Konfigurera oföränderlighetsprinciper för containrar
Artikel
Med oföränderlig lagring i Azure Blob Storage kan användare lagra affärskritiska data i ett WORM-tillstånd (Write Once Read Many). När data är i ett WORM-tillstånd kan de inte ändras eller tas bort inom ett visst användardefinierat intervall. Genom att konfigurera oföränderlighetsprinciper för blobdata kan du skydda dina data från överskrivningar och borttagningar. Oföränderlighetsprinciper omfattar tidsbaserade kvarhållningsprinciper och juridiska undantag. Mer information om oföränderlighetsprinciper för Blob Storage finns i Lagra affärskritiska blobdata med oföränderlig lagring.
En oföränderlighetsprincip kan begränsas till en enskild blobversion eller till en container. Den här artikeln beskriver hur du konfigurerar en princip för oföränderlighet på containernivå. Information om hur du konfigurerar oföränderlighetsprinciper på versionsnivå finns i Konfigurera oföränderlighetsprinciper för blobversioner.
Kommentar
Oföränderlighetsprinciper stöds inte i konton som har NFS 3.0-protokollet (Network File System) eller SFTP (SFTP) aktiverat på dem.
Konfigurera en kvarhållningsprincip för en container
Om du vill konfigurera en tidsbaserad kvarhållningsprincip för en container använder du Azure-portalen, PowerShell eller Azure CLI. Du kan konfigurera en kvarhållningsprincip på containernivå i mellan 1 och 14 6000 dagar.
Följ dessa steg för att konfigurera en tidsbaserad kvarhållningsprincip för en container med Azure-portalen:
Navigera till önskad container.
Välj knappen Mer till höger och välj sedan Åtkomstprincip.
I avsnittet Oföränderlig bloblagring väljer du Lägg till princip.
I fältet Principtyp väljer du Tidsbaserad kvarhållning och anger kvarhållningsperioden i dagar.
Om du vill skapa en princip med containeromfång markerar du inte kryssrutan Aktivera oföränderlighet på versionsnivå.
Välj om du vill tillåta skyddade tilläggsskrivningar.
Alternativet Lägg till blobbar gör att dina arbetsbelastningar kan lägga till nya datablock i slutet av en tilläggsblob med hjälp av åtgärden Lägg till block .
Alternativet Blockera och lägg till blobar ger dig samma behörigheter som alternativet Lägg till blobbar , men lägger till möjligheten att skriva nya block till en blockblob. Blob Storage-API:et tillhandahåller inte något sätt för program att göra detta direkt. Program kan dock åstadkomma detta med hjälp av tilläggs- och tömningsmetoder som är tillgängliga i Data Lake Storage Gen2-API:et. Vissa Microsoft-program använder också interna API:er för att skapa blockblobar och sedan lägga till dem. Om dina arbetsbelastningar är beroende av något av dessa verktyg kan du använda den här egenskapen för att undvika fel som kan visas när dessa verktyg försöker lägga till block i en blockblob.
Mer information om de här alternativen finns i Tillåt skrivning av skyddade tilläggsblobar.
När du har konfigurerat oföränderlighetsprincipen ser du att den är begränsad till containern:
Om du vill konfigurera en tidsbaserad kvarhållningsprincip för en container med PowerShell anropar du kommandot Set-AzRmStorageContainerImmutabilityPolicy och anger kvarhållningsintervallet i dagar. Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:
Om du vill tillåta skyddade tilläggsskrivningar anger du parametern -AllowProtectedAppendWrite eller -AllowProtectedAppendWriteAll till true.
Med alternativet AllowProtectedAppendWrite kan dina arbetsbelastningar lägga till nya datablock i slutet av en tilläggsblob med hjälp av åtgärden Lägg till block .
Alternativet AllowProtectedAppendWriteAll ger dig samma behörigheter som alternativet AllowProtectedAppendWrite men lägger till möjligheten att skriva nya block till en blockblob. Blob Storage-API:et tillhandahåller inte något sätt för program att göra detta direkt. Program kan dock åstadkomma detta med hjälp av tilläggs- och tömningsmetoder som är tillgängliga i Data Lake Storage Gen2-API:et. Vissa Microsoft-program använder också interna API:er för att skapa blockblobar och sedan lägga till dem. Om dina arbetsbelastningar är beroende av något av dessa verktyg kan du använda den här egenskapen för att undvika fel som kan visas när dessa verktyg försöker lägga till block i en blockblob.
Mer information om de här alternativen finns i Tillåt skrivning av skyddade tilläggsblobar.
Om du vill konfigurera en tidsbaserad kvarhållningsprincip för en container med Azure CLI anropar du kommandot az storage container immutability-policy create , vilket ger kvarhållningsintervallet i dagar. Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:
Om du vill tillåta skyddade tilläggsskrivningar anger du parametern --allow-protected-append-writes eller --allow-protected-append-writes-all till true.
Med alternativet --allow-protected-append-writes kan dina arbetsbelastningar lägga till nya datablock i slutet av en tilläggsblob med hjälp av åtgärden Lägg till block .
Alternativet --allow-protected-append-writes-all ger dig samma behörigheter som alternativet --allow-protected-append-writes men lägger till möjligheten att skriva nya block till en blockblob. Blob Storage-API:et tillhandahåller inte något sätt för program att göra detta direkt. Program kan dock åstadkomma detta med hjälp av tilläggs- och tömningsmetoder som är tillgängliga i Data Lake Storage Gen2-API:et. Vissa Microsoft-program använder också interna API:er för att skapa blockblobar och sedan lägga till dem. Om dina arbetsbelastningar är beroende av något av dessa verktyg kan du använda den här egenskapen för att undvika fel som kan visas när dessa verktyg försöker lägga till block i en blockblob.
Mer information om de här alternativen finns i Tillåt skrivning av skyddade tilläggsblobar.
Ändra en olåst kvarhållningsprincip
Du kan ändra en olåst tidsbaserad kvarhållningsprincip för att förkorta eller förlänga kvarhållningsintervallet och tillåta ytterligare skrivningar till tilläggsblobar i containern. Du kan också ta bort en olåst princip.
Följ dessa steg om du vill ändra en olåst tidsbaserad kvarhållningsprincip i Azure-portalen:
Navigera till önskad container.
Välj knappen Mer och välj Åtkomstprincip.
Under avsnittet Oföränderliga blobversioner letar du upp den befintliga olåst principen. Välj knappen Mer och välj sedan Redigera på menyn.
Ange ett nytt kvarhållningsintervall för principen. Du kan också välja Tillåt ytterligare skyddade tillägg för att tillåta skrivningar till skyddade tilläggsblobar.
Om du vill ta bort en olåst princip väljer du knappen Mer och sedan Ta bort.
Kommentar
Du kan aktivera oföränderlighetsprinciper på versionsnivå genom att markera kryssrutan Aktivera oföränderlighet på versionsnivå. Mer information om hur du aktiverar oföränderlighetsprinciper på versionsnivå finns i Konfigurera oföränderlighetsprinciper för blobversioner.
Om du vill ändra en olåst tidsbaserad kvarhållningsprincip med Azure CLI anropar du kommandot az storage container immutability-policy extend , vilket ger det nya kvarhållningsintervallet i dagar. Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:
När du har testat en tidsbaserad kvarhållningsprincip kan du låsa principen. En låst princip är kompatibel med SEC 17a-4(f) och annan regelefterlevnad. Du kan förlänga kvarhållningsintervallet för en låst princip upp till fem gånger, men du kan inte förkorta den.
När en princip har låsts kan du inte ta bort den. Du kan dock ta bort bloben när kvarhållningsintervallet har upphört att gälla.
Konfigurera eller rensa ett bevarande av juridiska skäl
Ett bevarande av juridiska skäl lagrar oföränderliga data tills det juridiska undantaget uttryckligen har rensats. Mer information om principer för bevarande av juridiska skäl finns i Juridiska undantag för oföränderliga blobdata.
Följ dessa steg för att konfigurera ett juridiskt undantag för en container med Azure-portalen:
Navigera till önskad container.
Välj knappen Mer och välj Åtkomstprincip.
Under avsnittet Oföränderliga blobversioner väljer du Lägg till princip.
Välj Bevarande av juridiska skäl som principtyp.
Lägg till en eller flera taggar för bevarande av juridiska skäl.
Välj om du vill tillåta skyddade tilläggsskrivningar och välj sedan Spara.
Alternativet Lägg till blobbar gör att dina arbetsbelastningar kan lägga till nya datablock i slutet av en tilläggsblob med hjälp av åtgärden Lägg till block .
Den här inställningen lägger också till möjligheten att skriva nya block till en blockblob. Blob Storage-API:et tillhandahåller inte något sätt för program att göra detta direkt. Program kan dock åstadkomma detta med hjälp av tilläggs- och tömningsmetoder som är tillgängliga i Data Lake Storage Gen2-API:et. Den här egenskapen gör det också möjligt för Microsoft-program som Azure Data Factory att lägga till datablock med hjälp av interna API:er. Om dina arbetsbelastningar är beroende av något av dessa verktyg kan du använda den här egenskapen för att undvika fel som kan visas när dessa verktyg försöker lägga till data i blobar.
Mer information om de här alternativen finns i Tillåt skrivning av skyddade tilläggsblobar.
När du har konfigurerat oföränderlighetsprincipen ser du att den är begränsad till containern:
Följande bild visar en container med både en tidsbaserad kvarhållningsprincip och ett juridiskt undantag konfigurerat.
Om du vill rensa ett juridiskt undantag går du till dialogrutan Åtkomstprincip , väljer knappen Mer och väljer Ta bort.
Om du vill konfigurera ett juridiskt undantag för en container med PowerShell anropar du kommandot Add-AzRmStorageContainerLegalHold . Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:
Om du vill konfigurera ett lagligt undantag för en container med PowerShell anropar du kommandot az storage container legal-hold set . Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:
