Configurer des stratégies d’immuabilité pour les conteneurs
Le stockage immuable pour le Stockage Blob Azure permet aux utilisateurs de stocker des données critiques pour l’entreprise dans un état WORM (écriture unique, lectures multiples). Dans l’état WORM, les données ne peuvent pas être modifiées ou supprimées pendant un intervalle spécifié par l’utilisateur. En configurant des stratégies d’immuabilité pour les données blob, vous pouvez protéger vos données contre les remplacements et les suppressions. Les stratégies d’immuabilité comprennent des stratégies de rétention limitées dans le temps et la conservation légale. Pour plus d’informations sur les stratégies de stockage immuable, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable.
Une stratégie d’immuabilité peut être étendue à une version d’objet blob individuelle ou à un conteneur. Cet article explique comment configurer une stratégie d’immuabilité au niveau du conteneur. Pour savoir comment configurer des stratégies d’immuabilité au niveau de la version, consultez Configurer des stratégies d’immuabilité pour les versions d’objets blob.
Notes
Les stratégies d’immuabilité ne sont pas prises en charge dans les comptes sur lesquels le protocole NFS (Network File System) 3.0 ou le protocole SFTP (SSH File Transfer Protocol) est activé.
Configurer une stratégie de rétention sur un conteneur
Pour configurer une stratégie de rétention temporelle ou sur un conteneur, utilisez le Portail Azure, PowerShell ou Azure CLI. Vous pouvez configurer la stratégie de rétention au niveau du conteneur entre 1 et 146 000 jours.
Pour configurer une stratégie de rétention temporelle sur un conteneur, utilisez le Portail Azure et procédez comme suit :
Accédez au conteneur souhaité.
Sélectionnez le bouton Plus à droite et sélectionnez Stratégie d’accès.
Sous la section Stockage d’objets blob immuables, sélectionnez Ajouter une stratégie.
Dans le champ Type de stratégie, sélectionnez Rétention temporelle, puis spécifiez la période de rétention en jours.
Pour créer une stratégie avec une étendue de conteneur, n’activez pas la case à cocher Activer l’immuabilité au niveau de la version.
Indiquez s’il faut autoriser les écritures d’ajout protégées.
L’option Objets blob d’ajout permet à vos charges de travail d’ajouter de nouveaux blocs de données à la fin d’un objet blob d’ajout à l’aide de l’opération Append Block.
L’option Objets blob de blocs et d’ajout vous fait bénéficier des mêmes autorisations que l’option Objets blob d’ajout, mais vous offre en plus la possibilité d’écrire de nouveaux blocs dans un objet blob de blocs. L’API Stockage Blob ne permet pas aux applications de le faire directement. En revanche, les applications peuvent effectuer cette opération à l’aide des méthodes d’ajout et de vidage disponibles dans l’API Data Lake Storage Gen2. De même, certaines applications Microsoft utilisent des API internes pour créer des objets blob de blocs et les y ajouter. Si vos charges de travail dépendent de l’un de ces outils, vous pouvez utiliser cette propriété pour éviter les erreurs qui peuvent apparaître quand ces outils tentent d’ajouter des blocs à un objet blob de blocs.
Pour en savoir plus sur ces options, consultez Autoriser les écritures protégées d’objets blob d’ajout.
Une fois que vous avez configuré la stratégie d’immuabilité, vous voyez qu’elle est étendue au conteneur :
Modifier une stratégie de rétention déverrouillée
Vous pouvez modifier une stratégie de rétention temporelle déverrouillée pour raccourcir ou prolonger l’intervalle de rétention et permettre des écritures supplémentaires sur les objets blob d’ajouts dans le conteneur. Vous pouvez également supprimer une stratégie déverrouillée.
Pour modifier une stratégie de rétention temporelle déverrouillée dans le Portail Azure, procédez comme suit :
Accédez au conteneur souhaité.
Sélectionnez le bouton Plus et choisissez Stratégie d’accès.
Sous la section Version d’objets blob immuables, recherchez la stratégie actuellement déverrouillée. Sélectionnez le bouton Plus, puis sélectionnez Modifier dans le menu.
Indiquez un nouvel intervalle de rétention pour la stratégie. Vous pouvez également sélectionner Autoriser des ajouts protégés supplémentaires pour autoriser les écritures sur les objets blob d’ajouts protégés.
Pour supprimer une stratégie déverrouillée, sélectionnez le bouton Plus, puis Supprimer.
Notes
Vous pouvez activer les stratégies d’immuabilité au niveau de la version en activant la case à cocher Activer l’immuabilité au niveau de la version. Pour plus d’informations sur la configuration de stratégies d’immuabilité au niveau de la version, consultez Configurer des stratégies d’immuabilité pour les versions d’objets blob.
Verrouiller une stratégie de rétention temporelle
Une fois que vous avez fini de tester une stratégie de rétention limitée dans le temps, vous pouvez verrouiller la stratégie. Les stratégies verrouillées sont conformes à la norme SEC 17A-4 (f) et à toute les autres conformités réglementaires. Vous pouvez augmenter l’intervalle de rétention pour une stratégie verrouillée jusqu’à cinq fois, mais vous ne pouvez pas raccourcir cet intervalle.
Une fois qu’une stratégie est verrouillée, vous ne pouvez pas la supprimer. Toutefois, vous pouvez supprimer l’objet blob après l’expiration de l’intervalle de rétention.
Pour verrouiller une stratégie avec le portail Azure, procédez comme suit :
- Accédez à un conteneur avec une stratégie déverrouillée.
- Sous la section Version d’objets blob immuables, recherchez la stratégie actuellement déverrouillée. Sélectionnez le bouton Plus, puis sélectionnez Verrouiller la stratégie dans le menu.
- Confirmez que vous souhaitez verrouiller la stratégie.
Configurer ou effacer une conservation légale
La conservation légale stocke des données immuables jusqu’à ce qu’elle soit explicitement désactivée. Pour en savoir plus sur les stratégies de conservation légale, consultez Conservation légale pour les données d’objets blob immuables.
Pour configurer une conservation légale sur un conteneur avec le portail Azure, effectuez les étapes suivantes :
Accédez au conteneur souhaité.
Sélectionnez le bouton Plus et choisissez Stratégie d’accès.
Sous la section Version d’objets blob immuables, sélectionnez Ajouter une stratégie.
Choisissez le type de stratégie Conservation légale.
Ajoutez une ou plusieurs étiquettes de conservation légale.
Indiquez s’il faut autoriser les écritures d’ajout protégées, puis sélectionnez Enregistrer.
L’option Objets blob d’ajout permet à vos charges de travail d’ajouter de nouveaux blocs de données à la fin d’un objet blob d’ajout à l’aide de l’opération Append Block.
Ce paramètre offre aussi la possibilité d’écrire de nouveaux blocs dans un objet blob de blocs. L’API Stockage Blob ne permet pas aux applications de le faire directement. En revanche, les applications peuvent effectuer cette opération à l’aide des méthodes d’ajout et de vidage disponibles dans l’API Data Lake Storage Gen2. De plus, cette propriété permet aux applications Microsoft comme Azure Data Factory d’ajouter des blocs de données à l’aide d’API internes. Si vos charges de travail dépendent de l’un de ces outils, vous pouvez utiliser cette propriété pour éviter les erreurs qui peuvent apparaître quand ces outils tentent d’ajouter des données à des objets blob.
Pour en savoir plus sur ces options, consultez Autoriser les écritures protégées d’objets blob d’ajout.
Une fois que vous avez configuré la stratégie d’immuabilité, vous voyez qu’elle est étendue au conteneur :
L’illustration suivante montre un conteneur avec une stratégie de rétention temporelle et une conservation légale configurée.
Pour annuler la conservation légale, accédez à la boîte de dialogue Stratégie d’accès, sélectionnez le bouton Plus et choisissez Supprimer.