Konfigurieren von Unveränderlichkeitsrichtlinien für Container
Artikel
Unveränderlicher Speicher für Azure Blob Storage ermöglicht es Benutzern, unternehmenskritische Daten im WORM-Zustand (Write Once, Read Many) zu speichern. Im WORM-Zustand können Daten für ein vom Benutzer angegebenes Intervall weder geändert noch gelöscht werden. Durch Konfigurieren von Unveränderlichkeitsrichtlinien für Blobdaten können Sie Ihre Daten vor Überschreibungen und Löschungen schützen. Unveränderlichkeitsrichtlinien umfassen zeitbasierte Aufbewahrungsrichtlinien und Aufbewahrungrichtlinien für juristische Zwecke. Weitere Informationen zu Unveränderlichkeitsrichtlinien für Blob Storage finden Sie unter Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher.
Eine Unveränderlichkeitsrichtlinie kann entweder auf eine einzelne Blobversion oder auf einen Container beschränkt werden. In diesem Artikel wird beschrieben, wie Sie eine Unveränderlichkeitsrichtlinie auf Containerebene konfigurieren. Informationen zum Konfigurieren von Unveränderlichkeitsrichtlinien auf Versionsebene finden Sie unter Konfigurieren von Unveränderlichkeitsrichtlinien für Blobversionen.
Hinweis
Unveränderlichkeitsrichtlinien werden in Konten, für die das NFS 3.0-Protokoll (Network File System, Netzwerkdateisystem) oder SFTP (SSH File Transfer Protocol, SSH-Dateiübertragungsprotokoll) aktiviert ist, nicht unterstützt.
Konfigurieren einer Aufbewahrungsrichtlinie für einen Container
Zum Konfigurieren einer zeitbasierten Aufbewahrungsrichtlinie für einen Container verwenden Sie das Azure-Portal, die PowerShell oder die Azure CLI. Sie können eine Aufbewahrungsrichtlinie auf Containerebene für eine Dauer von 1 bis 146.000 Tagen konfigurieren.
Zum Konfigurieren einer zeitbasierten Aufbewahrungsrichtlinie für einen Container über das Azure-Portal führen Sie die folgenden Schritte aus:
Navigieren Sie zum gewünschten Container.
Wählen Sie die Schaltfläche Mehr auf der rechten Seite und dann Zugriffsrichtlinie aus.
Wählen Sie im Abschnitt Unveränderlicher Blobspeicher die Option Richtlinie hinzufügen aus.
Wählen Sie für das Feld Richtlinientyp den Typ Zeitbasierte Aufbewahrung aus, und geben Sie den Aufbewahrungszeitraum in Tagen an.
Um eine Richtlinie mit Containergültigkeitsbereich zu erstellen, aktivieren Sie nicht das Kontrollkästchen Unveränderlichkeit auf Versionsebene aktivieren.
Wählen Sie aus, ob geschützte Anfügeschreibvorgänge zugelassen werden sollen.
Die Option Anfügeblobs ermöglicht es Ihren Workloads, neue Datenblöcke mithilfe des Vorgangs Append Block am Ende eines Anfügeblobs hinzuzufügen.
Die Option Block- und Anfügeblobs bietet Ihnen dieselben Berechtigungen wie die Option Anfügeblobs, fügt aber die Möglichkeit hinzu, neue Blöcke in ein Blockblob zu schreiben. Die Blob Storage-API bietet keine Möglichkeit, dies für Anwendungen direkt zu erledigen. Anwendungen können dies jedoch mithilfe von Anfüge- und Flushmethoden (Leerung) erreichen, die in der Data Lake Storage-API verfügbar sind. Außerdem verwenden einige Microsoft-Anwendungen interne APIs, um Blockblobs zu erstellen und dann an diese anzufügen. Sollten Ihre Workloads von einem dieser Tools abhängig sein, können Sie mithilfe dieser Eigenschaft Fehler vermeiden, die angezeigt werden können, wenn diese Tools Blöcke an ein Blockblob anzufügen versuchen.
Nachdem Sie die Unveränderlichkeitsrichtlinie konfiguriert haben, sehen Sie, dass sich ihr Gültigkeitsbereich auf den Container erstreckt:
Um eine zeitbasierte Aufbewahrungsrichtlinie für einen Container mit PowerShell zu konfigurieren, rufen Sie den Befehl Set-AzRmStorageContainerImmutabilityPolicy auf, und geben Sie das Aufbewahrungsintervall in Tagen an. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Wenn Sie geschützte Anfügeschreibvorgänge zulassen möchten, legen Sie den Parameter -AllowProtectedAppendWrite oder -AllowProtectedAppendWriteAll auf true fest.
Die Option AllowProtectedAppendWrite ermöglicht es Ihren Workloads, neue Datenblöcke mithilfe des Vorgangs Append Block am Ende eines Anfügeblobs hinzuzufügen.
Die Option AllowProtectedAppendWriteAll bietet Ihnen dieselben Berechtigungen wie die Option AllowProtectedAppendWrite, fügt aber die Möglichkeit hinzu, neue Blöcke in ein Blockblob zu schreiben. Die Blob Storage-API bietet keine Möglichkeit, dies für Anwendungen direkt zu erledigen. Anwendungen können dies jedoch mithilfe von Anfüge- und Flushmethoden (Leerung) erreichen, die in der Data Lake Storage-API verfügbar sind. Außerdem verwenden einige Microsoft-Anwendungen interne APIs, um Blockblobs zu erstellen und dann an diese anzufügen. Sollten Ihre Workloads von einem dieser Tools abhängig sein, können Sie mithilfe dieser Eigenschaft Fehler vermeiden, die angezeigt werden können, wenn diese Tools Blöcke an ein Blockblob anzufügen versuchen.
Um eine zeitbasierte Aufbewahrungsrichtlinie für einen Container mit Azure CLI zu konfigurieren, rufen Sie den Befehl az storage container immutability-policy create auf, und geben Sie das Aufbewahrungsintervall in Tagen an. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Wenn Sie geschützte Anfügeschreibvorgänge zulassen möchten, legen Sie den Parameter --allow-protected-append-writes oder --allow-protected-append-writes-all auf true fest.
Die Option -allow-protected-append-writes ermöglicht es Ihren Workloads, neue Datenblöcke mithilfe des Vorgangs Append Block am Ende eines Anfügeblobs hinzuzufügen.
Die Option -allow-protected-append-writes-all bietet Ihnen dieselben Berechtigungen wie die Option -allow-protected-append-writes, fügt aber die Möglichkeit hinzu, neue Blöcke in ein Blockblob zu schreiben. Die Blob Storage-API bietet keine Möglichkeit, dies für Anwendungen direkt zu erledigen. Anwendungen können dies jedoch mithilfe von Anfüge- und Flushmethoden (Leerung) erreichen, die in der Data Lake Storage-API verfügbar sind. Außerdem verwenden einige Microsoft-Anwendungen interne APIs, um Blockblobs zu erstellen und dann an diese anzufügen. Sollten Ihre Workloads von einem dieser Tools abhängig sein, können Sie mithilfe dieser Eigenschaft Fehler vermeiden, die angezeigt werden können, wenn diese Tools Blöcke an ein Blockblob anzufügen versuchen.
Ändern einer nicht gesperrten Aufbewahrungsrichtlinie
Sie können eine nicht gesperrte, zeitbasierte Aufbewahrungsrichtlinie ändern, um das Aufbewahrungsintervall zu verkürzen oder zu verlängern und um zusätzliche Schreibvorgänge zum Anfügen von Blobs im Container zuzulassen. Außerdem können Sie eine nicht gesperrte Richtlinie löschen.
Führen Sie die folgenden Schritte aus, um eine nicht gesperrte, zeitbasierte Aufbewahrungsrichtlinie im Azure-Portal zu ändern:
Navigieren Sie zum gewünschten Container.
Wählen Sie die Schaltfläche Mehr und dann Zugriffsrichtlinie aus.
Suchen Sie im Abschnitt Unveränderliche Blobversionen die vorhandene, nicht gesperrte Richtlinie. Wählen Sie die Schaltfläche Mehr und dann Bearbeiten im Menü aus.
Geben Sie ein neues Aufbewahrungsintervall für die Richtlinie an. Sie können auch Zusätzliche geschützte Anfügevorgänge zulassen auswählen, um Schreibvorgänge in geschützte Anfügeblobs zuzulassen.
Um eine nicht gesperrte Richtlinie zu löschen, wählen Sie die Schaltfläche Mehr und dann Löschen aus.
Hinweis
Sie können Unveränderlichkeitsrichtlinien auf Versionsebene über das Kontrollkästchen Unveränderlichkeit auf Versionsebene aktivieren aktivieren. Weitere Informationen zum Aktivieren von Unveränderlichkeitsrichtlinien auf Versionsebene finden Sie unter Konfigurieren von Unveränderlichkeitsrichtlinien für Blobversionen.
Um eine nicht gesperrte Richtlinie zu ändern, rufen Sie zuerst die Richtlinie ab, indem Sie den Befehl Get-AzRmStorageContainerImmutabilityPolicy aufrufen. Als Nächstes rufen Sie den Befehl Set-AzRmStorageContainerImmutabilityPolicy auf, um die Richtlinie zu aktualisieren. Schließen Sie das neue Aufbewahrungsintervall in Tagen und den Parameter -ExtendPolicy ein. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Um eine nicht gesperrte, zeitbasierte Aufbewahrungsrichtlinie mit Azure CLI zu ändern, rufen Sie den Befehl az storage container immutability-policy extend auf, und geben Sie das neue Aufbewahrungsintervall in Tagen an. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Sperren einer zeitbasierten Aufbewahrungsrichtlinie
Wenn Sie eine zeitbasierte Aufbewahrungsrichtlinie abschließend getestet haben, können Sie die Richtlinie sperren. Eine gesperrte Richtlinie ist mit SEC 17a-4(f) und anderen gesetzlichen Bestimmungen konform. Sie können das Aufbewahrungsintervall für eine gesperrte Richtlinie bis zu fünfmal verlängern, aber nicht verkürzen.
Nachdem eine Richtlinie gesperrt wurde, können Sie diese nicht mehr löschen. Sie können das Blob jedoch löschen, nachdem das Aufbewahrungsintervall abgelaufen ist.
Führen Sie die folgenden Schritte aus, um eine Richtlinie über das Azure-Portal zu sperren:
Navigieren Sie zu einem Container mit einer nicht gesperrten Richtlinie.
Suchen Sie im Abschnitt Unveränderliche Blobversionen die vorhandene, nicht gesperrte Richtlinie. Wählen Sie die Schaltfläche Mehr und dann Richtlinie sperren im Menü aus.
Bestätigen Sie, dass Sie die Richtlinie sperren möchten.
Um eine Richtlinie mit PowerShell zu sperren, rufen Sie zunächst den Befehl Get-AzRmStorageContainerImmutabilityPolicy auf, um das ETag der Richtlinie abzurufen. Rufen Sie als Nächstes den Befehl Lock-AzRmStorageContainerImmutabilityPolicy auf, und übergeben Sie den ETag-Wert, um die Richtlinie zu sperren. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Um eine Richtlinie mit Azure CLI zu sperren, rufen Sie zunächst den Befehl az storage container immutability-policy show auf, um das ETag der Richtlinie abzurufen. Rufen Sie als Nächstes den Befehl az storage container immutability-policy lock auf, und übergeben Sie den ETag-Wert, um die Richtlinie zu sperren. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Konfigurieren oder Löschen einer Aufbewahrungrichtlinie für juristische Zwecke
Bei einer Aufbewahrungrichtlinie für juristische Zwecke werden unveränderliche Daten gespeichert, bis die Aufbewahrungrichtlinie für juristische Zwecke explizit gelöscht wird. Weitere Informationen zu Aufbewahrungsrichtlinien für juristische Zwecke finden Sie im Artikel zur Aufbewahrung von unveränderlichen Blobdaten für juristische Zwecke.
Führen Sie die folgenden Schritte aus, um im Azure-Portal eine Aufbewahrungsrichtlinie für juristische Zwecke für einen Container zu konfigurieren:
Navigieren Sie zum gewünschten Container.
Wählen Sie die Schaltfläche Mehr und dann Zugriffsrichtlinie aus.
Wählen Sie im Abschnitt Unveränderliche Blobversionen die Option Richtlinie hinzufügen aus.
Wählen Sie Aufbewahrungsrichtlinie für juristische Zwecke als Richtlinientyp aus.
Fügen Sie einen oder mehrere Tags für Aufbewahrungsrichtlinien für juristische Zwecke hinzu.
Wählen Sie aus, ob geschützte Anfügeschreibvorgänge zugelassen werden sollen, und wählen Sie dann Speichern aus.
Die Option Anfügeblobs ermöglicht es Ihren Workloads, neue Datenblöcke mithilfe des Vorgangs Append Block am Ende eines Anfügeblobs hinzuzufügen.
Außerdem fügt diese Einstellung die Möglichkeit zum Schreiben von neuen Blöcken in ein Blockblob hinzu. Die Blob Storage-API bietet keine Möglichkeit, dies für Anwendungen direkt zu erledigen. Anwendungen können dies jedoch mithilfe von Anfüge- und Flushmethoden (Leerung) erreichen, die in der Data Lake Storage-API verfügbar sind. Außerdem ermöglicht diese Eigenschaft Microsoft-Anwendungen wie Azure Data Factory das Anfügen von Datenblöcken mithilfe interner APIs. Sollten Ihre Workloads von einem dieser Tools abhängig sein, können Sie mithilfe dieser Eigenschaft Fehler vermeiden, die angezeigt werden können, wenn diese Tools Daten an Blobs anzufügen versuchen.
Nachdem Sie die Unveränderlichkeitsrichtlinie konfiguriert haben, sehen Sie, dass sich ihr Gültigkeitsbereich auf den Container erstreckt:
Die folgende Abbildung zeigt einen Container, für den sowohl eine zeitbasierte Aufbewahrungsrichtlinie als auch eine Aufbewahrungrichtlinie für juristische Zwecke konfiguriert ist.
Navigieren Sie zum Löschen einer Aufbewahrungsrichtlinie für juristische Zwecke zum Dialogfeld Zugriffsrichtlinie, und wählen Sie im Kontextmenü Bearbeiten aus. Löschen Sie dann alle Tags für die Richtlinie, um die Aufbewahrungsrichtlinie für juristische Zwecke zu löschen.
Um mit der PowerShell eine Aufbewahrungrichtlinie für juristische Zwecke für einen Container zu konfigurieren, rufen Sie den Befehl Add-AzRmStorageContainerLegalHold auf. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
Um mit der Azure CLI eine Aufbewahrungrichtlinie für juristische Zwecke für einen Container zu konfigurieren, rufen Sie den Befehl az storage container legal-hold set auf. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:
