在此文章
Azure Blob 儲存體的不可變儲存體可讓使用者以 WORM (一次寫入,多次讀取) 狀態儲存商務關鍵性資料。 在 WORM 狀態下,您無法在使用者指定的間隔內修改或刪除資料。 您可設定 Blob 資料的永久性原則,以免資料遭覆寫和刪除。 不變性原則包含限時保留原則和合法保存。 如需 Blob 儲存體不變性原則的詳細資訊,請參閱使用不可變儲存體儲存商務關鍵性 Blob 資料 。
不變性原則的範圍可能是個別 Blob 版本或容器。 本文說明如何設定版本層級的不變性原則。 若要了解如何設定容器層級的不變性原則,請參閱設定容器的不變性原則 。
注意
在已啟用網路檔案系統 (NFS) 3.0 通訊協定或 SSH 檔案傳輸通訊協定 (SFTP) 的帳戶中,不支援不變性原則。
設定版本層級的不變性原則是兩個步驟的程序:
首先,在新的儲存體帳戶或新的或現有容器上啟用版本層級不變性的支援。 如需詳細資料,請參閱啟用版本層級不變性的支援 。
接下來,設定限時保留原則或合法保存,以套用至該容器中的一或多個 Blob 版本。
必要條件
若要設定版本層級限時保留原則,必須針對儲存體帳戶啟用 Blob 版本設定。 請注意,啟用 Blob 版本設定可能會產生計費影響。 若要了解如何啟用 Blob 版本設定,請參閱啟用和管理 Blob 版本設定 。
如需版本層級不變性原則支援的記憶體帳戶組態相關信息,請參閱 不可變 Blob 數據的版本層級 WORM 原則 。
啟用版本層級不變性的支援
在您可以將限時保留原則套用至 Blob 版本之前,您必須啟用版本層級不變性的支援。 您可以在新的儲存體帳戶或新的或現有容器上啟用版本層級不變性的支援。
在儲存體帳戶上啟用版本層級不變性支援
只有當您建立新的儲存體帳戶時,才可以啟用版本層級不變性的支援。
若要在 Azure 入口網站中建立儲存體帳戶時啟用版本層級不變性的支援,請遵循下列步驟:
在 Azure 入口網站中瀏覽至 [儲存體帳戶]
選取 [建立]
填寫 [基本]
在 [資料保護]
選取 [檢閱 + 建立]
建立儲存體帳戶之後,您可以設定帳戶的預設版本層級原則。 如需詳細資訊,請參閱設定預設限時保留原則 。
若要在您使用 Azure CLI 建立儲存體帳戶時,啟用版本層級不變性的支援,請呼叫 az storage account create 命令並且指定 --enable-alw 參數。 您可以選擇性地同時指定儲存體帳戶的預設原則,如下列範例所示。 請記得以自有值來取代角括弧中的預留位置:
az storage account create \
--name <storage-account> \
--resource-group <resource-group> \
--enable-alw \
--immutability-period-in-days 90 \
--immutability-state unlocked \
--allow-protected-append-writes true
如果已啟用儲存體帳戶的版本層級不變性支援,且帳戶包含一或多個容器,則您必須先刪除所有容器,才能刪除儲存體帳戶,即使帳戶或容器沒有任何作用中的不變性原則也一樣。
注意
雖然未鎖定的原則可以刪除,但版本層級的不變性在儲存體帳戶上啟用後便無法停用。
在容器上啟用版本層級不變性支援
新的和現有的容器都可以設定為支援版本層級不變性。 不過,現有的容器必須進行移轉程序,才能啟用支援。
請記住,啟用容器的版本層級不變性支援並不會讓該容器中的資料成為不可變。 您也必須為容器設定預設不變性原則,或針對特定 Blob 版本設定不變性原則。 如果您在建立儲存體帳戶時為其啟用版本層級不變性,也可以為該帳戶設定預設不變性原則。
啟用新容器的版本層級不變性
若要使用版本層級不變性原則,您必須先明確啟用容器上版本層級 WORM 的支援。 當您建立容器時,或當您將版本層級不變性原則新增至現有的容器時,您可以啟用版本層級 WORM 的支援。
若要在 Azure 入口網站中建立支援版本層級不變性的容器,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至儲存體帳戶的 [容器]
在 [新增容器]
選取 [啟用版本層級的不變性支援]
若要使用 PowerShell 建立支援版本層級不變性的容器,請先安裝 Az.Storage 模組 3.12.0 版或更新版本。
接下來,呼叫 New-AzRmStorageContainer 命令與 -EnableImmutableStorageWithVersioning 參數,如下列範例所示。 請記得以自有值來取代角括弧中的預留位置:
# Create a container with version-level immutability support.
$container = New-AzRmStorageContainer -ResourceGroupName <resource-group> `
-StorageAccountName <storage-account> `
-Name <container> `
-EnableImmutableStorageWithVersioning
# Verify that version-level immutability support is enabled for the container
$container.ImmutableStorageWithVersioning
若要使用 Azure CLI 建立支援版本層級不變性的容器,請先安裝 Azure CLI 2.27 版或更新版本。 如需安裝 Azure CLI 的詳細資訊,請參閱如何安裝 Azure CLI 。
接下來,呼叫 az storage container-rm create 命令,指定 --enable-vlw 參數。 請記得以自有值來取代角括弧中的預留位置:
# Create a container with version-level immutability support.
az storage container-rm create \
--name <container> \
--storage-account <storage-account> \
--resource-group <resource-group> \
--enable-vlw
# Verify that version-level immutability support is enabled for the container
az storage container-rm show \
--storage-account <storage-account> \
--name <container> \
--query '[immutableStorageWithVersioning.enabled]' \
--output tsv
如果容器的版本層級不變性支援已啟用,且容器包含一或多個 Blob,則您必須先刪除容器中的所有 Blob,才可以刪除容器,即使容器或其 Blob 沒有任何作用中的不變性原則也一樣。
移轉現有容器以支援版本層級不變性
若要設定現有容器的版本層級不變性原則,您必須移轉容器以支援版本層級不可變儲存體。 容器移轉可能需要一些時間,而且無法還原。 針對一個儲存體帳戶,您一次只能移轉 10 個容器。
若要移轉現有容器以支援版本層級不變性原則,容器必須設定容器層級限時保留原則。 除非容器具有現有的原則,否則移轉會失敗。 容器層級原則的保留間隔會維持為容器上預設版本層級原則的保留間隔。
如果容器具有現有的容器層級合法保存,則在移除合法保存之前無法進行移轉。
若要移轉容器以支援 Azure 入口網站中版本層級不可變原則,請依照下列步驟操作:
瀏覽至所需的容器。
在容器的捷徑功能表中,選取 [存取原則]
在 [不可變 Blob 儲存體]
在 [原則類型]
選取 [啟用版本層級不變性]
選取 [確定]
當移轉作業正在進行時,容器上的原則範圍會顯示為 [容器]
完成移轉之後,容器上的原則範圍會顯示為 [版本]
若要使用 PowerShell 來移轉容器以支援版本層級不可變儲存體,請先確定容器的容器層級限時保留原則存在。 若要建立一個原則,請呼叫 Set-AzRmStorageContainerImmutabilityPolicy 。
Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
-StorageAccountName <storage-account> `
-ContainerName <container> `
-ImmutabilityPeriod <retention-interval-in-days>
接下來,呼叫 Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration 命令以移轉容器。 包含 -AsJob 參數,以非同步方式執行命令。 建議您以非同步方式執行作業,因為移轉可能需要一些時間才能完成。
$migrationOperation = Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration `
-ResourceGroupName <resource-group> `
-StorageAccountName <storage-account> `
-Name <container> `
-AsJob
若要檢查長時間執行作業的狀態,請讀取作業的 JobStateInfo.State 屬性。
$migrationOperation.JobStateInfo.State
如果您嘗試移轉至版本層級不變性時,容器沒有現有限時保留原則,則作業會失敗。 下列範例會檢查 JobStateInfo.State 屬性的值,並且在作業因為容器層級原則不存在而失敗時,顯示錯誤訊息。
if ($migrationOperation.JobStateInfo.State -eq "Failed") {
Write-Host $migrationOperation.Error
}
The container <container-name> must have an immutability policy set as a default policy
before initiating container migration to support object level immutability with versioning.
完成移轉之後,請檢查作業的 Output 屬性,以查看是否已啟用版本層級不變性的支援。
$migrationOperation.Output
如需 PowerShell 作業的詳細資訊,請參閱在 PowerShell 作業中執行 Azure PowerShell Cmdlet 。
若要使用 Azure CLI 來移轉容器以支援版本層級不可變儲存體,請先確定容器的容器層級限時保留原則存在。 若要建立一個原則,請呼叫 az storage container immutability-policy create 。
az storage container immutability-policy create \
--resource-group <resource-group> \
--account-name <storage-account> \
--container-name <container> \
--period <retention-interval-in-days>
接下來,呼叫 az storage container-rm migrate-vlw 命令以移轉容器。 包含 --no-wait 參數,以非同步方式執行命令。 建議您以非同步方式執行作業,因為移轉可能需要一些時間才能完成。
az storage container-rm migrate-vlw \
--resource-group <resource-group> \
--storage-account <storage-account> \
--name <container> \
--no-wait
若要檢查長時間執行作業的狀態,請讀取 migrationState 屬性的值。
az storage container-rm show \
--storage-account <storage-account> \
--name <container> \
--query '[immutableStorageWithVersioning.migrationState]' \
--output tsv
啟用儲存體帳戶或個別容器的版本層級不變性支援之後,您可以為帳戶或容器指定預設版本層級限時保留原則。 當您為帳戶或容器指定預設原則時,該原則預設會套用至帳戶或容器中建立的所有新 Blob 版本。 您可以覆寫帳戶或容器中任何個別 Blob 版本的預設原則。
預設原則不會自動套用至設定預設原則之前即已存在的 Blob 版本。
如果您移轉現有容器以支援版本層級不變性,則在移轉之前生效的容器層級原則會移轉至容器的預設版本層級原則。
若要為儲存體帳戶或容器設定預設版本層級不變性原則,請使用 Azure 入口網站、PowerShell、Azure CLI 或其中一個 Azure 儲存體 SDK。 請確定您已啟用儲存體帳戶或容器的版本層級不變性支援,如啟用版本層級不變性的支援 中所述。
若要為 Azure 入口網站中的儲存體帳戶設定預設版本層級不變性原則,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至您的儲存體帳戶。
在 [資料管理]
在 [資料保護]
選取 [管理原則]
為儲存體帳戶新增預設限時保留原則。
若要為 Azure 入口網站中的容器設定預設版本層級不變性原則,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至 [容器]
在容器的捷徑功能表中選擇 [存取原則]
在 [存取原則]
選取 [限時保留原則]
選擇是否允許受保護的附加寫入。
[附加 Blob]
[區塊和附加 Blob]
若要深入了解這些選項,請參閱允許受保護的附加 Blob 寫入 。
若要使用 PowerShell 設定容器的預設版本層級不變性原則,請呼叫 Set-AzRmStorageContainerImmutabilityPolicy 命令。
Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
-StorageAccountName <storage-account> `
-ContainerName <container> `
-ImmutabilityPeriod <retention-interval-in-days> `
-AllowProtectedAppendWrite $true
若要使用 Azure CLI 設定容器的預設版本層級不變性原則,請呼叫 az storage container immutability-policy create 命令。
az storage container immutability-policy create \
--account-name <storage-account> \
--container-name <container> \
--period <retention-interval-in-days> \
--allow-protected-append-writes true
判斷容器上的保留原則範圍
若要判斷 Azure 入口網站中限時保留原則範圍,請遵循下列步驟:
瀏覽至所需的容器。
在容器的捷徑功能表中,選取 [存取原則]
在 [不可變的 Blob 儲存體]
如果容器設定為使用容器層級保留原則,則範圍會設為 [容器]
限時保留原則會在指定的間隔內,將 Blob 資料維持在 WORM 狀態。 如需限時保留原則的詳細資訊,請參閱不可變 Blob 資料的限時保留原則 。
您有三個選項可以設定 Blob 版本的限時保留原則:
選項 1:您可以在套用至帳戶或容器中所有物件的儲存體帳戶或容器上設定預設原則。 除非您透過在個別 Blob 版本上設定原則來明確覆寫,否則帳戶或容器中的物件將會繼承預設原則。 如需詳細資訊,請參閱設定預設限時保留原則 。
選項 2:您可以在目前的 Blob 版本上設定原則。 如果預設原則存在且已解除鎖定,此原則可以覆寫在儲存體帳戶或容器上設定的預設原則。 根據預設,在設定原則之後所建立的任何舊版,都會繼承目前 Blob 版本的原則。 如需詳細資訊,請參閱在目前的 Blob 版本上設定保留原則 。
選項 3:您可以在舊版的 Blob 上設定原則。 如果預設原則已存在並且已解除鎖定,此原則可以覆寫目前版本上設定的預設原則。 如需詳細資訊,請參閱在舊版的 Blob 上設定保留原則 。
如需 Blob 版本設定的詳細資訊,請參閱 Blob 版本設定 。
當您瀏覽至容器時,Azure 入口網站會顯示 Blob 的清單。 每個顯示的 Blob 都代表 Blob 的目前版本。 若要存取舊版的清單,您可以開啟 Blob 的捷徑功能表,然後選擇 [檢視舊版]
若要在目前的 Blob 版本上設定限時保留原則,請遵循下列步驟:
瀏覽至包含目標 Blob 的容器。
在 Blob 的捷徑功能表中選擇 [存取原則]
在 [存取原則]
選取 [限時保留原則]
選取 [確定]
您可以檢視 Blob 的屬性,以查看是否已在目前的版本上啟用原則。 選取 Blob,然後瀏覽至 [概觀]
您也可以在舊版的 Blob 上設定限時保留原則。 舊版永遠不變,因此無法修改。 不過,您可以刪除舊版。 限時保留原則會在其生效時防止刪除。
若要在舊版 Blob 上設定限時保留原則,請遵循下列步驟:
瀏覽至包含目標 Blob 的容器。
選取 Blob,然後瀏覽至 [版本]
找出目標版本,然後在版本的捷徑功能表中選擇 [存取原則]
在 [存取原則]
選取 [限時保留原則]
選取 [確定]
若要使用 PowerShell 在 Blob 版本上設定限時保留原則,請呼叫 Set-AzStorageBlobImmutabilityPolicy 命令。
下列範例示範如何在目前的 Blob 版本上設定解除鎖定的原則。 請記得以自有值來取代角括弧中的預留位置:
# Get the storage account context
$ctx = (Get-AzStorageAccount `
-ResourceGroupName <resource-group> `
-Name <storage-account>).Context
Set-AzStorageBlobImmutabilityPolicy -Container <container> `
-Blob <blob-version> `
-Context $ctx `
-ExpiresOn "2021-09-01T12:00:00Z" `
-PolicyMode Unlocked
若要使用 Azure CLI 在 Blob 版本上設定限時保留原則,請先安裝 Azure CLI 2.29.0 版或更新版本。
接下來,呼叫 az storage blob immutability-policy set 命令,設定限時保留原則。 下列範例示範如何在目前的 Blob 版本上設定解除鎖定的原則。 請記得以自有值來取代角括弧中的預留位置:
az storage blob immutability-policy set \
--expiry-time 2021-09-20T08:00:00Z \
--policy-mode Unlocked \
--container <container> \
--name <blob-version> \
--account-name <storage-account> \
--auth-mode login
當您使用 Azure 入口網站將 Blob 上傳至支援版本層級不變性的容器時,您有數個選項可以針對新的 Blob 設定限時保留原則:
選項 1:如果已針對容器設定預設保留原則,您可以使用容器的原則來上傳 Blob。 當容器上有保留原則時,預設會選取此選項。
選項 2:如果已針對容器設定預設保留原則,您可以選擇藉由為新的 Blob 定義自訂保留原則,或上傳沒有原則的 Blob,來覆寫預設原則。
選項 3:如果未設定容器的預設原則,您可以上傳具有自訂原則或沒有任何原則的 Blob。
若要在上傳 Blob 時設定限時保留原則,請遵循下列步驟:
瀏覽至所需的容器,然後選取 [上傳]
在 [上傳]
在 [保留原則]
修改或刪除已解除鎖定的保留原則
您可以修改解除鎖定的限時保留原則,以縮短或延長保留間隔。 您也可以刪除解除鎖定的原則。 針對 Blob 版本編輯或刪除解除鎖定的限時保留原則,不會影響任何其他版本的有效原則。 如果容器有生效的預設限時保留原則,則具有已修改或已刪除原則的 Blob 版本將不會再從容器繼承。
若要在 Azure 入口網站中修改解除鎖定的限時保留原則,請遵循下列步驟:
找出目標容器或版本。 在容器或版本的捷徑功能表中選擇 [存取原則]
找出現有已解除鎖定的不變性原則。 在捷徑功能表中選取 [編輯]
提供原則到期的新日期和時間。
若要刪除解除鎖定的原則,請從捷徑功能表中選取 [刪除]
若要使用 PowerShell 修改解除鎖定的限時保留原則,請在 Blob 版本上呼叫 Set-AzStorageBlobImmutabilityPolicy 命令,該版本具有原則到期的新日期和時間。 請記得以自有值來取代角括弧中的預留位置:
$containerName = "<container>"
$blobName = "<blob>"
# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
-Blob $blobName `
-VersionId "2021-08-31T00:26:41.2273852Z" `
-Context $ctx
# Extend the retention interval by five days.
$blobVersion = $blobVersion |
Set-AzStorageBlobImmutabilityPolicy -ExpiresOn (Get-Date).AddDays(5) `
# View the new policy parameters.
$blobVersion.BlobProperties.ImmutabilityPolicy
若要刪除解除鎖定的保留原則,請呼叫 Remove-AzStorageBlobImmutabilityPolicy 命令。
$blobVersion = $blobVersion | Remove-AzStorageBlobImmutabilityPolicy
若要使用 PowerShell 修改解除鎖定的限時保留原則,請在 Blob 版本上呼叫 az storage blob immutability-policy set 命令,該版本具有原則到期的新日期和時間。 請記得以自有值來取代角括弧中的預留位置:
az storage blob immutability-policy set \
--expiry-time 2021-10-0T18:00:00Z \
--policy-mode Unlocked \
--container <container> \
--name <blob-version> \
--account-name <storage-account> \
--auth-mode login
若要刪除解除鎖定的保留原則,請呼叫 az storage blob immutability-policy delete 命令。
az storage blob immutability-policy delete \
--container <container> \
--name <blob-version> \
--account-name <storage-account> \
--auth-mode login
鎖定限時保留原則
當您完成測試限時保留原則時,您可以鎖定原則。 鎖定的原則符合 SEC 17a-4(f) 和其他法規合規性。 您可以將鎖定原則的保留間隔延長最多五倍,但是無法縮短。
鎖定原則之後,您就無法將其刪除。 不過,您可以在保留間隔到期之後刪除 Blob。
若要在 Azure 入口網站中鎖定原則,請遵循下列步驟:
找出目標容器或版本。 在容器或版本的捷徑功能表中選擇 [存取原則]
在 [不可變的 Blob 版本]
確認您想要鎖定原則。
若要使用 PowerShell 鎖定原則,請呼叫 Set-AzStorageBlobImmutabilityPolicy 命令,並且將 PolicyMode 參數設定為 [已鎖定]
下列範例示範如何藉由指定對已解除鎖定原則有效的相同保留間隔,來鎖定原則。 您也可以在鎖定原則時變更到期時間。
# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
-Blob $blobName `
-VersionId "2021-08-31T00:26:41.2273852Z" `
-Context $ctx
$blobVersion = $blobVersion |
Set-AzStorageBlobImmutabilityPolicy `
-ExpiresOn $blobVersion.BlobProperties.ImmutabilityPolicy.ExpiresOn `
-PolicyMode Locked
若要使用 PowerShell 鎖定原則,請呼叫 az storage blob immutability-policy set 命令,並且將 --policy-mode 參數設定為 [已鎖定]
az storage blob immutability-policy set \
--expiry-time 2021-10-0T18:00:00Z \
--policy-mode Locked \
--container <container> \
--name <blob-version> \
--account-name <storage-account> \
--auth-mode login
合法保存會儲存不可變的資料,直到明確清除合法保存為止。 若要深入了解合法保存原則,請參閱不可變 Blob 資料的合法保存 。
若要在 Blob 版本上設定合法保存,您必須先在儲存體帳戶或容器上啟用版本層級不變性支援。 如需詳細資訊,請參閱啟用版本層級不變性的支援 。
若要使用 Azure 入口網站設定 Blob 版本的合法保存,請遵循下列步驟:
找出目標版本,這可能是目前的版本或舊版的 Blob。 在目標版本的捷徑功能表中,選擇 [存取原則]
在 [不可變的 Blob 版本]
選擇 [合法保存]
下圖顯示已設定限時保留原則和合法保存的最新版本 Blob。
若要清除合法保存,請瀏覽至 [存取原則]
若要使用 PowerShell 設定或清除 Blob 版本上的合法保存,請呼叫 Set-AzStorageBlobLegalHold 命令。
# Set a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
-Blob <blob-version> `
-Context $ctx `
-EnableLegalHold
# Clear a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
-Blob <blob-version> `
-Context $ctx `
-DisableLegalHold
若要使用 Azure CLI 設定或清除 Blob 版本上的合法保存,請呼叫 az storage blob set-legal-hold 命令。
# Set a legal hold
az storage blob set-legal-hold \
--legal-hold \
--container <container> \
--name <blob-version> \
--account-name <account-name> \
--auth-mode login
# Clear a legal hold
az storage blob set-legal-hold \
--legal-hold false \
--container <container> \
--name <blob-version> \
--account-name <account-name> \
--auth-mode login
下一步
