Onveranderbaarheidsbeleid configureren voor blobversies

Artikel
11/22/2023

Met de onveranderbare opslag voor Azure Blob Storage kunnen gebruikers bedrijfskritieke gegevens in een WORM-status (Write Once Read Many) opslaan. In een WORM-status kunnen gegevens niet worden gewijzigd of verwijderd voor een door de gebruiker opgegeven interval. Door onveranderbaarheidsbeleid voor blobgegevens te configureren, kunt u uw gegevens beschermen tegen overschrijven en verwijderen. Onveranderbaarheidsbeleid omvat bewaarbeleid op basis van tijd en juridische bewaring. Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie over onveranderbaarheidsbeleid voor Blob Storage.

Een beleid voor onveranderbaarheid kan worden beperkt tot een afzonderlijke blobversie of een container. In dit artikel wordt beschreven hoe u een beleid voor onveranderbaarheid op versieniveau configureert. Zie Beleid voor onveranderbaarheid op containerniveau configureren voor containers voor meer informatie over het configureren van beleid voor onveranderbaarheid.

Notitie

Beleid voor onveranderbaarheid wordt niet ondersteund in accounts waarvoor het NFS-protocol (Network File System) 3.0 of het SSH File Transfer Protocol (SFTP) is ingeschakeld.

Het configureren van een beleid voor onveranderbaarheid op versieniveau is een proces in twee stappen:

Schakel eerst ondersteuning in voor onveranderbaarheid op versieniveau voor een nieuw opslagaccount of op een nieuwe of bestaande container. Zie Ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor meer informatie.
Configureer vervolgens een bewaarbeleid op basis van tijd of juridische bewaring dat van toepassing is op een of meer blobversies in die container.

Vereisten

Als u bewaarbeleid op tijdbasis op versieniveau wilt configureren, moet blobversiebeheer zijn ingeschakeld voor het opslagaccount. Houd er rekening mee dat het inschakelen van blobversiebeheer mogelijk een factureringseffect heeft. Zie Blob-versiebeheer inschakelen en beheren voor meer informatie over het inschakelen van blobversiebeheer.

Zie WORM-beleid op versieniveau voor onveranderbare blobgegevens voor informatie over ondersteunde opslagaccountconfiguraties voor onveranderbaar WORM-beleid op versieniveau.

Ondersteuning inschakelen voor onveranderbaarheid op versieniveau

Voordat u een bewaarbeleid op basis van tijd kunt toepassen op een blobversie, moet u ondersteuning voor onveranderbaarheid op versieniveau inschakelen. U kunt ondersteuning inschakelen voor onveranderbaarheid op versieniveau in een nieuw opslagaccount of op een nieuwe of bestaande container.

Ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor een opslagaccount

U kunt ondersteuning voor onveranderbaarheid op versieniveau alleen inschakelen wanneer u een nieuw opslagaccount maakt.

Voer de volgende stappen uit om ondersteuning in te schakelen voor onveranderbaarheid op versieniveau wanneer u een opslagaccount in Azure Portal maakt:

Navigeer naar de pagina Opslagaccounts in Azure Portal.
Selecteer de knop Maken om een nieuw account te maken.
Vul het tabblad Basisbeginselen in.
Selecteer op het tabblad Gegevensbeveiliging onder Toegangsbeheer de optie Onveranderbaarheid op versieniveau inschakelen. Wanneer u dit selectievakje inschakelt, wordt het selectievakje voor versiebeheer inschakelen voor blobs ook automatisch ingeschakeld.
Selecteer Beoordelen en maken om de accountparameters te valideren en het opslagaccount te maken.

Nadat het opslagaccount is gemaakt, kunt u een standaardbeleid op versieniveau voor het account configureren. Zie Een standaard bewaarbeleid op basis van tijd configureren voor meer informatie.

Als u ondersteuning wilt inschakelen voor onveranderbaarheid op versieniveau wanneer u een opslagaccount maakt met Azure CLI, roept u de opdracht az storage account create aan met de --enable-alw opgegeven parameter. U kunt desgewenst tegelijkertijd een standaardbeleid voor het opslagaccount opgeven, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --enable-alw \
    --immutability-period-in-days 90 \
    --immutability-state unlocked \
    --allow-protected-append-writes true

Als ondersteuning voor onveranderbaarheid op versieniveau is ingeschakeld voor het opslagaccount en het account een of meer containers bevat, moet u alle containers verwijderen voordat u het opslagaccount verwijdert, zelfs als er geen onveranderbaarheidsbeleid van kracht is voor het account of de containers.

Notitie

Onveranderbaarheid op versieniveau kan niet worden uitgeschakeld nadat deze is ingeschakeld voor het opslagaccount, hoewel vergrendelde beleidsregels kunnen worden verwijderd.

Ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor een container

Zowel nieuwe als bestaande containers kunnen worden geconfigureerd ter ondersteuning van onveranderbaarheid op versieniveau. Een bestaande container moet echter een migratieproces ondergaan om ondersteuning in te schakelen.

Houd er rekening mee dat het inschakelen van ondersteuning voor onveranderbaarheid op versieniveau voor een container geen gegevens in die container onveranderbaar maakt. U moet ook een standaardbeleid voor onveranderbaarheid configureren voor de container of een beleid voor onveranderbaarheid voor een specifieke blobversie. Als u onveranderbaarheid op versieniveau hebt ingeschakeld voor het opslagaccount toen het werd gemaakt, kunt u ook een standaardbeleid voor onveranderbaarheid voor het account configureren.

Onveranderbaarheid op versieniveau inschakelen voor een nieuwe container

Als u een beleid voor onveranderbaarheid op versieniveau wilt gebruiken, moet u eerst expliciet ondersteuning inschakelen voor WORM op versieniveau in de container. U kunt ondersteuning inschakelen voor WORM op versieniveau wanneer u de container maakt of wanneer u een beleid voor onveranderbaarheid op versieniveau toevoegt aan een bestaande container.

Als u een container wilt maken die onveranderbaarheid op versieniveau in Azure Portal ondersteunt, voert u de volgende stappen uit:

Navigeer naar de pagina Containers voor uw opslagaccount in Azure Portal en selecteer Toevoegen.
Geef in het dialoogvenster Nieuwe container een naam op voor uw container en vouw vervolgens de sectie Geavanceerd uit.
Selecteer Ondersteuning voor onveranderbaarheid op versieniveau inschakelen om onveranderbaarheid op versieniveau in te schakelen voor de container.

Als u een container wilt maken die onveranderbaarheid op versieniveau ondersteunt met PowerShell, installeert u eerst de Az.Storage-module, versie 3.12.0 of hoger.

Roep vervolgens de opdracht New-AzRmStorageContainer aan met de -EnableImmutableStorageWithVersioning parameter, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

# Create a container with version-level immutability support.
$container = New-AzRmStorageContainer -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account> `
    -Name <container> `
    -EnableImmutableStorageWithVersioning

# Verify that version-level immutability support is enabled for the container
$container.ImmutableStorageWithVersioning

Als u een container wilt maken die onveranderbaarheid op versieniveau ondersteunt met Azure CLI, installeert u eerst Azure CLI versie 2.27 of hoger. Zie De Azure CLI installeren voor meer informatie over het installeren van Azure CLI.

Roep vervolgens de opdracht az storage container-rm create aan en geef de --enable-vlw parameter op. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

# Create a container with version-level immutability support.
az storage container-rm create \
    --name <container> \
    --storage-account <storage-account> \
    --resource-group <resource-group> \
    --enable-vlw

# Verify that version-level immutability support is enabled for the container
az storage container-rm show \
    --storage-account <storage-account> \
    --name <container> \
    --query '[immutableStorageWithVersioning.enabled]' \
    --output tsv

Als ondersteuning voor onveranderbaarheid op versieniveau is ingeschakeld voor een container en de container een of meer blobs bevat, moet u alle blobs in de container verwijderen voordat u de container kunt verwijderen, zelfs als er geen onveranderbaarheidsbeleid van kracht is voor de container of de bijbehorende blobs.

Een bestaande container migreren ter ondersteuning van onveranderbaarheid op versieniveau

Als u beleid voor onveranderbaarheid op versieniveau voor een bestaande container wilt configureren, moet u de container migreren om onveranderbare opslag op versieniveau te ondersteunen. Containermigratie kan enige tijd duren en kan niet worden omgekeerd. U kunt 10 containers tegelijk per opslagaccount migreren.

Als u een bestaande container wilt migreren ter ondersteuning van beleid voor onveranderbaarheid op versieniveau, moet voor de container een bewaarbeleid op basis van tijd op containerniveau zijn geconfigureerd. De migratie mislukt, tenzij de container een bestaand beleid heeft. Het bewaarinterval voor het beleid op containerniveau wordt gehandhaafd als het bewaarinterval voor het standaardbeleid op versieniveau van de container.

Als de container een bestaande juridische bewaring op containerniveau heeft, kan deze pas worden gemigreerd als de juridische bewaring is verwijderd.

Als u een container wilt migreren ter ondersteuning van beleid voor onveranderbaarheid op versieniveau in Azure Portal, voert u de volgende stappen uit:

Navigeer naar de gewenste container.
Selecteer vervolgens toegangsbeleid in het contextmenu van de container.
Selecteer beleid toevoegen onder Onveranderbare blobopslag.
Kies voor het veld Beleidstype de optie Retentie op basis van tijd en geef het bewaarinterval op.
Selecteer Onveranderbaarheid op versieniveau inschakelen.
Selecteer OK om een beleid op containerniveau te maken met het opgegeven bewaarinterval en begin vervolgens met de migratie naar onveranderbaarheidsondersteuning op versieniveau.

Terwijl de migratiebewerking wordt uitgevoerd, wordt het bereik van het beleid in de container weergegeven als Container. Bewerkingen met betrekking tot het beheren van beleid voor onveranderbaarheid op versieniveau zijn niet toegestaan terwijl de containermigratie wordt uitgevoerd. Andere bewerkingen op blobgegevens worden normaal uitgevoerd tijdens de migratie.

Schermopname van containermigratie in proces

Nadat de migratie is voltooid, wordt het bereik van het beleid in de container weergegeven als Versie. Het weergegeven beleid is een standaardbeleid voor de container die automatisch van toepassing is op alle blobversies die vervolgens in de container zijn gemaakt. Het standaardbeleid kan worden overschreven voor elke versie door een aangepast beleid voor die versie op te geven.

Schermopname van voltooide containermigratie

Als u een container wilt migreren ter ondersteuning van onveranderbare opslag op versieniveau met PowerShell, moet u eerst controleren of er een bewaarbeleid op basis van tijd op containerniveau bestaat voor de container. Als u er een wilt maken, roept u Set-AzRmStorageContainerImmutabilityPolicy aan.

Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
   -StorageAccountName <storage-account> `
   -ContainerName <container> `
   -ImmutabilityPeriod <retention-interval-in-days>

Roep vervolgens de opdracht Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration aan om de container te migreren. Neem de -AsJob parameter op om de opdracht asynchroon uit te voeren. Het asynchroon uitvoeren van de bewerking wordt aanbevolen, omdat het enige tijd kan duren voordat de migratie is voltooid.

$migrationOperation = Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration `
    -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account> `
    -Name <container> `
    -AsJob

Lees de eigenschap JobStateInfo.State van de bewerking om de status van de langdurige bewerking te controleren.

$migrationOperation.JobStateInfo.State

Als de container geen bestaand bewaarbeleid op basis van tijd heeft wanneer u probeert te migreren naar onveranderbaarheid op versieniveau, mislukt de bewerking. In het volgende voorbeeld wordt de waarde van de eigenschap JobStateInfo.State gecontroleerd en wordt het foutbericht weergegeven als de bewerking is mislukt omdat het beleid op containerniveau niet bestaat.

if ($migrationOperation.JobStateInfo.State -eq "Failed") {
Write-Host $migrationOperation.Error
}
The container <container-name> must have an immutability policy set as a default policy
before initiating container migration to support object level immutability with versioning.

Nadat de migratie is voltooid, controleert u de uitvoereigenschap van de bewerking om te zien dat ondersteuning voor onveranderbaarheid op versieniveau is ingeschakeld.

$migrationOperation.Output

Zie Azure PowerShell-cmdlets uitvoeren in PowerShell-taken voor meer informatie over PowerShell-taken.

Als u een container wilt migreren ter ondersteuning van onveranderbare opslag op versieniveau met Azure CLI, moet u eerst controleren of er een bewaarbeleid op basis van tijd op containerniveau bestaat voor de container. Als u er een wilt maken, roept u az storage container immutability-policy create aan.

az storage container immutability-policy create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --container-name <container> \
    --period <retention-interval-in-days>

Roep vervolgens de opdracht az storage container-rm migrate-vlw aan om de container te migreren. Neem de --no-wait parameter op om de opdracht asynchroon uit te voeren. Het asynchroon uitvoeren van de bewerking wordt aanbevolen, omdat het enige tijd kan duren voordat de migratie is voltooid.

az storage container-rm migrate-vlw \
    --resource-group <resource-group> \
    --storage-account <storage-account> \
    --name <container> \
    --no-wait

Lees de waarde van de eigenschap migrationState om de status van de langdurige bewerking te controleren.

az storage container-rm show \
    --storage-account <storage-account> \
    --name <container> \
    --query '[immutableStorageWithVersioning.migrationState]' \
    --output tsv

Een standaard bewaarbeleid op basis van tijd configureren

Nadat u ondersteuning voor onveranderbaarheid op versieniveau hebt ingeschakeld voor een opslagaccount of voor een afzonderlijke container, kunt u een standaard bewaarbeleid op versieniveau opgeven voor het account of de container. Wanneer u een standaardbeleid opgeeft voor een account of container, is dat beleid standaard van toepassing op alle nieuwe blobversies die zijn gemaakt in het account of de container. U kunt het standaardbeleid voor elke afzonderlijke blobversie in het account of de container overschrijven.

Het standaardbeleid wordt niet automatisch toegepast op blobversies die bestonden voordat het standaardbeleid werd geconfigureerd.

Als u een bestaande container hebt gemigreerd ter ondersteuning van onveranderbaarheid op versieniveau, wordt het beleid op containerniveau dat van kracht was voordat de migratie wordt gemigreerd naar een standaardbeleid op versieniveau voor de container.

Als u een standaardbeleid voor onveranderbaarheid op versieniveau voor een opslagaccount of container wilt configureren, gebruikt u Azure Portal, PowerShell, Azure CLI of een van de Azure Storage SDK's. Zorg ervoor dat u ondersteuning hebt ingeschakeld voor onveranderbaarheid op versieniveau voor het opslagaccount of de container, zoals wordt beschreven in Ondersteuning op versieniveau voor onveranderbaarheid op versieniveau inschakelen.

Als u een standaardbeleid voor onveranderbaarheid op versieniveau wilt configureren voor een opslagaccount in Azure Portal, voert u de volgende stappen uit:

Ga in Azure Portal naar uw opslagaccount.
Selecteer Onder Gegevensbeheer de optie Gegevensbeveiliging.
Zoek op de pagina Gegevensbeveiliging de sectie Toegangsbeheer . Als het opslagaccount is gemaakt met ondersteuning voor onveranderbaarheid op versieniveau, wordt de knop Beleid beheren weergegeven in de sectie Toegangsbeheer .
Selecteer de knop Beleid beheren om het dialoogvenster Onveranderbaarheidsbeleid op versieniveau beheren weer te geven .
Voeg een standaard bewaarbeleid op basis van tijd toe voor het opslagaccount.

Als u een standaardbeleid voor onveranderbaarheid op versieniveau voor een container in Azure Portal wilt configureren, voert u de volgende stappen uit:

Navigeer in Azure Portal naar de pagina Containers en zoek de container waarop u het beleid wilt toepassen.
Kies toegangsbeleid in het contextmenu van de container.
Kies Beleid toevoegen in het dialoogvenster Toegangsbeleid onder de sectie Onveranderbare blobopslag.
Selecteer Bewaarbeleid op basis van tijd en geef het bewaarinterval op.
Kies of u beveiligde toevoegschrijfbewerkingen wilt toestaan.

Met de optie Toevoeg-blobs kunnen uw workloads nieuwe gegevensblokken toevoegen aan het einde van een toevoeg-blob met behulp van de bewerking Toevoegblok .

De optie Blok- en toevoeg-blobs breidt deze ondersteuning uit door de mogelijkheid om nieuwe blokken naar een blok-blob te schrijven. De Blob Storage-API biedt geen manier waarop toepassingen dit rechtstreeks kunnen doen. Toepassingen kunnen dit echter doen met behulp van toevoeg- en spoelmethoden die beschikbaar zijn in de Data Lake Storage Gen2-API. Met deze eigenschap kunnen Microsoft-toepassingen zoals Azure Data Factory ook blokken gegevens toevoegen met behulp van interne API's. Als uw workloads afhankelijk zijn van een van deze hulpprogramma's, kunt u deze eigenschap gebruiken om fouten te voorkomen die kunnen optreden wanneer deze hulpprogramma's proberen gegevens toe te voegen aan blobs.

Zie Schrijfbewerkingen voor beveiligde toevoeg-blobs toestaan voor meer informatie over deze opties.

Als u een standaardbeleid voor onveranderbaarheid op versieniveau wilt configureren voor een container met PowerShell, roept u de opdracht Set-AzRmStorageContainerImmutabilityPolicy aan .

Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
   -StorageAccountName <storage-account> `
   -ContainerName <container> `
   -ImmutabilityPeriod <retention-interval-in-days> `
   -AllowProtectedAppendWrite $true

Als u een standaardbeleid voor onveranderbaarheid op versieniveau wilt configureren voor een container met Azure CLI, roept u de opdracht az storage container immutability-policy create aan .

az storage container immutability-policy create \
    --account-name <storage-account> \
    --container-name <container> \
    --period <retention-interval-in-days> \
    --allow-protected-append-writes true

Het bereik van een bewaarbeleid voor een container bepalen

Voer de volgende stappen uit om het bereik van een bewaarbeleid op basis van tijd in Azure Portal te bepalen:

Navigeer naar de gewenste container.
Selecteer vervolgens toegangsbeleid in het contextmenu van de container.
Zoek onder Onveranderbare blobopslag het veld Bereik . Als de container is geconfigureerd met een standaard bewaarbeleid op versieniveau, wordt het bereik ingesteld op Versie, zoals wordt weergegeven in de volgende afbeelding:
Als de container is geconfigureerd met een bewaarbeleid op containerniveau, wordt het bereik ingesteld op Container, zoals wordt weergegeven in de volgende afbeelding:

Een bewaarbeleid op basis van tijd configureren voor een bestaande versie

Bewaarbeleid op basis van tijd onderhoudt blobgegevens in een WORM-status voor een bepaald interval. Zie Bewaarbeleid op basis van tijd voor onveranderbare blobgegevens voor meer informatie over bewaarbeleid op basis van tijd.

U hebt drie opties voor het configureren van een bewaarbeleid op basis van tijd voor een blobversie:

Optie 1: U kunt een standaardbeleid configureren voor het opslagaccount of de container die van toepassing is op alle objecten in het account of de container. Objecten in het account of de container nemen het standaardbeleid over, tenzij u dit expliciet overschrijft door een beleid voor een afzonderlijke blobversie te configureren. Zie Een standaard bewaarbeleid op basis van tijd configureren voor meer informatie.
Optie 2: U kunt een beleid configureren voor de huidige versie van de blob. Met dit beleid kan een standaardbeleid worden overschreven dat is geconfigureerd voor het opslagaccount of de container, als er een standaardbeleid bestaat en het beleid is ontgrendeld. Eerdere versies die worden gemaakt nadat het beleid is geconfigureerd, nemen standaard het beleid over op de huidige versie van de blob. Zie Een bewaarbeleid configureren voor de huidige versie van een blob voor meer informatie.
Optie 3: U kunt een beleid configureren voor een eerdere versie van een blob. Met dit beleid kan een standaardbeleid worden overschreven dat is geconfigureerd voor de huidige versie, als deze bestaat en het is ontgrendeld. Zie Een bewaarbeleid configureren voor een eerdere versie van een blob voor meer informatie.

Zie Blob-versiebeheer voor meer informatie over blobversiebeheer.

In Azure Portal wordt een lijst met blobs weergegeven wanneer u naar een container navigeert. Elke weergegeven blob vertegenwoordigt de huidige versie van de blob. U kunt een lijst met eerdere versies openen door het contextmenu van de blob te openen en vervolgens vorige versies weergeven te kiezen.

Een bewaarbeleid configureren voor de huidige versie van een blob

Voer de volgende stappen uit om een bewaarbeleid op basis van tijd te configureren voor de huidige versie van een blob:

Navigeer naar de container die de doel-blob bevat.
Kies toegangsbeleid in het contextmenu van de blob. Als een bewaarbeleid op basis van tijd al is geconfigureerd voor de vorige versie, wordt dit weergegeven in het dialoogvenster Toegangsbeleid .
Kies Beleid toevoegen in het dialoogvenster Access-beleid onder de sectie Onveranderbare blobversies.
Selecteer Bewaarbeleid op basis van tijd en geef het bewaarinterval op.
Selecteer OK om het beleid toe te passen op de huidige versie van de blob.

U kunt de eigenschappen voor een blob bekijken om te zien of een beleid is ingeschakeld voor de huidige versie. Selecteer de blob en navigeer naar het tabblad Overzicht en zoek de eigenschap Onveranderbaarheidsbeleid op versieniveau. Als een beleid is ingeschakeld, wordt in de eigenschap Bewaarperiode de vervaldatum en -tijd voor het beleid weergegeven. Houd er rekening mee dat een beleid kan worden geconfigureerd voor de huidige versie of kan worden overgenomen van de bovenliggende container van de blob als een standaardbeleid van kracht is.

Schermopname van onveranderbaarheidsbeleidseigenschappen in blobversie in Azure Portal

Een bewaarbeleid configureren voor een eerdere versie van een blob

U kunt ook een bewaarbeleid op basis van tijd configureren voor een eerdere versie van een blob. Een vorige versie is altijd onveranderbaar omdat deze niet kan worden gewijzigd. Een eerdere versie kan echter worden verwijderd. Een bewaarbeleid op basis van tijd beschermt tegen verwijdering terwijl dit van kracht is.

Voer de volgende stappen uit om een bewaarbeleid op basis van tijd te configureren voor een eerdere versie van een blob:

Navigeer naar de container die de doel-blob bevat.
Selecteer de blob en navigeer naar het tabblad Versies .
Zoek de doelversie en kies vervolgens in het contextmenu van de versie toegangsbeleid. Als een bewaarbeleid op basis van tijd al is geconfigureerd voor de vorige versie, wordt dit weergegeven in het dialoogvenster Toegangsbeleid .
Kies Beleid toevoegen in het dialoogvenster Access-beleid onder de sectie Onveranderbare blobversies.
Selecteer Bewaarbeleid op basis van tijd en geef het bewaarinterval op.
Selecteer OK om het beleid toe te passen op de huidige versie van de blob.

Als u een bewaarbeleid op basis van tijd wilt configureren voor een blobversie met PowerShell, roept u de opdracht Set-AzStorageBlobImmutabilityPolicy aan .

In het volgende voorbeeld ziet u hoe u een ontgrendeld beleid configureert voor de huidige versie van een blob. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

# Get the storage account context
$ctx = (Get-AzStorageAccount `
        -ResourceGroupName <resource-group> `
        -Name <storage-account>).Context

Set-AzStorageBlobImmutabilityPolicy -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -ExpiresOn "2021-09-01T12:00:00Z" `
    -PolicyMode Unlocked

Als u een bewaarbeleid op basis van tijd wilt configureren voor een blobversie met Azure CLI, installeert u eerst de Azure CLI, versie 2.29.0 of hoger.

Roep vervolgens de opdracht az storage blob immutability-policy set aan om het bewaarbeleid op basis van tijd te configureren. In het volgende voorbeeld ziet u hoe u een ontgrendeld beleid configureert voor de huidige versie van een blob. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

az storage blob immutability-policy set \
    --expiry-time 2021-09-20T08:00:00Z \
    --policy-mode Unlocked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Een bewaarbeleid op basis van tijd configureren bij het uploaden van een blob

Wanneer u Azure Portal gebruikt om een blob te uploaden naar een container die onveranderbaarheid op versieniveau ondersteunt, hebt u verschillende opties voor het configureren van een bewaarbeleid op basis van tijd voor de nieuwe blob:

Optie 1: Als er een standaardretentiebeleid is geconfigureerd voor de container, kunt u de blob uploaden met het beleid van de container. Deze optie is standaard geselecteerd wanneer er een bewaarbeleid voor de container is.
Optie 2: Als een standaardretentiebeleid is geconfigureerd voor de container, kunt u ervoor kiezen om het standaardbeleid te overschrijven door een aangepast bewaarbeleid voor de nieuwe blob te definiëren of door de blob zonder beleid te uploaden.
Optie 3: Als er geen standaardbeleid is geconfigureerd voor de container, kunt u de blob uploaden met een aangepast beleid of zonder beleid.

Volg deze stappen om een bewaarbeleid op basis van tijd te configureren wanneer u een blob uploadt:

Navigeer naar de gewenste container en selecteer Uploaden.
Vouw in het dialoogvenster Blob uploaden de sectie Geavanceerd uit.
Configureer het bewaarbeleid op basis van tijd voor de nieuwe blob in het veld Bewaarbeleid . Als er een standaardbeleid is geconfigureerd voor de container, is dat beleid standaard geselecteerd. U kunt ook een aangepast beleid voor de blob opgeven.

Een ontgrendeld bewaarbeleid wijzigen of verwijderen

U kunt een ontgrendeld bewaarbeleid op basis van tijd wijzigen om het bewaarinterval te verkorten of te verkorten. U kunt ook een ontgrendeld beleid verwijderen. Het bewerken of verwijderen van een ontgrendeld bewaarbeleid op basis van tijd voor een blobversie heeft geen invloed op het beleid dat van kracht is voor andere versies. Als er een standaard bewaarbeleid op basis van tijd is voor de container, wordt de blobversie met het gewijzigde of verwijderde beleid niet meer overgenomen van de container.

Voer de volgende stappen uit om een ontgrendeld bewaarbeleid op basis van tijd te wijzigen in Azure Portal:

Zoek de doelcontainer of -versie. Kies toegangsbeleid in het contextmenu van de container of versie.
Zoek het bestaande beleid voor ontgrendelde onveranderbaarheid. Selecteer Bewerken in het snelmenu in het menu.
Geef de nieuwe datum en tijd op voor het verlopen van het beleid.

Als u het ontgrendelde beleid wilt verwijderen, selecteert u Verwijderen in het contextmenu.

Als u een ontgrendeld bewaarbeleid op basis van tijd wilt wijzigen met PowerShell, roept u de opdracht Set-AzStorageBlobImmutabilityPolicy aan op de blobversie met de nieuwe datum en tijd voor het verlopen van het beleid. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

$containerName = "<container>"
$blobName = "<blob>"

# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
    -Blob $blobName `
    -VersionId "2021-08-31T00:26:41.2273852Z" `
    -Context $ctx

# Extend the retention interval by five days.
$blobVersion = $blobVersion |
    Set-AzStorageBlobImmutabilityPolicy -ExpiresOn (Get-Date).AddDays(5) `

# View the new policy parameters.
$blobVersion.BlobProperties.ImmutabilityPolicy

Als u een ontgrendeld bewaarbeleid wilt verwijderen, roept u de opdracht Remove-AzStorageBlobImmutabilityPolicy aan.

$blobVersion = $blobVersion | Remove-AzStorageBlobImmutabilityPolicy

Als u een ontgrendeld bewaarbeleid op basis van tijd wilt wijzigen met PowerShell, roept u de opdracht az storage blob immutability-policy set aan op de blobversie met de nieuwe datum en tijd voor het verlopen van het beleid. Vergeet niet om tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden:

az storage blob immutability-policy set \
    --expiry-time 2021-10-0T18:00:00Z \
    --policy-mode Unlocked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Als u een ontgrendeld bewaarbeleid wilt verwijderen, roept u de opdracht az storage blob immutability-policy delete aan.

az storage blob immutability-policy delete \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Een bewaarbeleid op basis van tijd vergrendelen

Wanneer u klaar bent met het testen van een bewaarbeleid op basis van tijd, kunt u het beleid vergrendelen. Een vergrendeld beleid voldoet aan SEC 17a-4(f) en andere naleving van regelgeving. U kunt het bewaarinterval voor een vergrendeld beleid maximaal vijf keer verkorten, maar u kunt het niet verkorten.

Nadat een beleid is vergrendeld, kunt u het niet verwijderen. U kunt de blob echter verwijderen nadat het bewaarinterval is verlopen.

Voer de volgende stappen uit om een beleid in Azure Portal te vergrendelen:

Zoek de doelcontainer of -versie. Kies toegangsbeleid in het contextmenu van de container of versie.
Zoek in de sectie Onveranderbare blobversies het bestaande ontgrendelde beleid. Selecteer Beleid vergrendelen in het contextmenu.
Bevestig dat u het beleid wilt vergrendelen.

Als u een beleid wilt vergrendelen met PowerShell, roept u de opdracht Set-AzStorageBlobImmutabilityPolicy aan en stelt u de parameter PolicyMode in op Locked.

In het volgende voorbeeld ziet u hoe u een beleid vergrendelt door hetzelfde bewaarinterval op te geven dat van kracht was voor het ontgrendelde beleid. U kunt ook de vervaldatum wijzigen op het moment dat u het beleid vergrendelt.

# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
    -Blob $blobName `
    -VersionId "2021-08-31T00:26:41.2273852Z" `
    -Context $ctx

$blobVersion = $blobVersion |
    Set-AzStorageBlobImmutabilityPolicy `
        -ExpiresOn $blobVersion.BlobProperties.ImmutabilityPolicy.ExpiresOn `
        -PolicyMode Locked

Als u een beleid wilt vergrendelen met PowerShell, roept u de opdracht az storage blob immutability-policy set aan en stelt u de --policy-mode parameter in op Locked. U kunt ook de vervaldatum wijzigen op het moment dat u het beleid vergrendelt.

az storage blob immutability-policy set \
    --expiry-time 2021-10-0T18:00:00Z \
    --policy-mode Locked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Een juridische bewaring configureren of wissen

In een juridische bewaring worden onveranderbare gegevens opgeslagen totdat de juridische bewaring expliciet wordt gewist. Zie Juridische bewaringen voor onveranderbare blobgegevens voor meer informatie over beleidsregels voor juridische bewaring.

Als u een juridische bewaring voor een blobversie wilt configureren, moet u eerst ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor het opslagaccount of de container. Zie Ondersteuning op versieniveau inschakelen voor onveranderbaarheid op versieniveau voor meer informatie.

Als u een juridische bewaring voor een blobversie wilt configureren met Azure Portal, voert u de volgende stappen uit:

Zoek de doelversie, die mogelijk de huidige versie of een eerdere versie van een blob is. Kies toegangsbeleid in het contextmenu van de doelversie.
Selecteer Beleid toevoegen in de sectie Onveranderbare blobversies.
Kies Juridische bewaring als het beleidstype en selecteer OK om deze toe te passen.

In de volgende afbeelding ziet u een huidige versie van een blob met een bewaarbeleid op basis van tijd en juridische bewaring geconfigureerd.

Schermopname van juridische bewaring die is geconfigureerd voor blobversie

Als u een juridische bewaring wilt wissen, gaat u naar het dialoogvenster Toegangsbeleid en kiest u Verwijderen in het contextmenu.

Als u een juridische bewaring voor een blobversie met PowerShell wilt configureren of wissen, roept u de opdracht Set-AzStorageBlobLegalHold aan.

# Set a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -EnableLegalHold

# Clear a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -DisableLegalHold

Als u een juridische bewaring voor een blobversie wilt configureren of wissen met Azure CLI, roept u de opdracht az storage blob set-legal-hold aan.

# Set a legal hold
az storage blob set-legal-hold \
    --legal-hold \
    --container <container> \
    --name <blob-version> \
    --account-name <account-name> \
    --auth-mode login

# Clear a legal hold
az storage blob set-legal-hold \
    --legal-hold false \
    --container <container> \
    --name <blob-version> \
    --account-name <account-name> \
    --auth-mode login