BLOB バージョンに対する不変性ポリシーを構成する

Azure Blob Storage の不変ストレージを使用すると、ユーザーはビジネスに不可欠なデータを WORM (Write Once, Read Many) 状態で保存できます。 WORM 状態の場合、ユーザーが指定した間隔でデータを変更または削除することはできません。 BLOB データに不変ポリシーを構成することにより、上書きや削除からデータを保護することができます。 不変性ポリシーには、時間ベースの保持ポリシーと訴訟ホールドが含まれています。 Blob Storage の不変ポリシーの詳細については、「不変ストレージを使用してビジネスに不可欠な BLOB データを保存する」を参照してください。

不変性ポリシーは、個々の BLOB バージョンまたはコンテナーのいずれかにスコープ設定できます。 この記事では、バージョン レベルの不変ポリシーを構成する方法について説明します。 コンテナー レベルの不変ポリシーを構成する方法については、「コンテナーの不変ポリシーを構成する」を参照してください。

注意

不変性ポリシーは、Network File System (NFS) 3.0 プロトコルまたは SSH ファイル転送プロトコル (SFTP) が有効になっているアカウントではサポートされません。

バージョン レベルの不変ポリシーの構成は、2 段階のプロセスです。

1. 最初に、新規のストレージ アカウントか新規または既存のコンテナーでバージョン レベルの不変性のサポートを有効にします。 詳細については、コンテナーでバージョン レベルの不変性のサポートを有効化に関するページを参照してください。
2. 次に、そのコンテナー内の 1 つ以上の BLOB バージョンに適用される時間ベースの保持ポリシーまたは訴訟ホールドを構成します。

前提条件

バージョン レベルの時間ベースの保持ポリシーを構成するには、そのストレージ アカウントに対して BLOB のバージョン管理を有効にする必要があります。 BLOB バージョン管理を有効にすると、課金に影響する場合があることに注意してください。 BLOB のバージョン管理を有効にする方法については、「BLOB のバージョン管理を有効にして管理する」をご覧ください。

バージョン レベルの不変ポリシーでサポートされているストレージ アカウントの構成については、不変 BLOB データのバージョン レベルの WORM ポリシーに関するページを参照してください。

バージョン レベルの不変性のサポートを有効にする

時間ベースの保持ポリシーを BLOB バージョンに適用するには、事前にバージョン レベルの不変性のサポートを有効にする必要があります。 新しいストレージ アカウントか新規または既存のコンテナーで、バージョン レベルの変更可能性のサポートを有効にできます。

ストレージ アカウントでバージョン レベルの変更可能性のサポートを有効にする

新しいストレージ アカウントを作成するときにのみ、バージョン レベルの変更可能性のサポートを有効にできます。

ポータル

Azure Portal でストレージ アカウントを作成するときにバージョン レベルの変更可能性のサポートを有効にするには、次の手順に従います。

1. Azure portal で、[ストレージ アカウント] ページに移動します。

2. [作成] ボタンを選択して、新しいアカウントを作成します。

3. [基本] タブに入力します。

4. [データ保護] タブの [アクセス制御] で、[バージョン レベルの変更可能性のサポートを有効にする] を選択します。 このチェック ボックスをオンにすると、[BLOB のバージョン管理を有効にする] チェックボックスも自動的にオンになります。

5. [確認および作成] を選択して、アカウント パラメーターを確認し、ストレージ アカウントを作成します。

   

ストレージ アカウントを作成したら、アカウントの既定のバージョン レベル ポリシーを構成できます。 詳細については、既定の時間ベースの保持ポリシーの構成に関するページを参照してください。

PowerShell

該当なし

Azure CLI

Azure CLI でストレージ アカウントを作成するときにバージョン レベルの変更可能性のサポートを有効にするには、--enable-alw パラメーターを指定して az storage account create コマンドを呼び出します。 必要に応じて、次の例に示すように、ストレージ アカウントの既定のポリシーを同時に指定できます。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --enable-alw \
    --immutability-period-in-days 90 \
    --immutability-state unlocked \
    --allow-protected-append-writes true

ストレージ アカウントでバージョン レベルの不変性のサポートが有効で、アカウントに 1 つ以上のコンテナーが含まれている場合は、アカウントまたはコンテナーに対して有効な不変性ポリシーがない場合でも、ストレージ アカウントを削除する前に、すべてのコンテナーを削除する必要があります。

注意

バージョンレベルの不変性は、有効にした後は無効にできません。ただし、ロックされたポリシーは削除できます。

コンテナーでバージョン レベルの変更可能性のサポートを有効にする

バージョン レベルの不変性をサポートするように、新規と既存の両方のコンテナーを構成できます。 ただし、既存のコンテナーでは、サポートを有効にするために、移行プロセスを実行する必要があります。

コンテナーに対してバージョン レベルの不変性のサポートを有効にしても、そのコンテナー内のデータは不変にはならないことに注意してください。 また、コンテナーに対する既定の不変ポリシーまたは特定の BLOB バージョンに対する不変ポリシーのいずれかを構成する必要があります。 ストレージ アカウントの作成時にストレージ アカウントのバージョン レベルの変更可能性を有効にした場合は、アカウントの既定の変更可能性ポリシーを構成することもできます。

新しいコンテナーに対してバージョン レベルの不変性を有効にする

バージョン レベルの不変ポリシーを使用するには、まず、コンテナーに対してバージョン レベルの WORM のサポートを明示的に有効にする必要があります。 バージョン レベルの WORM のサポートは、コンテナーを作成するとき、または既存のコンテナーにバージョン レベルの不変ポリシーを追加するときに有効にできます。

ポータル

Azure portal でバージョン レベルの不変性をサポートするコンテナーを作成するには、次の手順に従います。

1. Azure portal でご自分のストレージ アカウントの [コンテナー] ページに移動し、 [追加] を選択します。

2. [新しいコンテナー] ダイアログで、コンテナーの名前を指定し、 [詳細設定] セクションを展開します。

3. [Enable version-level immutability support](バージョン レベルの不変性のサポートを有効にする) を選択して、そのコンテナーにに対してバージョン レベルの不変性を有効にします。

   

PowerShell

バージョン レベルの不変性をサポートするコンテナーを PowerShell で作成するには、まず Az.Storage モジュール (バージョン 3.12.0 以降) をインストールします。

次に、次の例に示すように、-EnableImmutableStorageWithVersioning パラメーターを指定して New-AzRmStorageContainer コマンドを呼び出します。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

# Create a container with version-level immutability support.
$container = New-AzRmStorageContainer -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account> `
    -Name <container> `
    -EnableImmutableStorageWithVersioning

# Verify that version-level immutability support is enabled for the container
$container.ImmutableStorageWithVersioning

Azure CLI

バージョン レベルの不変性をサポートするコンテナーを Azure CLI で作成するには、まず Azure CLI (バージョン 2.27 以降) をインストールします。 Azure CLI のインストールに関する詳細については、「Azure CLI をインストールする方法」を参照してください。

次に、--enable-vlw パラメータを指定して、az storage container-rm create コマンドを呼び出します。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

# Create a container with version-level immutability support.
az storage container-rm create \
    --name <container> \
    --storage-account <storage-account> \
    --resource-group <resource-group> \
    --enable-vlw

# Verify that version-level immutability support is enabled for the container
az storage container-rm show \
    --storage-account <storage-account> \
    --name <container> \
    --query '[immutableStorageWithVersioning.enabled]' \
    --output tsv

コンテナーでバージョン レベルの不変性のサポートが有効で、コンテナーに 1 つ以上の BLOB が含まれている場合は、アカウントまたはコンテナーまたは BLOB に対して有効な不変性ポリシーがない場合でも、コンテナーを削除する前に、すべての BLOB を削除する必要があります。

バージョン レベルの不変性をサポートするために既存のコンテナーを移行する

既存のコンテナーにバージョン レベルの不変ポリシーを構成するには、バージョン レベルの不変ストレージをサポートするためにそのコンテナーを移行する必要があります。 コンテナーの移行には時間がかかる場合があり、元に戻すことはできません。 ストレージ アカウントごとに一度に移行できるコンテナーは 10 個です。

バージョン レベルの不変性ポリシーをサポートするために既存のコンテナーを移行するには、そのコンテナーにコンテナーレベルの時間ベースの保持ポリシーが構成されている必要があります。 コンテナーに既存のポリシーがない場合、移行は失敗します。 コンテナーレベル ポリシーの保持間隔は、コンテナー上の既定のバージョンレベル ポリシーの保持間隔として維持されます。

コンテナーに既存のコンテナー レベルの訴訟ホールドがある場合は、訴訟ホールドが削除されるまで移行できません。

ポータル

Azure portal でバージョン レベルの不変ポリシーをサポートするためにコンテナーを移行するには、次の手順に従います。

1. 目的のコンテナーに移動します。

2. コンテナーのコンテキスト メニューで、[アクセス ポリシー] を選択します。

3. 次に、 [不変 BLOB ストレージ] の下で [ポリシーの追加] を選択します。

4. [ポリシーの種類] フィールドで、 [時間ベースの保持] を選択し、保持間隔を指定します。

5. [Enable version-level immutability](バージョン レベルの不変性を有効にする) を選択します。

6. [OK] を選択すると、指定された保持間隔でコンテナー レベルのポリシーが作成され、バージョン レベルの不変性サポートへの移行が開始されます。

   

移行操作が進行中の間、コンテナーのポリシーのスコープは "コンテナー" と表示されます。 コンテナーの移行の進行中は、バージョン レベルの不変ポリシーの管理に関連する操作は許可されません。 BLOB データに対するその他の操作は、移行中に通常どおり続行されます。

移行が完了すると、コンテナー上のポリシーのスコープは "バージョン" と表示されます。 表示されているポリシーは、コンテナーの既定のポリシーで、以降コンテナー内で作成されたすべての BLOB のバージョンに自動的に適用されます。 既定のポリシーは、そのバージョンのカスタム ポリシーを指定することで、任意のバージョンでオーバーライドできます。

PowerShell

バージョン レベルの不変ストレージをサポートするために PowerShell を使用してコンテナーを移行するには、まず、コンテナーに対してコンテナー レベルの時間ベースの保持ポリシーが存在することを確認します。 これを作成するには、Set-AzRmStorageContainerImmutabilityPolicy を呼び出します。

Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
   -StorageAccountName <storage-account> `
   -ContainerName <container> `
   -ImmutabilityPeriod <retention-interval-in-days>

次に、Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration コマンドを呼び出して、コンテナーを移行します。 コマンドを非同期的に実行するには、-AsJob パラメーターを含めます。 移行の完了には時間がかかる場合があるため、非同期に実行することをお勧めします。

$migrationOperation = Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration `
    -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account> `
    -Name <container> `
    -AsJob

実行時間の長い操作の状態を確認するには、操作の JobStateInfo.State プロパティを読みます。

$migrationOperation.JobStateInfo.State

バージョン レベルの不変性に移行しようとしたときに、コンテナーに既存の時間ベースの保持ポリシーが存在していない場合、操作は失敗します。 次の例では、JobStateInfo.State プロパティの値をチェックし、コンテナー レベルのポリシーが存在しないことが原因で操作が失敗した場合は、エラー メッセージを表示します。

if ($migrationOperation.JobStateInfo.State -eq "Failed") {
Write-Host $migrationOperation.Error
}
The container <container-name> must have an immutability policy set as a default policy
before initiating container migration to support object level immutability with versioning.

移行が完了したら、操作の Output プロパティを確認して、バージョン レベルの不変性のサポートが有効になっているか確認します。

$migrationOperation.Output

PowerShell ジョブの詳細については、PowerShell ジョブで Azure PowerShell コマンドレットを実行する方法に関するページを参照してください。

Azure CLI

バージョン レベルの不変ストレージをサポートするために Azure CLI を使用してコンテナーを移行するには、まず、コンテナーに対してコンテナー レベルの時間ベースの保持ポリシーが存在することを確認します。 作成するには、az storage container immutability-policy create を呼び出します。

az storage container immutability-policy create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --container-name <container> \
    --period <retention-interval-in-days>

次に、az storage container-rm migrate-vlw コマンドを呼び出して、コンテナーを移行します。 コマンドを非同期的に実行するには、--no-wait パラメーターを含めます。 移行の完了には時間がかかる場合があるため、非同期に実行することをお勧めします。

az storage container-rm migrate-vlw \
    --resource-group <resource-group> \
    --storage-account <storage-account> \
    --name <container> \
    --no-wait

実行時間の長い操作の状態を確認するには、migrationState プロパティの値を読みます。

az storage container-rm show \
    --storage-account <storage-account> \
    --name <container> \
    --query '[immutableStorageWithVersioning.migrationState]' \
    --output tsv

既定の時間ベースの保持ポリシーを構成する

ストレージ アカウントまたは個々のコンテナーに対してバージョン レベルの変更可能性のサポートを有効にした後は、アカウントまたはコンテナーに既定のバージョン レベルの時間ベースの保持ポリシーを指定できます。 アカウントまたはコンテナーの既定のポリシーを指定すると、そのポリシーは、アカウントまたはコンテナーで作成された新しい BLOB バージョンに既定で適用されます。 アカウントまたはコンテナー内の個々の BLOB バージョンの既定のポリシーは、オーバーライドすることができます。

既定のポリシーが、既定のポリシーが構成される前に存在していた BLOB バージョンに自動的に適用されることはありません。

バージョン レベルの不変性をサポートするために既存のコンテナーを移行した場合、移行前に有効だったコンテナー レベルのポリシーは、コンテナーの既定のバージョン レベルのポリシーに移行されます。

ストレージ アカウントまたはコンテナーの既定のバージョン レベルの不変ポリシーを構成するには、Azure portal、PowerShell、Azure CLI、または Azure Storage SDK のいずれかを使用します。 「バージョン レベルの不変性のサポートを有効にする」の説明に従って、ストレージ アカウントまたはコンテナーのバージョン レベルの不変性のサポートを有効にするようにしてください。

ポータル

Azure portal で既定のバージョン レベルの不変ポリシーをストレージ アカウントで構成するには、次の手順を実行します。

1. Azure Portal のストレージ アカウントに移動します。

2. [データ管理] で、[データ保護] を選択します。

3. [データ保護] ページで、[アクセスの制御] オプションを探します。 ストレージ アカウントがバージョン レベルの変更可能性をサポートして作成された場合は、[アクセスの制御] セクションに [ポリシーの管理] ボタンが表示されます。

   

4. [ポリシーの管理] ボタンを選択して、[バージョン レベルの変更可能性ポリシーの管理] ダイアログを表示します。

5. ストレージ アカウントの既定の時間ベースの保持ポリシーを追加します。

   

Azure portal で既定のバージョン レベルの不変ポリシーをコンテナーで構成するには、次の手順を実行します。

1. Azure portal で、 [コンテナー] ページに移動し、ポリシーを適用するコンテナーを見つけます。

2. コンテナーのコンテキスト メニューで、[アクセス ポリシー] を選びます。

3. [アクセス ポリシー] ダイアログの [不変 BLOB ストレージ] セクションで、 [ポリシーの追加] を選択します。

4. 時間ベースの保持ポリシーを選択し、保持間隔を指定します。

5. 保護された追加書き込みを許可するかどうかを選択します。

   [Append blobs] (追加 BLOB) オプションを使用すると、ワークロードが Append Block 操作を使用して、追加 BLOB の末尾に新しいデータ ブロックを追加できます。

   [ブロック BLOB と追加 BLOB] オプションは、このサポートを拡張するもので、ブロック BLOB に新しいブロックを書き込む権限が追加されます。 これをアプリケーションから直接実行する方法は、Blob Storage API には用意されていません。 ただし、アプリケーションでは、Data Lake Storage Gen2 API にある append メソッドと flush メソッドを使用してこれを実現できます。 また、このプロパティを使用すると、Azure Data Factory などの Microsoft アプリケーションが内部 API を使用してデータ ブロックを追加できます。 ワークロードがこれらのツールのいずれかに依存している場合、これらのツールが BLOB にデータを追加しようとしたときに発生する可能性のあるエラーを、このプロパティを使用して回避できます。

   これらのオプションの詳細については、「保護された追加 BLOB の書き込みを許可する」を参照してください。

   

PowerShell

PowerShell を使用してコンテナーの既定のバージョン レベルの不変ポリシーを構成するには、Set-AzRmStorageContainerImmutabilityPolicy コマンドを呼び出します。

Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
   -StorageAccountName <storage-account> `
   -ContainerName <container> `
   -ImmutabilityPeriod <retention-interval-in-days> `
   -AllowProtectedAppendWrite $true

Azure CLI

Azure CLI を使用してコンテナーの既定のバージョン レベルの不変ポリシーを構成するには、az storage container immutability-policy create コマンドを呼び出します。

az storage container immutability-policy create \
    --account-name <storage-account> \
    --container-name <container> \
    --period <retention-interval-in-days> \
    --allow-protected-append-writes true

コンテナーに対する保持ポリシーのスコープを決定する

Azure portal で時間ベースの保持ポリシーのスコープを決定するには、次の手順を実行します。

1. 目的のコンテナーに移動します。

2. コンテナーのコンテキスト メニューで、[アクセス ポリシー] を選択します。

3. [不変 BLOB ストレージ] の下で [スコープ] フィールドを見つけます。 コンテナーに既定のバージョン レベルの保持ポリシーが構成されている場合は、次の図に示すように、スコープが "バージョン" に設定されます。

   

4. コンテナーにコンテナー レベルの保持ポリシーが構成されている場合は、次の図に示すように、スコープが "コンテナー" に設定されます。

   

既存のバージョンに時間ベースの保持ポリシーを構成する

時間ベースの保持ポリシーを使用すると、指定された期間 BLOB データが WORM 状態で保持されます。 時間ベースの保持ポリシーの詳細については、「不変 BLOB データに対する時間ベースの保持ポリシー」を参照してください。

BLOB バージョンに時間ベースの保持ポリシーを構成するには、次の 3 つのオプションがあります。

• オプション 1: アカウントまたはコンテナー内のすべてのオブジェクトに適用されるストレージ アカウントまたはコンテナーの既定のポリシーを構成できます。 アカウントまたはコンテナー内のオブジェクトでは、個々の BLOB バージョンでポリシーを構成することによって明示的に既定のポリシーをオーバーライドしない限り、既定のポリシーが継承されます。 詳細については、既定の時間ベースの保持ポリシーの構成に関するページを参照してください。
• オプション 2: 現在のバージョンの BLOB でポリシーを構成できます。 既定のポリシーが存在し、ロックが解除されている場合、このポリシーは、ストレージ アカウントまたはコンテナーに構成されている既定のポリシーをオーバーライドできます。 既定では、ポリシーの構成後に作成された以前のバージョンでは、BLOB の現在のバージョンのポリシーが継承されます。 詳細については、「現在のバージョンの BLOB で保持ポリシーを構成する」を参照してください。
• オプション 3: 以前のバージョンの BLOB でポリシーを構成できます。 このポリシーは、現在のバージョンに構成されている既定のポリシー (存在していてロック解除されている場合) をオーバーライドできます。 詳細については、「以前のバージョンの BLOB で保持ポリシーを構成する」を参照してください。

BLOB のバージョン管理の詳細については、「BLOB のバージョン管理」を参照してください。

ポータル

Azure portal でコンテナーに移動すると、BLOB の一覧が表示されます。 表示される各 BLOB は、BLOB の現在のバージョンを表します。 BLOB のコンテキスト メニューを開き、[以前のバージョンの表示] を選択すると、以前のバージョンの一覧にアクセスできます。

現在のバージョンの BLOB で保持ポリシーを構成する

現在のバージョンの BLOB に時間ベースの保持ポリシーを構成するには、次の手順を実行します。

1. ターゲット BLOB が含まれているコンテナーに移動します。

2. BLOB のコンテキスト メニューで、[アクセス ポリシー] を選択します。 以前のバージョンに対して時間ベースの保持ポリシーが既に構成されている場合は、それが [アクセス ポリシー] ダイアログに表示されます。

3. [アクセス ポリシー] ダイアログの [Immutable blob versions](不変 BLOB バージョン) セクションで、 [ポリシーの追加] を選択します。

4. 時間ベースの保持ポリシーを選択し、保持間隔を指定します。

5. [OK] を選択して、このポリシーを現在のバージョンの BLOB に適用します。

   

BLOB のプロパティを表示して、現在のバージョンでポリシーが有効になっているかどうかを確認できます。 BLOB を選択し、 [概要] タブに移動して、 [Version-level immutability policy](バージョン レベルの不変ポリシー) プロパティを見つけます。 ポリシーが有効になっている場合は、 [保持期間] プロパティにポリシーの有効期限の日時が表示されます。 ポリシーは、現在のバージョンに対して構成されるか、既定のポリシーが有効な場合は BLOB の親コンテナーから継承される場合があることに注意してください。

以前のバージョンの BLOB で保持ポリシーを構成する

以前のバージョンの BLOB で時間ベースの保持ポリシーを構成することもできます。 以前のバージョンは、変更できないという点で常に不変です。 ただし、以前のバージョンは削除できます。 時間ベースの保持ポリシーが有効な間は、削除から保護されます。

以前のバージョンの BLOB に時間ベースの保持ポリシーを構成するには、次の手順を実行します。

1. ターゲット BLOB が含まれているコンテナーに移動します。

2. BLOB を選択し、 [バージョン] タブに移動します。

3. ターゲット バージョンを見つけ、バージョンのコンテキスト メニューで [アクセス ポリシー] を選択します。 以前のバージョンに対して時間ベースの保持ポリシーが既に構成されている場合は、それが [アクセス ポリシー] ダイアログに表示されます。

4. [アクセス ポリシー] ダイアログの [Immutable blob versions](不変 BLOB バージョン) セクションで、 [ポリシーの追加] を選択します。

5. 時間ベースの保持ポリシーを選択し、保持間隔を指定します。

6. [OK] を選択して、このポリシーを現在のバージョンの BLOB に適用します。

   

PowerShell

PowerShell を使用して時間ベースの保持ポリシーを BLOB バージョンに対して構成するには、Set-AzStorageBlobImmutabilityPolicy コマンドを呼び出します。

次の例は、現在のバージョンの BLOB でロック解除されたポリシーを構成する方法を示しています。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

# Get the storage account context
$ctx = (Get-AzStorageAccount `
        -ResourceGroupName <resource-group> `
        -Name <storage-account>).Context

Set-AzStorageBlobImmutabilityPolicy -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -ExpiresOn "2021-09-01T12:00:00Z" `
    -PolicyMode Unlocked

Azure CLI

Azure CLI を使用して BLOB バージョンで時間ベースの保持ポリシーを構成するには、まず Azure CLI バージョン 2.29.0 以降をインストールします。

次に、az storage blob immutability-policy set コマンドを呼び出して、時間ベースの保持ポリシーを構成します。 次の例は、現在のバージョンの BLOB でロック解除されたポリシーを構成する方法を示しています。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

az storage blob immutability-policy set \
    --expiry-time 2021-09-20T08:00:00Z \
    --policy-mode Unlocked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

BLOB のアップロード時に時間ベースの保持ポリシーを構成する

Azure portal を使用して、バージョン レベルの不変性をサポートするコンテナーに BLOB をアップロードするときに、新しい BLOB に時間ベースの保持ポリシーを構成するためのオプションがいくつかあります。

• オプション 1: コンテナーに既定の保持ポリシーが構成されている場合は、そのコンテナーのポリシーを使用して BLOB をアップロードできます。 このオプションは、コンテナーに保持ポリシーがある場合に既定で選択されます。
• オプション 2: コンテナーに既定の保持ポリシーが構成されている場合は、新しい BLOB にカスタム保持ポリシーを定義するか、ポリシーを使用せずに BLOB をアップロードすることで、既定のポリシーをオーバーライドできます。
• オプション 3: コンテナーに既定のポリシーが構成されていない場合は、カスタム ポリシーを使用するか、ポリシーを使用せずに BLOB をアップロードできます。

BLOB をアップロードするときに時間ベースの保持ポリシーを構成するには、次の手順に従います。

1. 目的のコンテナーに移動し、 [アップロード] を選択します。

2. [BLOB のアップロード] ダイアログで [詳細設定] セクションを展開します。

3. [保持ポリシー] フィールドで、新しい BLOB に時間ベースの保持ポリシーを構成します。 コンテナーに既定のポリシーが構成されている場合、そのポリシーが既定で選択されます。 BLOB にカスタム ポリシーを指定することもできます。

   

ロック解除された保持ポリシーを削除または変更する

ロック解除された時間ベースの保持ポリシーを変更して、保持間隔を短縮または延長できます。 また、ロック解除されたポリシーを削除することもできます。 ある BLOB バージョンに対するロック解除された時間ベースの保持ポリシーを編集または削除しても、他のバージョンに対して有効なポリシーには影響しません。 コンテナーに対して有効な既定の時間ベースの保持ポリシーがある場合、変更または削除されたポリシーを持つ BLOB バージョンはそのコンテナーから継承されなくなります。

ポータル

ロック解除された時間ベースの保持ポリシーを Azure portal で変更するには、次の手順に従います。

1. ターゲット コンテナーまたはバージョンを見つけます。 コンテナーまたはバージョンのコンテキスト メニューで、[アクセス ポリシー] を選択します。

2. 既存のロック解除された不変ポリシーを見つけます。 コンテキスト メニューで、メニューから [編集] を選択します。

   

3. ポリシーの有効期限の新しい日時を指定します。

ロック解除されたポリシーを削除するには、コンテキスト メニューの [削除] を選択します。

PowerShell

PowerShell を使用してロック解除された時間ベースの保持ポリシーを変更するには、ポリシーの有効期限の新しい日付と時刻を指定して、BLOB バージョンで Set-AzStorageBlobImmutabilityPolicy コマンドを呼び出します。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

$containerName = "<container>"
$blobName = "<blob>"

# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
    -Blob $blobName `
    -VersionId "2021-08-31T00:26:41.2273852Z" `
    -Context $ctx

# Extend the retention interval by five days.
$blobVersion = $blobVersion |
    Set-AzStorageBlobImmutabilityPolicy -ExpiresOn (Get-Date).AddDays(5) `

# View the new policy parameters.
$blobVersion.BlobProperties.ImmutabilityPolicy

ロック解除された保持ポリシーを削除するには、Remove-AzStorageBlobImmutabilityPolicy コマンドを呼び出します。

$blobVersion = $blobVersion | Remove-AzStorageBlobImmutabilityPolicy

Azure CLI

PowerShell を使用してロック解除された時間ベースの保持ポリシーを変更するには、ポリシーの有効期限の新しい日付と時刻を指定して、BLOB バージョンで az storage blob immutability-policy set コマンドを呼び出します。 山かっこ内のプレースホルダーは、実際の値に置き換えてください。

az storage blob immutability-policy set \
    --expiry-time 2021-10-0T18:00:00Z \
    --policy-mode Unlocked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

ロック解除された保持ポリシーを削除するには、az storage blob immutability-policy delete コマンドを呼び出します。

az storage blob immutability-policy delete \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

時間ベースの保持ポリシーをロックする

時間ベースの保持ポリシーのテストが完了したら、そのポリシーをロックできます。 ロックされたポリシーは、SEC 17a-4(f) および他の規制コンプライアンスに準拠しています。 ロックされたポリシーの保持間隔は最大 5 倍まで延長できますが、短縮することはできません。

ポリシーはロックされると、削除できません。 ただし、保持間隔の有効期限が切れた後は BLOB を削除できます。

ポータル

Azure portal でポリシーをロックするには、次の手順を実行します。

1. ターゲット コンテナーまたはバージョンを見つけます。 コンテナーまたはバージョンのコンテキスト メニューで、[アクセス ポリシー] を選択します。

2. [Immutable blob versions](不変 BLOB バージョン) セクションで、既存のロック解除されたポリシーを見つけます。 コンテキスト メニューの [ポリシーのロック] を選択します。

3. ポリシーをロックすることを確認します。

   

PowerShell

PowerShell を使用してポリシーをロックするには、Set-AzStorageBlobImmutabilityPolicy コマンドを呼び出し、PolicyMode パラメーターを Locked に設定します。

次の例では、ロックが解除されたポリシーに対して有効になっていた保持期間を指定することによって、ポリシーをロックする方法を示します。 また、ポリシーをロックするときに有効期限を変更することもできます。

# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
    -Blob $blobName `
    -VersionId "2021-08-31T00:26:41.2273852Z" `
    -Context $ctx

$blobVersion = $blobVersion |
    Set-AzStorageBlobImmutabilityPolicy `
        -ExpiresOn $blobVersion.BlobProperties.ImmutabilityPolicy.ExpiresOn `
        -PolicyMode Locked

Azure CLI

PowerShell を使用してポリシーをロックするには、az storage blob immutability-policy set コマンドを呼び出し、--policy-mode パラメーターを Locked に設定します。 また、ポリシーをロックするときに有効期限を変更することもできます。

az storage blob immutability-policy set \
    --expiry-time 2021-10-0T18:00:00Z \
    --policy-mode Locked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

訴訟ホールドを構成またはクリアする

訴訟ホールドは、訴訟ホールドが明示的にクリアされるまで、不変データを格納します。 訴訟ホールド ポリシーの詳細については、「不変 BLOB データの訴訟ホールド」を参照してください。

BLOB のバージョンに対して訴訟ホールドを構成するには、まず、ストレージ アカウントまたはコンテナーでバージョンレベルの不変性のサポートを有効にする必要があります。 詳細については、「バージョンレベルの不変性のサポートを有効にする」を参照してください。

ポータル

Azure portal を使用して BLOB バージョンの訴訟ホールドを構成するには、次の手順に従います。

1. ターゲット バージョンを見つけます。これは、現在のバージョンまたは BLOB の以前のバージョンである可能性があります。 ターゲット バージョンのコンテキスト メニューで、[アクセス ポリシー] を選択します。

2. [Immutable blob versions](不変 BLOB バージョン) セクションで、 [ポリシーの追加] を選択します。

3. ポリシーの種類として [訴訟ホールド] を選択して、 [OK] を選択します。

次の図は、時間ベースの保持ポリシーと訴訟ホールドの両方が構成された BLOB の現在のバージョンを示しています。

訴訟ホールドをクリアするには、[アクセス ポリシー] ダイアログに移動し、コンテキスト メニューの [削除] を選択します。

PowerShell

PowerShell を使用して BLOB バージョンの訴訟ホールドを構成またはクリアするには、Set-AzStorageBlobLegalHold コマンドを呼び出します。

# Set a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -EnableLegalHold

# Clear a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -DisableLegalHold

Azure CLI

Azure CLI を使用して BLOB バージョンの訴訟ホールドを構成またはクリアするには、az storage blob set-legal-hold コマンドを呼び出します。

# Set a legal hold
az storage blob set-legal-hold \
    --legal-hold \
    --container <container> \
    --name <blob-version> \
    --account-name <account-name> \
    --auth-mode login

# Clear a legal hold
az storage blob set-legal-hold \
    --legal-hold false \
    --container <container> \
    --name <blob-version> \
    --account-name <account-name> \
    --auth-mode login

次のステップ

• 不変ストレージを使用してビジネスに不可欠な BLOB データを保存する
• 不変 BLOB データに対する時間ベースの保持ポリシー
• 不変 BLOB データに対する法的な保持