Onveranderbaarheidsbeleid configureren voor blobversies

Met de onveranderbare opslag voor Azure Blob Storage kunnen gebruikers bedrijfskritieke gegevens in een WORM-status (Write Once Read Many) opslaan. In een WORM-status kunnen gegevens niet worden gewijzigd of verwijderd voor een door de gebruiker opgegeven interval. Door onveranderbaarheidsbeleid voor blobgegevens te configureren, kunt u uw gegevens beschermen tegen overschrijven en verwijderen. Onveranderbaarheidsbeleid omvat bewaarbeleid op basis van tijd en juridische bewaring. Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie over onveranderbaarheidsbeleid voor Blob Storage.

Een beleid voor onveranderbaarheid kan worden beperkt tot een afzonderlijke blobversie of een container. In dit artikel wordt beschreven hoe u een beleid voor onveranderbaarheid op versieniveau configureert. Zie Beleid voor onveranderbaarheid op containerniveau configureren voor containers voor meer informatie over het configureren van onveranderbaarheidsbeleidsregels voor containers.

Notitie

Onveranderbaarheidsbeleid wordt niet ondersteund in accounts waarvoor het NFS-protocol (Network File System) 3.0 of het SSH File Transfer Protocol (SFTP) is ingeschakeld.

Het configureren van een beleid voor onveranderbaarheid op versieniveau is een proces in twee stappen:

  1. Schakel eerst ondersteuning in voor onveranderbaarheid op versieniveau in een nieuw opslagaccount of in een nieuwe of bestaande container. Zie Ondersteuning op versieniveau inschakelen voor onveranderbaarheid voor meer informatie.
  2. Configureer vervolgens een bewaarbeleid op basis van tijd of juridische bewaring dat van toepassing is op een of meer blobversies in die container.

Vereisten

Als u op tijd gebaseerd bewaarbeleid op versieniveau wilt configureren, moet blob-versiebeheer zijn ingeschakeld voor het opslagaccount. Houd er rekening mee dat het inschakelen van blobversies mogelijk gevolgen heeft voor facturering. Zie Blob-versiebeheer inschakelen en beheren voor meer informatie over het inschakelen van blobversies.

Zie Ondersteunde accountconfiguraties voor configuraties van ondersteunde opslagaccounts voor onveranderbaarheidsbeleid op versieniveau.

Ondersteuning inschakelen voor onveranderbaarheid op versieniveau

Voordat u een bewaarbeleid op basis van tijd kunt toepassen op een blobversie, moet u ondersteuning voor onveranderbaarheid op versieniveau inschakelen. U kunt ondersteuning inschakelen voor onveranderbaarheid op versieniveau voor een nieuw opslagaccount of voor een nieuwe of bestaande container.

Ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor een opslagaccount

U kunt ondersteuning voor onveranderbaarheid op versieniveau alleen inschakelen wanneer u een nieuw opslagaccount maakt.

Voer de volgende stappen uit om ondersteuning in te schakelen voor onveranderbaarheid op versieniveau wanneer u een opslagaccount maakt in de Azure Portal:

  1. Navigeer naar de pagina Opslagaccounts in de Azure Portal.

  2. Selecteer de knop Maken om een nieuw account te maken.

  3. Vul het tabblad Basisbeginselen in.

  4. Selecteer op het tabblad Gegevensbeveiliging , onder Toegangsbeheer, ondersteuning voor onveranderbaarheid op versieniveau inschakelen. Wanneer u dit selectievakje inschakelt, wordt het selectievakje voor versiebeheer inschakelen voor blobs ook automatisch ingeschakeld.

  5. Selecteer Controleren + Maken om de accountparameters te valideren en het opslagaccount te maken.

    Schermopname die laat zien hoe u een opslagaccount maakt met ondersteuning voor onveranderbaarheid op versieniveau

Nadat het opslagaccount is gemaakt, kunt u een standaardbeleid op versieniveau voor het account configureren. Zie Een standaard bewaarbeleid op basis van tijd configureren voor meer informatie.

Als ondersteuning voor onveranderbaarheid op versieniveau is ingeschakeld voor het opslagaccount en het account een of meer containers bevat, moet u alle containers verwijderen voordat u het opslagaccount verwijdert, zelfs als er geen onveranderbaar beleid voor het account of de containers van kracht is.

Ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor een container

Zowel nieuwe als bestaande containers kunnen worden geconfigureerd ter ondersteuning van onveranderbaarheid op versieniveau. Een bestaande container moet echter een migratieproces ondergaan om ondersteuning mogelijk te maken.

Houd er rekening mee dat het inschakelen van onveranderbaarheidsondersteuning op versieniveau voor een container geen gegevens in die container onveranderbaar maakt. U moet ook een standaardbeleid voor onveranderbaarheid configureren voor de container of een onveranderbaarheidsbeleid voor een specifieke blobversie. Als u onveranderbaarheid op versieniveau hebt ingeschakeld voor het opslagaccount toen het werd gemaakt, kunt u ook een standaardbeleid voor onveranderbaarheid voor het account configureren.

Onveranderbaarheid op versieniveau inschakelen voor een nieuwe container

Als u een beleid voor onveranderbaarheid op versieniveau wilt gebruiken, moet u eerst expliciet ondersteuning inschakelen voor WORM op versieniveau in de container. U kunt ondersteuning inschakelen voor WORM op versieniveau wanneer u de container maakt of wanneer u een beleid voor onveranderbaarheid op versieniveau toevoegt aan een bestaande container.

Voer de volgende stappen uit om een container te maken die onveranderbaarheid op versieniveau ondersteunt in de Azure Portal:

  1. Navigeer naar de pagina Containers voor uw opslagaccount in de Azure Portal en selecteer Toevoegen.

  2. Geef in het dialoogvenster Nieuwe container een naam op voor uw container en vouw vervolgens de sectie Geavanceerd uit.

  3. Selecteer Ondersteuning voor onveranderbaarheid op versieniveau inschakelen om onveranderbaarheid op versieniveau in te schakelen voor de container.

    Schermopname van het maken van een container waarvoor onveranderbaarheid op versieniveau is ingeschakeld

Als ondersteuning voor onveranderbaarheid op versieniveau is ingeschakeld voor een container en de container een of meer blobs bevat, moet u alle blobs in de container verwijderen voordat u de container kunt verwijderen, zelfs als er geen beleid voor onveranderbaarheid van kracht is voor de container of de bijbehorende blobs.

Een bestaande container migreren ter ondersteuning van onveranderbaarheid op versieniveau

Als u beleid voor onveranderbaarheid op versieniveau voor een bestaande container wilt configureren, moet u de container migreren ter ondersteuning van onveranderbare opslag op versieniveau. Containermigratie kan enige tijd duren en kan niet worden omgekeerd. U kunt per opslagaccount 10 containers tegelijk migreren.

Als u een bestaande container wilt migreren ter ondersteuning van beleid voor onveranderbaarheid op versieniveau, moet voor de container een bewaarbeleid op basis van tijd op containerniveau zijn geconfigureerd. De migratie mislukt, tenzij de container een bestaand beleid heeft. Het bewaarinterval voor het beleid op containerniveau wordt gehandhaafd als het bewaarinterval voor het standaardbeleid op versieniveau van de container.

Als de container een bestaande juridische bewaring op containerniveau heeft, kan deze pas worden gemigreerd als de juridische bewaring is verwijderd.

Voer de volgende stappen uit om een container te migreren ter ondersteuning van onveranderbaarheidsbeleid op versieniveau in de Azure Portal:

  1. Navigeer naar de gewenste container.

  2. Selecteer de knop Meer aan de rechterkant en selecteer vervolgens Toegangsbeleid.

  3. Selecteer Beleid toevoegen onder Onveranderbare blobopslag.

  4. Kies voor het veld Beleidstype de optie retentie op basis van tijd en geef het bewaarinterval op.

  5. Selecteer Onveranderbaarheid op versieniveau inschakelen.

  6. Selecteer OK om een beleid op containerniveau te maken met het opgegeven bewaarinterval en begin vervolgens met de migratie naar ondersteuning voor onveranderbaarheid op versieniveau.

    Schermopname die laat zien hoe u een bestaande container migreert ter ondersteuning van onveranderbaarheid op versieniveau

Terwijl de migratiebewerking wordt uitgevoerd, wordt het bereik van het beleid op de container weergegeven als Container. Bewerkingen met betrekking tot het beheren van onveranderbaarheidsbeleid op versieniveau zijn niet toegestaan terwijl de containermigratie wordt uitgevoerd. Andere bewerkingen op blobgegevens worden normaal uitgevoerd tijdens de migratie.

Schermopname van containermigratie in proces

Nadat de migratie is voltooid, wordt het bereik van het beleid in de container weergegeven als versie. Het weergegeven beleid is een standaardbeleid voor de container die automatisch van toepassing is op alle blobversies die vervolgens in de container zijn gemaakt. Het standaardbeleid kan worden overschreven voor elke versie door een aangepast beleid voor die versie op te geven.

Schermopname van voltooide containermigratie

Een standaard bewaarbeleid op basis van tijd configureren

Nadat u ondersteuning voor onveranderbaarheid op versieniveau hebt ingeschakeld voor een opslagaccount of voor een afzonderlijke container, kunt u een standaard bewaarbeleid op basis van tijd op versieniveau opgeven voor het account of de container. Wanneer u een standaardbeleid voor een account of container opgeeft, is dat beleid standaard van toepassing op alle nieuwe blobversies die zijn gemaakt in het account of de container. U kunt het standaardbeleid voor elke afzonderlijke blobversie in het account of de container overschrijven.

Het standaardbeleid wordt niet automatisch toegepast op blobversies die bestonden voordat het standaardbeleid werd geconfigureerd.

Als u een bestaande container hebt gemigreerd ter ondersteuning van onveranderbaarheid op versieniveau, wordt het beleid op containerniveau dat van kracht was voordat de migratie wordt gemigreerd naar een standaardbeleid op versieniveau voor de container.

Als u een standaardbeleid voor onveranderbaarheid op versieniveau voor een opslagaccount of container wilt configureren, gebruikt u de Azure Portal, PowerShell, Azure CLI of een van de Azure Storage SDK's. Zorg ervoor dat u ondersteuning hebt ingeschakeld voor onveranderbaarheid op versieniveau voor het opslagaccount of de container, zoals wordt beschreven in Ondersteuning op versieniveau voor onveranderbaarheid op versieniveau inschakelen.

Als u een standaardbeleid voor onveranderbaarheid op versieniveau wilt configureren voor een opslagaccount in de Azure Portal, voert u de volgende stappen uit:

  1. Ga in Azure Portal naar uw opslagaccount.

  2. Selecteer Onder Gegevensbeheer de optie Gegevensbeveiliging.

  3. Zoek op de pagina Gegevensbeveiliging de sectie Toegangsbeheer . Als het opslagaccount is gemaakt met ondersteuning voor onveranderbaarheid op versieniveau, wordt de knop Beleid beheren weergegeven in de sectie Toegangsbeheer .

    Schermopname die laat zien hoe u het standaardbeleid voor onveranderbaarheid op versieniveau voor een opslagaccount beheert

  4. Selecteer de knop Beleid beheren om het dialoogvenster Onveranderbaarheidsbeleid beheren op versieniveau weer te geven.

  5. Voeg een standaard bewaarbeleid op basis van tijd toe voor het opslagaccount.

    Schermopname die laat zien hoe u een standaard bewaarbeleid op versieniveau voor een opslagaccount configureert

Voer de volgende stappen uit om een standaardbeleid voor onveranderbaarheid op versieniveau voor een container in de Azure Portal te configureren:

  1. Ga in de Azure Portal naar de pagina Containers en zoek de container waarop u het beleid wilt toepassen.

  2. Selecteer de knop Meer rechts van de containernaam en kies Toegangsbeleid.

  3. Kies beleid toevoegen in het dialoogvenster Toegangsbeleid in de sectie Onveranderbare blobopslag.

  4. Selecteer bewaarbeleid op basis van tijd en geef het bewaarinterval op.

  5. Kies of u beveiligde schrijfbewerkingen voor toevoegbewerkingen wilt toestaan.

    Met de optie Toevoeg-blobs kunnen uw workloads nieuwe gegevensblokken toevoegen aan het einde van een toevoeg-blob met behulp van de bewerking Toevoegblok .

    De optie Blok- en toevoeg-blobs breidt deze ondersteuning uit door de mogelijkheid om nieuwe blokken te schrijven aan een blok-blob toe te voegen. De Blob Storage-API biedt geen manier voor toepassingen om dit rechtstreeks te doen. Toepassingen kunnen dit echter doen met behulp van toevoeg- en leeggemaakte methoden die beschikbaar zijn in de Data Lake Storage Gen2-API. Met deze eigenschap kunnen Microsoft-toepassingen zoals Azure Data Factory ook blokken met gegevens toevoegen met behulp van interne API's. Als uw workloads afhankelijk zijn van een van deze hulpprogramma's, kunt u deze eigenschap gebruiken om fouten te voorkomen die kunnen optreden wanneer deze hulpprogramma's proberen gegevens toe te voegen aan blobs.

    Zie Schrijfbewerkingen voor beveiligde toevoeg-blobs toestaan voor meer informatie over deze opties.

    Schermopname die laat zien hoe u beleid voor onveranderbaarheid configureert dat is afgestemd op een container.

Het bereik van een bewaarbeleid voor een container bepalen

Voer de volgende stappen uit om het bereik van een op tijd gebaseerd bewaarbeleid in de Azure Portal te bepalen:

  1. Navigeer naar de gewenste container.

  2. Selecteer de knop Meer aan de rechterkant en selecteer vervolgens Toegangsbeleid.

  3. Zoek onder Onveranderbare blobopslag het veld Bereik . Als de container is geconfigureerd met een standaard bewaarbeleid op versieniveau, wordt het bereik ingesteld op Versie, zoals wordt weergegeven in de volgende afbeelding:

    Schermopname van het standaard bewaarbeleid op versieniveau dat is geconfigureerd voor de container

  4. Als de container is geconfigureerd met een bewaarbeleid op containerniveau, wordt het bereik ingesteld op Container, zoals wordt weergegeven in de volgende afbeelding:

    Schermopname van bewaarbeleid op containerniveau dat is geconfigureerd voor container

Een bewaarbeleid op basis van tijd configureren op basis van een bestaande versie

Retentiebeleid op basis van tijd houdt blobgegevens gedurende een OPGEGEVEN interval bij in een WORM-status. Zie bewaarbeleid op basis van tijd voor onveranderbare blobgegevens voor meer informatie over bewaarbeleid op basis van tijd.

U hebt drie opties voor het configureren van een bewaarbeleid op basis van tijd voor een blobversie:

  • Optie 1: U kunt een standaardbeleid configureren voor het opslagaccount of de container die van toepassing is op alle objecten in het account of de container. Objecten in het account of de container nemen het standaardbeleid over, tenzij u dit expliciet overschrijft door een beleid te configureren voor een afzonderlijke blobversie. Zie Een standaard bewaarbeleid op basis van tijd configureren voor meer informatie.
  • Optie 2: U kunt een beleid configureren voor de huidige versie van de blob. Met dit beleid kan een standaardbeleid worden overschreven dat is geconfigureerd voor het opslagaccount of de container, als er een standaardbeleid bestaat en het beleid is ontgrendeld. Standaard nemen eerdere versies die worden gemaakt nadat het beleid is geconfigureerd, het beleid over op de huidige versie van de blob. Zie Een bewaarbeleid configureren voor de huidige versie van een blob voor meer informatie.
  • Optie 3: U kunt een beleid configureren voor een eerdere versie van een blob. Dit beleid kan een standaardbeleid negeren dat is geconfigureerd voor de huidige versie, als er een bestaat en het is ontgrendeld. Zie Een bewaarbeleid configureren voor een eerdere versie van een blob voor meer informatie.

Zie Blob-versiebeheer voor meer informatie over blobversiebeheer.

In de Azure Portal wordt een lijst met blobs weergegeven wanneer u naar een container navigeert. Elke weergegeven blob vertegenwoordigt de huidige versie van de blob. U kunt een lijst met eerdere versies openen door de knop Meer voor een blob te selecteren en vorige versies weergeven te kiezen.

Een bewaarbeleid configureren voor de huidige versie van een blob

Voer de volgende stappen uit om een bewaarbeleid op basis van tijd te configureren voor de huidige versie van een blob:

  1. Navigeer naar de container die de doel-blob bevat.

  2. Selecteer de knop Meer rechts van de blobnaam en kies Toegangsbeleid. Als een bewaarbeleid op basis van tijd al is geconfigureerd voor de vorige versie, wordt dit weergegeven in het dialoogvenster Toegangsbeleid .

  3. Kies beleid toevoegen in het dialoogvenster Toegangsbeleid in de sectie Onveranderbare blobversies.

  4. Selecteer bewaarbeleid op basis van tijd en geef het bewaarinterval op.

  5. Selecteer OK om het beleid toe te passen op de huidige versie van de blob.

    Schermopname die laat zien hoe u een bewaarbeleid configureert voor de huidige versie van een blob

U kunt de eigenschappen voor een blob bekijken om te zien of een beleid is ingeschakeld voor de huidige versie. Selecteer de blob en ga naar het tabblad Overzicht en zoek de eigenschap Onveranderbaarheidsbeleid op versieniveau . Als een beleid is ingeschakeld, wordt in de eigenschap Bewaarperiode de vervaldatum en -tijd voor het beleid weergegeven. Houd er rekening mee dat een beleid kan worden geconfigureerd voor de huidige versie of kan worden overgenomen van de bovenliggende container van de blob als een standaardbeleid van kracht is.

Schermopname van onveranderbaarheidsbeleidseigenschappen voor blobversie in Azure Portal

Een bewaarbeleid configureren voor een eerdere versie van een blob

U kunt ook een bewaarbeleid op basis van tijd configureren voor een eerdere versie van een blob. Een eerdere versie is altijd onveranderbaar omdat deze niet kan worden gewijzigd. Een eerdere versie kan echter worden verwijderd. Een bewaarbeleid op basis van tijd beschermt tegen verwijdering terwijl dit van kracht is.

Voer de volgende stappen uit om een bewaarbeleid op basis van tijd te configureren voor een eerdere versie van een blob:

  1. Navigeer naar de container die de doel-blob bevat.

  2. Selecteer de blob en navigeer naar het tabblad Versies .

  3. Zoek de doelversie en selecteer vervolgens de knop Meer en kies Toegangsbeleid. Als een bewaarbeleid op basis van tijd al is geconfigureerd voor de vorige versie, wordt dit weergegeven in het dialoogvenster Toegangsbeleid .

  4. Kies beleid toevoegen in het dialoogvenster Toegangsbeleid in de sectie Onveranderbare blobversies.

  5. Selecteer bewaarbeleid op basis van tijd en geef het bewaarinterval op.

  6. Selecteer OK om het beleid toe te passen op de huidige versie van de blob.

    Schermopname die laat zien hoe u bewaarbeleid configureert voor een eerdere blobversie in Azure Portal

Een retentiebeleid op basis van tijd configureren bij het uploaden van een blob

Wanneer u de Azure Portal gebruikt om een blob te uploaden naar een container die onveranderbaarheid op versieniveau ondersteunt, hebt u verschillende opties voor het configureren van een bewaarbeleid op basis van tijd voor de nieuwe blob:

  • Optie 1: Als een standaardretentiebeleid is geconfigureerd voor de container, kunt u de blob uploaden met het beleid van de container. Deze optie is standaard geselecteerd wanneer er een bewaarbeleid voor de container is.
  • Optie 2: Als een standaardretentiebeleid is geconfigureerd voor de container, kunt u ervoor kiezen om het standaardbeleid te overschrijven door een aangepast bewaarbeleid voor de nieuwe blob te definiĆ«ren of door de blob zonder beleid te uploaden.
  • Optie 3: Als er geen standaardbeleid is geconfigureerd voor de container, kunt u de blob uploaden met een aangepast beleid of zonder beleid.

Voer de volgende stappen uit om een bewaarbeleid op basis van tijd te configureren wanneer u een blob uploadt:

  1. Navigeer naar de gewenste container en selecteer Uploaden.

  2. Vouw in het dialoogvenster Blob uploaden de sectie Geavanceerd uit.

  3. Configureer het bewaarbeleid op basis van tijd voor de nieuwe blob in het veld Bewaarbeleid . Als er een standaardbeleid is geconfigureerd voor de container, wordt dat beleid standaard geselecteerd. U kunt ook een aangepast beleid voor de blob opgeven.

    Schermopname met opties voor het configureren van bewaarbeleid voor het uploaden van blobs in Azure Portal

Een ontgrendeld bewaarbeleid wijzigen of verwijderen

U kunt een ontgrendeld retentiebeleid op basis van tijd wijzigen om het bewaarinterval te verkorten of te verkorten. U kunt ook een ontgrendeld beleid verwijderen. Het bewerken of verwijderen van een ontgrendeld retentiebeleid op basis van tijd voor een blobversie heeft geen invloed op het beleid dat van kracht is voor andere versies. Als er een standaard bewaarbeleid op basis van tijd is voor de container, wordt de blobversie met het gewijzigde of verwijderde beleid niet meer overgenomen van de container.

Voer de volgende stappen uit om een ontgrendeld retentiebeleid op basis van tijd te wijzigen in de Azure Portal:

  1. Zoek de doelcontainer of -versie. Selecteer de knop Meer en kies Toegangsbeleid.

  2. Zoek het bestaande ontgrendelde onveranderbaarheidsbeleid. Selecteer de knop Meer en selecteer Vervolgens Bewerken in het menu.

    Schermopname die laat zien hoe u een bestaand retentiebeleid op basis van tijd op versieniveau bewerkt in Azure Portal

  3. Geef de nieuwe datum en tijd op voor het verlopen van het beleid.

Als u het ontgrendelde beleid wilt verwijderen, selecteert u Verwijderen in het menu Meer .

Een bewaarbeleid op basis van tijd vergrendelen

Wanneer u klaar bent met het testen van een bewaarbeleid op basis van tijd, kunt u het beleid vergrendelen. Een vergrendeld beleid voldoet aan SEC 17a-4(f) en andere naleving van regelgeving. U kunt het bewaarinterval voor een vergrendeld beleid maximaal vijf keer verkorten, maar u kunt het niet verkorten.

Nadat een beleid is vergrendeld, kunt u het niet verwijderen. U kunt de blob echter verwijderen nadat het retentie-interval is verlopen.

Voer de volgende stappen uit om een beleid in de Azure Portal te vergrendelen:

  1. Zoek de doelcontainer of -versie. Selecteer de knop Meer en kies Toegangsbeleid.

  2. Zoek in de sectie Onveranderbare blobversies het bestaande ontgrendelde beleid. Selecteer de knop Meer en selecteer vervolgens Beleid vergrendelen in het menu.

  3. Bevestig dat u het beleid wilt vergrendelen.

    Schermopname die laat zien hoe u een bewaarbeleid op basis van tijd vergrendelt in Azure Portal

In een juridische bewaring worden onveranderbare gegevens opgeslagen totdat de juridische bewaring expliciet wordt gewist. Zie Juridische bewaringen voor onveranderbare blobgegevens voor meer informatie over beleidsregels voor juridische bewaring.

Als u een juridische bewaring voor een blobversie wilt configureren, moet u eerst ondersteuning voor onveranderbaarheid op versieniveau inschakelen voor het opslagaccount of de container. Zie Ondersteuning op versieniveau inschakelen voor onveranderbaarheid op versieniveau voor meer informatie.

Voer de volgende stappen uit om een juridische bewaring voor een blobversie te configureren met de Azure Portal:

  1. Zoek de doelversie, die mogelijk de huidige versie of een eerdere versie van een blob is. Selecteer de knop Meer en kies Toegangsbeleid.

  2. Selecteer Beleid toevoegen in de sectie Onveranderbare blobversies.

  3. Kies Juridische bewaring als beleidstype en selecteer OK om deze toe te passen.

In de volgende afbeelding ziet u een huidige versie van een blob met zowel een bewaarbeleid op basis van tijd als juridische bewaring geconfigureerd.

Schermopname van juridische bewaring die is geconfigureerd voor blobversie

Als u een juridische bewaring wilt wissen, gaat u naar het dialoogvenster Toegangsbeleid , selecteert u de knop Meer en kiest u Verwijderen.

Volgende stappen