Configurer des stratégies d’immuabilité pour les versions de blob
Le stockage immuable pour le Stockage Blob Azure permet aux utilisateurs de stocker des données critiques pour l’entreprise dans un état WORM (écriture unique, lectures multiples). Dans un WORM, les données ne peuvent pas être modifiées ni supprimées pendant un intervalle spécifié par l’utilisateur. En configurant des stratégies d’immuabilité pour les données blob, vous pouvez protéger vos données contre les remplacements et les suppressions. Les stratégies d’immuabilité comprennent des stratégies de rétention limitées dans le temps et la conservation légale. Pour plus d’informations sur les stratégies de stockage immuable, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable.
Une stratégie d’immuabilité peut être étendue à une version d’objet blob individuelle ou à un conteneur. Cet article explique comment configurer une stratégie d’immuabilité au niveau de la version. Pour savoir comment configurer des stratégies d’immuabilité au niveau du conteneur, consultez Configurer des stratégies d’immuabilité pour les conteneurs.
Notes
Les stratégies d’immuabilité ne sont pas prises en charge dans les comptes sur lesquels le protocole NFS (Network File System) 3.0 ou le protocole SFTP (SSH File Transfer Protocol) est activé.
La configuration d’une stratégie d’immuabilité au niveau de la version est un processus en deux étapes :
- Tout d’abord, activez la prise en charge de l’immuabilité au niveau de la version sur un nouveau compte de stockage ou sur un conteneur nouveau ou existant. Pour plus de détails, consultez Activer la prise en charge de l’immuabilité au niveau de la version.
- Ensuite, configurez une stratégie de rétention limitée dans le temps ou une conservation légale qui s’applique à une ou plusieurs versions d’objet blob dans ce conteneur.
Prérequis
Pour configurer des stratégies de rétention limitées dans le temps au niveau de la version, le contrôle de version des objets blob doit être activé pour le compte de stockage. N’oubliez pas que l’activation du contrôle de version des blobs peut avoir un impact sur la facturation. Pour savoir comment activer le contrôle de version des blobs, consultez Activer et gérer le contrôle de version des blobs.
Pour plus d’informations sur les configurations de compte de stockage prises en charge pour les stratégies d’immuabilité au niveau de la version, consultez Stratégies WORM au niveau de la version pour les données d’objet BLOB immuables.
Activer la prise en charge de l’immuabilité au niveau de la version
Avant de pouvoir appliquer une stratégie de rétention limitée dans le temps à une version d’objet blob, vous devez activer la prise en charge de l’immuabilité au niveau de la version. Vous pouvez activer la prise en charge de l’immuabilité au niveau de la version sur un nouveau compte de stockage ou sur un conteneur nouveau ou existant.
Activer la prise en charge de l’immutabilité au niveau de la version sur un compte de stockage
Vous ne pouvez activer la prise en charge de l’immutabilité au niveau de la version que lorsque vous créez un compte de stockage.
Pour activer la prise en charge de l’immutabilité au niveau de la version lorsque vous créez un compte de stockage dans le portail Azure, procédez comme suit :
Dans le portail Azure, accédez à la page Comptes de stockage.
Sélectionnez le bouton Créer pour créer un nouveau compte.
Renseignez l’onglet Informations de base.
Sous l’onglet Protection des données, sous Contrôle d’accès, sélectionnez Activer la prise en charge de l’immutabilité au niveau de la version. Lorsque vous cochez cette case, la case pour Activer le contrôle de version des blobs est aussi automatiquement cochée.
Sélectionnez Vérifier + créer pour valider les paramètres de votre compte et créer le compte de stockage.
Une fois le compte de stockage créé, vous pouvez configurer une stratégie au niveau de la version par défaut pour le compte. Pour plus d’informations, consultez Configurer une stratégie de rétention limitée dans le temps par défaut.
Si la prise en charge de l’immutabilité au niveau de la version est activée pour le compte de stockage et que le compte contient un ou plusieurs conteneurs, vous devez supprimer tous les conteneurs pour pouvoir le supprimer, même s’il n’existe aucune stratégie d’immutabilité en vigueur pour le ou les conteneurs.
Notes
L'immuabilité au niveau de la version ne peut pas être désactivée après son activation sur le compte de stockage, bien que les stratégies verrouillées puissent être supprimées.
Activer la prise en charge de l’immutabilité au niveau de la version sur un conteneur
Les conteneurs nouveaux et existants peuvent être configurés pour prendre en charge l’immuabilité au niveau de la version. Toutefois, un conteneur existant doit subir un processus de migration afin d’activer la prise en charge.
N’oubliez pas que l’activation de la prise en charge de l’immuabilité au niveau de la version pour un conteneur ne rend pas les données de ce conteneur immuables. Vous devez également configurer soit une stratégie d’immuabilité par défaut pour le conteneur, soit une stratégie d’immuabilité sur une version de blob spécifique. Si vous avez activé l’immutabilité au niveau de la version pour le compte de stockage lors de sa création, vous pouvez également configurer une stratégie d’immutabilité par défaut pour le compte.
Activer l’immuabilité au niveau de la version pour un nouveau conteneur
Pour utiliser une stratégie d’immuabilité au niveau de la version, vous devez d’abord activer explicitement la prise en charge WORM au niveau de la version sur le conteneur. Vous pouvez activer la prise en charge de WORM au niveau de la version soit lorsque vous créez le conteneur, soit lorsque vous ajoutez une stratégie d’immuabilité de niveau version à un conteneur existant.
Pour créer un conteneur prenant en charge l’immuabilité au niveau de la version dans le Portail Azure, procédez comme suit :
Accédez à la page Conteneurs pour votre compte de stockage dans le Portail Azure, puis sélectionnez Ajouter.
Dans la boîte de dialogue Nouveau conteneur, indiquez un nom pour votre conteneur, puis développez la section Avancé.
Sélectionnez Activer la prise en charge de l’immuabilité au niveau de la version pour activer l’immuabilité au niveau de la version pour le conteneur.
Si la prise en charge de l’immutabilité au niveau de la version est activée pour un conteneur et que celui-ci contient un ou plusieurs objets blob, vous devez supprimer tous les objets blob du conteneur pour pouvoir le supprimer, même s’il n’existe aucune stratégie d’immutabilité en vigueur pour le conteneur ou ses objets blob.
Migrer un conteneur existant pour prendre en charge l’immuabilité au niveau de la version
Pour configurer des stratégies d’immuabilité au niveau de la version pour un conteneur existant, vous devez migrer le conteneur pour prendre en charge le stockage immuable au niveau de la version. La migration du conteneur peut prendre un certain temps et ne peut pas être inversée. Vous pouvez migrer dix conteneurs à la fois par compte de stockage.
Pour migrer un conteneur existant afin de prendre en charge les stratégies d’immuabilité au niveau de la version, le conteneur doit avoir une stratégie de rétention basée sur le temps au niveau du conteneur configurée. La migration échoue sauf si le conteneur a une stratégie existante. L’intervalle de rétention de la stratégie au niveau du conteneur est conservé comme intervalle de rétention pour la stratégie par défaut au niveau de la version sur le conteneur.
Si le conteneur a une conservation légale au niveau du conteneur, il ne peut pas être migré tant que la conservation légale n’est pas supprimée.
Pour migrer un conteneur afin de prendre en charge le stockage immuable au niveau de la version dans le Portail Azure, procédez comme suit :
Accédez au conteneur souhaité.
Dans le menu contextuel du conteneur, sélectionnez Stratégie d’accès.
Sélectionnez Ajouter une stratégie sous Stockage blob non modifiable.
Dans le champ Type de stratégie, sélectionnez Rétention limitée dans le temps, puis spécifiez l’intervalle de rétention.
Sélectionnez Activer l’immuabilité au niveau de la version.
Sélectionnez OK pour créer une stratégie au niveau du conteneur avec l’intervalle de rétention spécifié, puis commencez la migration vers la prise en charge de l’immuabilité au niveau de la version.
Pendant que l’opération de migration est en cours, l’étendue de la stratégie sur le conteneur s’affiche comme Conteneur. Toutes les opérations liées à la gestion des stratégies d’immuabilité au niveau de la version ne sont pas autorisées pendant la migration du conteneur. D’autres opérations sur les données blob se poursuivent normalement pendant la migration.
Une fois la migration terminée, l’étendue de la stratégie sur le conteneur s’affiche comme Version. La stratégie indiquée est une stratégie par défaut sur le conteneur qui s’applique automatiquement à toutes les versions d’objets blob créées par la suite dans le conteneur. La stratégie par défaut peut être substituée sur n’importe quelle version en spécifiant une stratégie personnalisée pour cette version.
Configurer une stratégie de rétention limitée dans le temps par défaut
Après avoir activé la prise en charge de l’immutabilité au niveau de la version pour un compte de stockage ou un conteneur individuel, vous pouvez spécifier une stratégie de rétention par défaut limitée dans le temps au niveau de la version pour le compte ou le conteneur. Lorsque vous spécifiez une stratégie par défaut pour un compte ou un conteneur, cette stratégie s’applique par défaut à toutes les nouvelles versions de blobs créées dans le compte ou le conteneur. Vous pouvez remplacer la stratégie par défaut pour toute version de blob dans le compte ou le conteneur.
La stratégie par défaut n’est pas automatiquement appliquée aux versions d’objets blob qui existaient avant la configuration de la stratégie par défaut.
Si vous avez migré un conteneur existant pour prendre en charge l’immuabilité au niveau de la version, la stratégie au niveau du conteneur qui était en vigueur avant la migration est migrée vers une stratégie de niveau de version par défaut pour le conteneur.
Pour configurer une stratégie d’immuabilité au niveau de la version par défaut pour un compte de stockage ou un conteneur, utilisez le portail Azure, PowerShell, Azure CLI ou l’un des Kits de développement logiciel (SDK) Stockage Azure. Assurez-vous que vous avez activé la prise en charge de l’immuabilité au niveau de la version pour le compte de stockage ou le conteneur, comme décrit dans Activer la prise en charge de l’immuabilité au niveau de la version.
Pour configurer une stratégie d’immuabilité au niveau de la version par défaut pour un compte de stockage dans le portail Azure, procédez comme suit :
Dans le portail Azure, accédez à votre compte de stockage.
Sous Gestion des données, sélectionnez Protection des données.
Dans la page Protection des données, recherchez la section Contrôle d’accès. Si le compte de stockage a été créé avec la prise en charge de l’immuabilité au niveau de la version, le bouton Gérer la stratégie apparaît dans la section Contrôle d’accès.
Sélectionnez le bouton Gérer la stratégie pour afficher la boîte de dialogue Gérer la stratégie d’immutabilité au niveau de la version.
Ajoutez une stratégie de rétention limitée dans le temps par défaut pour le compte de stockage.
Pour configurer une stratégie d’immuabilité par défaut au niveau de la version à un conteneur dans le portail Azure, procédez comme suit :
Dans le Portail Azure, accédez à la page Conteneurs, puis localisez le conteneur auquel vous souhaitez appliquer la stratégie.
Dans le menu contextuel du conteneur, choisissez Stratégie d’accès.
Sous la section Stockage blob non modifiable dans la boîte de dialogue Stratégie d’accès, sélectionnez Ajouter une stratégie.
Sélectionnez Stratégie de rétention limitée dans le temps et spécifiez l’intervalle de rétention.
Indiquez s’il faut autoriser les écritures d’ajout protégées.
L’option Objets blob d’ajout permet à vos charges de travail d’ajouter de nouveaux blocs de données à la fin d’un objet blob d’ajout à l’aide de l’opération Append Block.
L’option Objets blob de blocs et d’ajout étend cette prise en charge en offrant la possibilité d’écrire de nouveaux blocs dans un objet blob de blocs. L’API Stockage Blob ne permet pas aux applications de le faire directement. En revanche, les applications peuvent effectuer cette opération à l’aide des méthodes d’ajout et de vidage disponibles dans l’API Data Lake Storage Gen2. De plus, cette propriété permet aux applications Microsoft comme Azure Data Factory d’ajouter des blocs de données à l’aide d’API internes. Si vos charges de travail dépendent de l’un de ces outils, vous pouvez utiliser cette propriété pour éviter les erreurs qui peuvent apparaître quand ces outils tentent d’ajouter des données à des objets blob.
Pour en savoir plus sur ces options, consultez Autoriser les écritures protégées d’objets blob d’ajout.
Déterminer l’étendue d’une stratégie de rétention sur un conteneur
Pour déterminer l’étendue d’une stratégie de rétention limitée dans le temps dans le Portail Azure, procédez comme suit :
Accédez au conteneur souhaité.
Dans le menu contextuel du conteneur, sélectionnez Stratégie d’accès.
Cherchez le champ Étendue sous Stockage blob non modifiable. Si le conteneur est configuré avec une stratégie de rétention par défaut au niveau de la version, l’étendue est définie sur Version, comme illustré dans l’image suivante :
Si le conteneur est configuré avec une stratégie de rétention au niveau du conteneur, l’étendue est définie sur Conteneur, comme illustré dans l’image suivante :
Configurer une stratégie de rétention limitée dans le temps sur une version existante
Les stratégies de rétention limitées dans le temps maintiennent les données blob dans un état WORM pendant un intervalle spécifié. Pour plus d’informations sur les stratégies de rétention limitées dans le temps, consultez Stratégies de rétention limitée dans le temps pour les données d’objets blob immuables.
Vous avez trois options pour configurer une stratégie de rétention limitée dans le temps pour une version d’objet blob :
- Option 1 : vous pouvez configurer une stratégie par défaut sur le compte de stockage ou le conteneur qui s’applique à tous les objets du compte ou du conteneur. Les objets du compte ou du conteneur hériteront de la stratégie par défaut, sauf si vous la remplacez explicitement en configurant une stratégie sur une version de blob individuelle. Pour plus d’informations, consultez Configurer une stratégie de rétention limitée dans le temps par défaut.
- Option 2 : vous pouvez configurer une stratégie sur la version actuelle de l’objet blob. Cette stratégie peut remplacer une stratégie par défaut configurée sur le compte de stockage ou le conteneur si une stratégie par défaut existe et qu’elle est déverrouillée. Par défaut, toutes les versions précédentes créées après la configuration de la stratégie héritent de la stratégie sur la version actuelle de l’objet blob. Pour plus d’informations, consultez Configurer une stratégie de rétention sur la version actuelle d’un objet blob.
- Option 3 : vous pouvez configurer une stratégie sur une version antérieure d’un objet blob. Cette stratégie peut remplacer une stratégie par défaut configurée sur la version actuelle si celle-ci existe et qu’elle est déverrouillée. Pour plus d’informations, consultez Configurer une stratégie de rétention sur une version antérieure d’un objet blob.
Pour plus d’informations sur la gestion de versions des objets blob, consultez Gestion de versions des objets blob.
Le portail Azure affiche la liste des objets blob lorsque vous accédez à un conteneur. Chaque objet blob affiché représente sa version actuelle. Vous pouvez accéder à une liste de versions précédentes en ouvrant le menu contextuel de l’objet blob, puis en choisissant Afficher les versions précédentes.
Configurer une stratégie de rétention sur la version actuelle d’un objet blob
Pour configurer une stratégie de rétention limitée dans le temps sur la version actuelle d’un objet blob, procédez comme suit :
Accédez au conteneur qui contient l’objet BLOB cible.
Dans le menu contextuel de l’objet blob, choisissez Stratégie d’accès. Si une stratégie de rétention limitée dans le temps a déjà été configurée pour la version précédente, elle apparaît dans la boîte de dialogue Stratégie d’accès.
Sous la section Versions d’objets blob non modifiables dans la boîte de dialogue Stratégie d’accès, sélectionnez Ajouter une stratégie.
Sélectionnez Stratégie de rétention limitée dans le temps et spécifiez l’intervalle de rétention.
Sélectionnez OK pour appliquer la stratégie à la version actuelle de l’objet blob.
Vous pouvez afficher les propriétés d’un objet blob pour voir si une stratégie est activée sur la version actuelle. Sélectionnez l’objet blob, puis accédez à l’onglet Vue d’ensemble et recherchez la propriété de la stratégie d’immuabilité au niveau de la version. Si une stratégie est activée, la propriété Période de rétention affiche la date et l’heure d’expiration de la stratégie. Gardez à l’esprit qu’une stratégie peut être configurée pour la version actuelle ou qu’elle peut être héritée du conteneur parent de l’objet blob si une stratégie par défaut est en vigueur.
Configurer une stratégie de rétention sur une version précédente d’un objet blob
Vous pouvez également configurer une stratégie de rétention limitée dans le temps sur une version antérieure d’un objet blob. Une version précédente est toujours immuable et ne peut donc pas être modifiée. Toutefois, une version précédente peut être supprimée. Une stratégie de rétention limitée dans le temps protège contre la suppression alors qu’elle est en vigueur.
Pour configurer une stratégie de rétention limitée dans le temps sur une version précédente d’un objet blob, procédez comme suit :
Accédez au conteneur qui contient l’objet BLOB cible.
Sélectionnez l’objet blob, puis accédez à l’onglet Versions.
Recherchez la version cible, puis, dans le menu contextuel de la version, choisissez Stratégie d’accès. Si une stratégie de rétention limitée dans le temps a déjà été configurée pour la version précédente, elle apparaît dans la boîte de dialogue Stratégie d’accès.
Sous la section Versions d’objets blob non modifiables dans la boîte de dialogue Stratégie d’accès, sélectionnez Ajouter une stratégie.
Sélectionnez Stratégie de rétention limitée dans le temps et spécifiez l’intervalle de rétention.
Sélectionnez OK pour appliquer la stratégie à la version actuelle de l’objet blob.
Configurer une stratégie de rétention limitée dans le temps lors du chargement d’un objet blob
Lorsque vous utilisez le portail Azure pour charger un objet blob dans un conteneur prenant en charge l’immuabilité au niveau de la version, vous disposez de plusieurs options pour configurer une stratégie de rétention limitée dans le temps pour le nouvel objet blob :
- Option 1 : si une stratégie de rétention par défaut est configurée pour le conteneur, vous pouvez charger l’objet blob avec la stratégie du conteneur. Cette option est sélectionnée par défaut lorsqu’il existe une stratégie de rétention sur le conteneur.
- Option 2 : si une stratégie de rétention par défaut est configurée pour le conteneur, vous pouvez choisir de remplacer la stratégie par défaut, soit en définissant une stratégie de rétention personnalisée pour le nouvel objet blob, soit en chargeant l’objet blob sans stratégie.
- Option 3 : si aucune stratégie par défaut n’est configurée pour le conteneur, vous pouvez charger l’objet blob avec une stratégie personnalisée ou sans stratégie.
Pour configurer une stratégie de rétention limitée dans le temps lorsque vous téléchargez un objet blob, procédez comme suit :
Accédez au conteneur souhaité, puis sélectionnez Charger.
Dans la boîte de dialogue Charger blob, développez la section Avancé.
Configurez la stratégie de rétention limitée dans le temps pour le nouvel objet blob dans le champ Stratégie de rétention. Si une stratégie par défaut est configurée pour le conteneur, cette stratégie est sélectionnée par défaut. Vous pouvez également spécifier une stratégie personnalisée pour l’objet blob.
Modifier ou supprimer une stratégie de rétention déverrouillée
Vous pouvez modifier une stratégie de rétention limitée dans le temps déverrouillée pour raccourcir ou allonger l’intervalle de rétention. Vous pouvez également supprimer une stratégie déverrouillée. La modification ou la suppression d’une stratégie de rétention limitée dans le temps et qui est déverrouillée pour une version d’objet blob n’affecte pas les stratégies en vigueur pour les autres versions. Si une stratégie de rétention limitée dans le temps par défaut est en vigueur pour le conteneur, la version de l’objet blob avec la stratégie modifiée ou supprimée n’héritera plus du conteneur.
Pour modifier une stratégie de rétention temporelle déverrouillée dans le Portail Azure, procédez comme suit :
Localisez le conteneur ou la version cible. Dans le menu contextuel du conteneur ou de la version, choisissez Stratégie d’accès.
Localisez la stratégie d’immuabilité déverrouillée existante. Dans le menu contextuel, sélectionnez Modifier.
Indiquez la nouvelle date et l’heure de l’expiration de la stratégie.
Pour supprimer la stratégie déverrouillée, sélectionnez Supprimer dans le menu contextuel.
Verrouiller une stratégie de rétention limitée dans le temps
Une fois que vous avez fini de tester une stratégie de rétention limitée dans le temps, vous pouvez verrouiller la stratégie. Les stratégies verrouillées sont conformes à la norme SEC 17A-4 (f) et à toute les autres conformités réglementaires. Vous pouvez augmenter l’intervalle de rétention pour une stratégie verrouillée jusqu’à cinq fois, mais vous ne pouvez pas raccourcir cet intervalle.
Une fois qu’une stratégie est verrouillée, vous ne pouvez pas la supprimer. Toutefois, vous pouvez supprimer l’objet blob après l’expiration de l’intervalle de rétention.
Pour verrouiller une stratégie avec le portail Azure, procédez comme suit :
Localisez le conteneur ou la version cible. Dans le menu contextuel du conteneur ou de la version, choisissez Stratégie d’accès.
Sous la section Version d’objets blob immuables, recherchez la stratégie actuellement déverrouillée. Sélectionnez Stratégie de verrouillage dans le menu contextuel.
Confirmez que vous souhaitez verrouiller la stratégie.
Configurer ou effacer une conservation légale
La conservation légale stocke des données immuables jusqu’à ce qu’elle soit explicitement désactivée. Pour en savoir plus sur les stratégies de conservation légale, consultez Conservation légale pour les données d’objets blob immuables.
Pour configurer une conservation légale sur une version de blob, vous devez d’abord activer la prise en charge de l’immuabilité au niveau de la version sur le compte de stockage ou le conteneur. Pour plus d’informations, consultez Activer la prise en charge de l’immuabilité au niveau de la version.
Pour configurer une conservation légale sur une version d’objet blob avec le portail Azure, effectuez les étapes suivantes :
Recherchez la version cible, qui peut être la version actuelle ou une version antérieure d’un objet blob. Dans le menu contextuel de la version cible, choisissez Stratégie d’accès.
Sous la section Version d’objets blob immuables, sélectionnez Ajouter une stratégie.
Choisissez le type de stratégie Conservation légale, puis sélectionnez OK pour l’appliquer.
L’illustration suivante montre une version actuelle d’un objet blob avec une stratégie de rétention limitée dans le temps et une conservation légale configurée.
Pour effacer une conservation légale, accédez à la boîte de dialogue Stratégie d’accès, puis, dans le menu contextuel, choisissez Supprimer.