Onveranderbaarheidsbeleid configureren voor containers
Artikel
Met de onveranderbare opslag voor Azure Blob Storage kunnen gebruikers bedrijfskritieke gegevens in een WORM-status (Write Once Read Many) opslaan. In een WORM-status kunnen gegevens niet worden gewijzigd of verwijderd gedurende een door de gebruiker opgegeven interval. Door onveranderbaarheidsbeleid voor blobgegevens te configureren, kunt u uw gegevens beschermen tegen overschrijven en verwijderen. Onveranderbaarheidsbeleid omvat bewaarbeleid op basis van tijd en juridische bewaring. Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie over onveranderbaarheidsbeleid voor Blob Storage.
Een beleid voor onveranderbaarheid kan worden beperkt tot een afzonderlijke blobversie of een container. In dit artikel wordt beschreven hoe u een beleid voor onveranderbaarheid op containerniveau configureert. Zie Onveranderbaarheidsbeleid op versieniveau configureren voor blobversies voor meer informatie over het configureren van beleid voor onveranderbaarheid.
Notitie
Beleid voor onveranderbaarheid wordt niet ondersteund in accounts waarvoor het NFS-protocol (Network File System) 3.0 of het SSH File Transfer Protocol (SFTP) is ingeschakeld.
Een bewaarbeleid voor een container configureren
Als u een bewaarbeleid op basis van tijd wilt configureren voor een container, gebruikt u Azure Portal, PowerShell of Azure CLI. U kunt een bewaarbeleid op containerniveau tussen 1 en 146000 dagen configureren.
Als u een bewaarbeleid op basis van tijd wilt configureren voor een container met Azure Portal, voert u de volgende stappen uit:
Navigeer naar de gewenste container.
Selecteer de knop Meer aan de rechterkant en selecteer vervolgens Toegangsbeleid.
Selecteer Beleid toevoegen in de sectie Onveranderbare blobopslag.
Selecteer in het veld Beleidstype de optie Retentie op basis van tijd en geef de bewaarperiode in dagen op.
Als u een beleid met containerbereik wilt maken, schakelt u het selectievakje voor onveranderbaarheid op versieniveau inschakelen niet in.
Kies of u beveiligde toevoegschrijfbewerkingen wilt toestaan.
Met de optie Toevoeg-blobs kunnen uw workloads nieuwe gegevensblokken toevoegen aan het einde van een toevoeg-blob met behulp van de bewerking Toevoegblok .
De optie Blok- en toevoeg-blobs biedt dezelfde machtigingen als de optie Toevoeg-blobs , maar voegt de mogelijkheid toe om nieuwe blokken naar een blok-blob te schrijven. De Blob Storage-API biedt geen manier waarop toepassingen dit rechtstreeks kunnen doen. Toepassingen kunnen dit echter doen met behulp van toevoeg- en spoelmethoden die beschikbaar zijn in de Data Lake Storage Gen2-API. Sommige Microsoft-toepassingen gebruiken ook interne API's om blok-blobs te maken en er vervolgens aan toe te voegen. Als uw workloads afhankelijk zijn van een van deze hulpprogramma's, kunt u deze eigenschap gebruiken om fouten te voorkomen die kunnen optreden wanneer deze hulpprogramma's proberen blokken toe te voegen aan een blok-blob.
Zie Schrijfbewerkingen voor beveiligde toevoeg-blobs toestaan voor meer informatie over deze opties.
Nadat u het beleid voor onveranderbaarheid hebt geconfigureerd, ziet u dat het bereik van het beleid voor de container is:
Als u een bewaarbeleid op basis van tijd wilt configureren voor een container met PowerShell, roept u de opdracht Set-AzRmStorageContainerImmutabilityPolicy aan en geeft u het retentie-interval in dagen op. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
Als u beveiligde toevoegschrijfbewerkingen wilt toestaan, stelt u de -AllowProtectedAppendWrite of -AllowProtectedAppendWriteAll parameter in op true.
Met de optie AllowProtectedAppendWrite kunnen uw workloads nieuwe gegevensblokken toevoegen aan het einde van een toevoeg-blob met behulp van de bewerking Toevoegblok .
De optie AllowProtectedAppendWriteAll biedt u dezelfde machtigingen als de optie AllowProtectedAppendWrite , maar voegt de mogelijkheid toe om nieuwe blokken naar een blok-blob te schrijven. De Blob Storage-API biedt geen manier waarop toepassingen dit rechtstreeks kunnen doen. Toepassingen kunnen dit echter doen met behulp van toevoeg- en spoelmethoden die beschikbaar zijn in de Data Lake Storage Gen2-API. Sommige Microsoft-toepassingen gebruiken ook interne API's om blok-blobs te maken en er vervolgens aan toe te voegen. Als uw workloads afhankelijk zijn van een van deze hulpprogramma's, kunt u deze eigenschap gebruiken om fouten te voorkomen die kunnen optreden wanneer deze hulpprogramma's proberen blokken toe te voegen aan een blok-blob.
Zie Schrijfbewerkingen voor beveiligde toevoeg-blobs toestaan voor meer informatie over deze opties.
Als u een bewaarbeleid op basis van tijd wilt configureren voor een container met Azure CLI, roept u de opdracht az storage container immutability-policy create aan, waardoor het retentie-interval in dagen wordt opgegeven. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
Als u beveiligde toevoegschrijfbewerkingen wilt toestaan, stelt u de --allow-protected-append-writes of --allow-protected-append-writes-all parameter in op true.
Met de optie --allow-protected-append-writes kunnen uw workloads nieuwe gegevensblokken toevoegen aan het einde van een toevoeg-blob met behulp van de bewerking Toevoegblok .
De optie --allow-protected-append-writes-all biedt dezelfde machtigingen als de optie --allow-protected-append-writes , maar voegt de mogelijkheid toe om nieuwe blokken naar een blok-blob te schrijven. De Blob Storage-API biedt geen manier waarop toepassingen dit rechtstreeks kunnen doen. Toepassingen kunnen dit echter doen met behulp van toevoeg- en spoelmethoden die beschikbaar zijn in de Data Lake Storage Gen2-API. Sommige Microsoft-toepassingen gebruiken ook interne API's om blok-blobs te maken en er vervolgens aan toe te voegen. Als uw workloads afhankelijk zijn van een van deze hulpprogramma's, kunt u deze eigenschap gebruiken om fouten te voorkomen die kunnen optreden wanneer deze hulpprogramma's proberen blokken toe te voegen aan een blok-blob.
Zie Schrijfbewerkingen voor beveiligde toevoeg-blobs toestaan voor meer informatie over deze opties.
Een ontgrendeld bewaarbeleid wijzigen
U kunt een ontgrendeld bewaarbeleid op basis van tijd wijzigen om het bewaarinterval te verkorten of te verkorten en extra schrijfbewerkingen toe te staan om blobs toe te voegen aan de container. U kunt ook een ontgrendeld beleid verwijderen.
Voer de volgende stappen uit om een ontgrendeld bewaarbeleid op basis van tijd te wijzigen in Azure Portal:
Navigeer naar de gewenste container.
Selecteer de knop Meer en kies Toegangsbeleid.
Zoek in de sectie Onveranderbare blobversies het bestaande ontgrendelde beleid. Selecteer de knop Meer en selecteer Vervolgens Bewerken in het menu.
Geef een nieuw bewaarinterval op voor het beleid. U kunt ook extra beveiligde toevoegbewerkingen toestaan om schrijfbewerkingen naar beveiligde toevoeg-blobs toe te staan.
Als u een ontgrendeld beleid wilt verwijderen, selecteert u de knop Meer en vervolgens Verwijderen.
Notitie
U kunt beleid voor onveranderbaarheid op versieniveau inschakelen door het selectievakje Onveranderbaarheid op versieniveau inschakelen in te schakelen. Zie Onveranderbaarheidsbeleid op versieniveau configureren voor blobversies voor meer informatie over het inschakelen van beleid voor onveranderbaarheid op versieniveau.
Als u een ontgrendeld beleid wilt wijzigen, moet u eerst het beleid ophalen door de opdracht Get-AzRmStorageContainerImmutabilityPolicy aan te roepen. Roep vervolgens de opdracht Set-AzRmStorageContainerImmutabilityPolicy aan om het beleid bij te werken. Neem het nieuwe bewaarinterval op in dagen en de -ExtendPolicy parameter. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
Als u een ontgrendeld retentiebeleid op basis van tijd wilt wijzigen met Azure CLI, roept u de opdracht az storage container immutability-policy extend aan, waardoor het nieuwe retentie-interval in dagen wordt geboden. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
Wanneer u klaar bent met het testen van een bewaarbeleid op basis van tijd, kunt u het beleid vergrendelen. Een vergrendeld beleid voldoet aan SEC 17a-4(f) en andere naleving van regelgeving. U kunt het bewaarinterval voor een vergrendeld beleid maximaal vijf keer verkorten, maar u kunt het niet verkorten.
Nadat een beleid is vergrendeld, kunt u het niet verwijderen. U kunt de blob echter verwijderen nadat het bewaarinterval is verlopen.
Voer de volgende stappen uit om een beleid te vergrendelen met Azure Portal:
Navigeer naar een container met een ontgrendeld beleid.
Zoek in de sectie Onveranderbare blobversies het bestaande ontgrendelde beleid. Selecteer de knop Meer en selecteer vervolgens Beleid vergrendelen in het menu.
In een juridische bewaring worden onveranderbare gegevens opgeslagen totdat de juridische bewaring expliciet wordt gewist. Zie Juridische bewaringen voor onveranderbare blobgegevens voor meer informatie over beleidsregels voor juridische bewaring.
Voer de volgende stappen uit om een juridische bewaring voor een container te configureren met Azure Portal:
Navigeer naar de gewenste container.
Selecteer de knop Meer en kies Toegangsbeleid.
Selecteer Beleid toevoegen in de sectie Onveranderbare blobversies.
Kies Juridische bewaring als het beleidstype.
Voeg een of meer juridische bewaringstags toe.
Kies of u beveiligde toevoegschrijfbewerkingen wilt toestaan en selecteer Opslaan.
Met de optie Toevoeg-blobs kunnen uw workloads nieuwe gegevensblokken toevoegen aan het einde van een toevoeg-blob met behulp van de bewerking Toevoegblok .
Met deze instelling kunt u ook nieuwe blokken schrijven naar een blok-blob. De Blob Storage-API biedt geen manier waarop toepassingen dit rechtstreeks kunnen doen. Toepassingen kunnen dit echter doen met behulp van toevoeg- en spoelmethoden die beschikbaar zijn in de Data Lake Storage Gen2-API. Met deze eigenschap kunnen Microsoft-toepassingen zoals Azure Data Factory ook blokken gegevens toevoegen met behulp van interne API's. Als uw workloads afhankelijk zijn van een van deze hulpprogramma's, kunt u deze eigenschap gebruiken om fouten te voorkomen die kunnen optreden wanneer deze hulpprogramma's proberen gegevens toe te voegen aan blobs.
Zie Schrijfbewerkingen voor beveiligde toevoeg-blobs toestaan voor meer informatie over deze opties.
Nadat u het beleid voor onveranderbaarheid hebt geconfigureerd, ziet u dat het bereik van het beleid voor de container is:
In de volgende afbeelding ziet u een container met een bewaarbeleid op basis van tijd en juridische bewaring geconfigureerd.
Als u een juridische bewaring wilt wissen, gaat u naar het dialoogvenster Toegangsbeleid , selecteert u de knop Meer en kiest u Verwijderen.
Als u een juridische bewaring wilt configureren voor een container met PowerShell, roept u de opdracht Add-AzRmStorageContainerLegalHold aan. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
Als u een juridische bewaring wilt configureren voor een container met PowerShell, roept u de opdracht az storage container legal-hold set aan. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
