie | WORM na úrovni kontejneru | WORM na úrovni verze |
|---|---|---|
| Úroveň členitosti zásad | Zásady je možné konfigurovat pouze na úrovni kontejneru. Každý objekt, který se nahraje do kontejneru, dědí neměnnou sadu zásad. | Zásady je možné nakonfigurovat na úrovni účtu, kontejneru nebo objektu blob. Pokud je zásada nastavená na úrovni účtu, všechny objekty blob nahrané do příslušného účtu zásadu dědí. Stejná logika následuje s kontejnery. Pokud je zásada nastavená na více úrovních, pořadí priorit je vždy Blob –> Container –> Account. |
| Dostupné typy zásad | Na úrovni kontejneru je možné nastavit dva různé typy zásad: zásady uchovávání informací na základě času a blokování z právních důvodů. | Na úrovni účtu a kontejneru je možné nastavit pouze zásady uchovávání informací na základě času. Na úrovni blobu je možné nastavit jak časové zásady uchovávání, tak i právní blokace. |
| Závislosti funkcí | Žádné další funkce nejsou předpokladem nebo požadavkem, aby tato funkce fungovala. | Správa verzí je předpokladem pro použití této funkce. |
| Povolení pro existující účty nebo kontejner | Tuto funkci je možné kdykoli povolit pro existující kontejnery. | V závislosti na úrovni členitosti nemusí být tato funkce povolená pro všechny existující účty nebo kontejnery. |
| Odstranění účtu nebo kontejneru | Po uzamčení zásad uchovávání informací na základě času v kontejneru je možné kontejnery odstranit pouze v případě, že jsou prázdné. | Jakmile je na úrovni účtu nebo kontejneru povolená funkce WORM na úrovni verze, je možné je odstranit pouze v případě, že jsou prázdné. |
| Podpora služby Azure Data Lake Storage (účty úložiště s povoleným hierarchickým oborem názvů) | Zásady WORM na úrovni kontejneru jsou podporovány v účtech s hierarchickým oborem názvů. | Zásady WORM na úrovni verzí se zatím v účtech s hierarchickým oborem názvů nepodporují. |
Další informace o WORM na úrovni kontejneru najdete v tématu Container-Level zásady WORM. Další informace o verzi WORM najdete v zásadách WORM na úrovni verze.
WORM na úrovni kontejneru a na úrovni verze
Následující tabulka vám pomůže určit, jaký typ zásad WORM se má použít.
| Kritéria | Použití WORM na úrovni kontejneru | Použití WORM na úrovni konkrétní verze |
|---|---|---|
| Uspořádání dat | Chcete nastavit zásady pro konkrétní datové sady, které je možné kategorizovat podle kontejneru. Všechna data v daném kontejneru se musí uchovávat ve stavu WORM po stejnou dobu. | Objekty nelze seskupit podle období uchovávání informací. Všechny objekty typu blob musí být uložené s individuální dobou uchování na základě scénářů těchto objektů, nebo má uživatel smíšenou pracovní zátěž, což umožňuje seskupení některých skupin dat do kontejnerů, zatímco jiné objekty typu blob to neumožňují. Můžete také chtít nastavit zásady na úrovni kontejneru a zásady na úrovni objektů blob v rámci stejného účtu. |
| Množství dat, která vyžadují neměnnou zásadu | Nemusíte nastavovat pravidla pro více než 10 000 kontejnerů na jeden účet. | Chcete nastavit zásady pro všechna data nebo velké objemy dat, která můžou být delineována účtem. Víte, že pokud používáte WORM na úrovni kontejneru, budete muset překročit limit 10 000 kontejnerů. |
| Zájem o povolení verzování | Nechcete se zabývat povolením správy verzí buď z důvodu nákladů, nebo proto, že úloha vytvoří řadu dalších verzí, se kterými se bude zabývat. | Buď chcete používat správu verzí, nebo to nevadí. Víte, že pokud nepovolují správu verzí, nemůžete zachovat úpravy nebo přepisy neměnných objektů blob jako samostatné verze. |
| Umístění úložiště (Blob Storage vs. Data Lake Storage) | Vaše úloha se plně zaměřuje na Azure Data Lake Storage. Nemáte okamžitý zájem ani plán přejít na používání účtu, který nemá povolenou funkci hierarchického oboru názvů. | Vaše úloha je buď ve službě Blob Storage v účtu, který nemá povolenou funkci hierarchického oboru názvů, a může teď používat funkci WORM na úrovni verze, nebo můžete počkat, až bude správa verzí dostupná pro účty, které mají povolený hierarchický obor názvů (Azure Data Lake Storage). |
Úrovně přístupu
Všechny úrovně přístupu k blobům podporují neměnné úložiště. Úroveň přístupu objektu blob můžete změnit pomocí operace Nastavit úroveň objektu blob. Další informace najdete v tématu Úrovně přístupu pro data objektů blob.
Konfigurace redundance
Všechny konfigurace redundance podporují neměnné úložiště. Další informace o konfiguracích redundance najdete v tématu Redundance služby Azure Storage.
Doporučené typy objektů blob
Microsoft doporučuje nakonfigurovat zásady neměnnosti hlavně pro blokové objekty blob a přídatné objekty blob. Konfigurace zásad neměnnosti pro blob stránky, která ukládá disk VHD pro aktivní virtuální počítač, se nedoporučuje, protože zápisy na disk budou blokovány, nebo pokud je povolené verzování, každý zápis se uloží jako nová verze. Microsoft doporučuje, abyste si důkladně prostudovali dokumentaci a otestovali své scénáře před uzamčením jakýchkoli zásad založených na čase.
Neměnné úložiště s obnovitelným odstraněním objektů blob
Pokud je pro účet úložiště nakonfigurované obnovitelné odstranění objektů blob, platí pro všechny objekty blob v rámci účtu bez ohledu na to, jestli platí zásady uchovávání informací z právních důvodů nebo zásady uchovávání informací založené na čase. Společnost Microsoft doporučuje povolit obnovitelné odstranění pro dodatečnou ochranu před použitím jakýchkoli zásad neměnnosti.
Pokud povolíte měkké odstranění objektů blob a poté nakonfigurujete zásadu neměnnosti, všechny objekty blob, které již byly měkce odstraněny, budou trvale odstraněny, jakmile vyprší platnost zásady měkkého odstranění. Měkce smazané objekty blob lze obnovit během doby uchovávání měkkého odstranění. Blob nebo verze, které ještě nebyly softwarově odstraněny, jsou chráněny zásadami neměnnosti a nemohou být softwarově odstraněny, dokud nevypršela platnost časové zásady uchovávání nebo není odstraněna právní blokace.
Sledování zásad neměnnosti pomocí inventáře objektů blob
Inventář blobů služby Azure Storage poskytuje přehled o kontejnerech ve vašich úložných účtech a zahrnuje blob objekty, jejich snímky a verze. Sestavu inventáře blobů můžete použít k porozumění vlastnostem blobů a kontejnerů, včetně toho, jestli má prostředek nakonfigurovanou zásadu neměnnosti.
Když povolíte inventář objektů blob, Azure Storage každý den vygeneruje sestavu inventáře. Sestava poskytuje přehled vašich dat pro obchodní účely a dodržování předpisů.
Další informace o inventáři objektů blob najdete v tématu Inventář objektů blob služby Azure Storage.
Poznámka:
Pokud je pro tento účet povolená podpora neměnnosti na úrovni verze, nemůžete v účtu nakonfigurovat zásady inventáře nebo pokud je pro cílový kontejner definovaný v zásadách inventáře povolená podpora neměnnosti na úrovni verze.
Konfigurace zásad ve velkém měřítku
Úlohu úložiště můžete použít ke konfiguraci zásad neměnnosti ve velkém měřítku napříč několika účty úložiště na základě sady podmínek, které definujete. Úloha úložiště je prostředek dostupný v Azure Storage Actions. Bezserverová architektura, kterou můžete použít k provádění běžných operací s daty u milionů objektů v několika účtech úložiště. Další informace najdete v tématu Co je Akce služby Azure Storage?.
Cenotvorba
Za použití neměnného úložiště se neúčtují žádné další poplatky. Neměnná data jsou cenná stejným způsobem jako proměnlivá data. Pokud používáte WORM na úrovni verze, může být faktura vyšší, protože jste povolili správu verzí a jsou spojené náklady spojené s ukládáním dalších verzí. Prohlédněte si cenovou politiku pro správu verzí pro více informací. Podrobnosti o cenách služby Azure Blob Storage najdete na stránce s cenami služby Azure Storage.
Vytvoření, úprava nebo odstranění zásad uchovávání informací na základě času nebo blokování z právních důvodů ve verzi objektu blob vede k poplatkům za transakce zápisu.
Pokud se vám nepodaří zaplatit fakturu a váš účet má aktivní zásady uchovávání informací založené na čase, platí běžné zásady uchovávání dat podle podmínek a ujednání smlouvy s Microsoftem. Obecné informace najdete v tématu Správa dat v Microsoftu.
Podpora funkcí
Důležité
Tato funkce není kompatibilní s obnovením k určitému bodu v čase a sledováním posledního přístupu.
Tato funkce je kompatibilní s neplánovaným převzetím při selhání spravovaným zákazníkem, ale veškeré změny týkající se neměnných zásad provedené po poslední synchronizaci (například uzamčení časově založených zásad uchovávání informací nebo jejich rozšíření atd.) se nebudou synchronizovat do sekundární oblasti. Po dokončení převzetí služeb při selhání můžete změny sekundární oblasti znovu provést, abyste měli jistotu, že je up-to–date s vašimi požadavky na neměnnost. Zásady neměnnosti nejsou podporovány v účtech s povoleným protokolem NFS (Network File System) 3.0 nebo protokolem SSH File Transfer Protocol (SFTP).
Některé úlohy, jako je zálohování SQL na URL, vytvoří objekt blob a pak se do něj přidávají data. Pokud má kontejner aktivní zásady uchovávání informací na základě času nebo blokování z právních důvodů, tento model nebude úspěšný. Další informace najdete v tématu Povolení zápisů do chráněného přírůstkového blobu.
Další informace najdete v tématu Podpora funkcí služby Blob Storage v účtech Azure Storage.