Configuración de directivas de inmutabilidad para contenedores

El almacenamiento inmutable de Azure Blob Storage permite a los usuarios almacenar los datos críticos para la empresa en un estado WORM (escribir una vez, leer muchas). Mientras se encuentren en un estado WORM, los datos no se podrán modificar ni eliminar durante el tiempo especificado por el usuario. Con la configuración de directivas de inmutabilidad para los datos de blobs, puede impedir que sus datos se sobrescriban y eliminen. Las directivas de inmutabilidad incluyen directivas de retención de duración definida y suspensiones legales. Para más información sobre las directivas de inmutabilidad de Blob Storage, consulte Almacenamiento de datos críticos para la empresa con almacenamiento inmutable.

Una directiva de inmutabilidad puede estar limitada a una determinada versión de blob o un contenedor. En este artículo se describe cómo configurar una directiva de inmutabilidad para contenedores. Para obtener información sobre cómo configurar directivas de inmutabilidad para versiones, consulte Configuración de directivas de inmutabilidad para versiones de blob.

Nota

Las directivas de inmutabilidad no se admiten en las cuentas que tienen habilitado el protocolo Network File System (NFS) 3.0 o el protocolo de transferencia de archivos SSH (SFTP).

Configuración de una directiva de retención en un contenedor

Para configurar una directiva de retención de duración definida en un contenedor, use Azure Portal, PowerShell o la CLI de Azure. Puede configurar una directiva de retención para contenedores de entre 1 y 146 000 días.

Para configurar una directiva de retención de duración definida en un contenedor con Azure Portal, siga los pasos que figuran a continuación:

  1. Desplácese hasta el contenedor deseado.

  2. Seleccione el botón Más a la derecha y, a continuación, Directiva de acceso.

  3. En la sección Almacenamiento de blobs inmutable, seleccione Agregar directiva.

  4. En el campo Tipo de directiva, seleccione Retención de duración definida y especifique el período de retención en días.

  5. Para crear una directiva con ámbito de contenedor, no active la casilla Habilitar inmutabilidad de nivel de versión.

  6. Elija si desea permitir escrituras de anexión protegidas.

    La opción Anexar blobs permite que las cargas de trabajo agreguen nuevos bloques de datos al final de un blob anexo mediante la operación Anexar bloque.

    La opción Blobs en bloque y anexos proporciona los mismos permisos que la opción Anexar blobs pero agrega la capacidad de escribir nuevos bloques en un blob en bloques. La API de Blob Storage no proporciona una manera de que las aplicaciones lo hagan directamente. Sin embargo, las aplicaciones pueden hacerlo mediante métodos de anexión y vaciado, que están disponibles en la API de Data Lake Storage Gen2. Además, algunas aplicaciones de Microsoft usan API internas para crear blobs en bloques y, a continuación, anexarlos. Si las cargas de trabajo dependen de cualquiera de estas herramientas, puede usar esta propiedad para evitar errores que pueden aparecer cuando esas herramientas intentan anexar bloques a un blob en bloques.

    Para más información sobre estas opciones, consulte Permitir escrituras de blobs anexos protegidos.

    Captura de pantalla en la que se muestra cómo configurar una directiva de inmutabilidad que está en el ámbito del contenedor

Una vez configurada la directiva de inmutabilidad, verá que está en el ámbito del contenedor:

Captura de pantalla en la que se muestra una directiva de inmutabilidad existente que está en el ámbito del contenedor

Modificación de una directiva de retención desbloqueada

Puede modificar una directiva de retención de duración definida desbloqueada para reducir o ampliar el intervalo de retención y permitir escrituras adicionales en blobs en anexos del contenedor. Las directivas desbloqueadas también se pueden eliminar.

Para modificar una directiva de retención de duración definida desbloqueada en Azure Portal, siga estos pasos:

  1. Desplácese hasta el contenedor deseado.

  2. Seleccione el botón Más y elija Directiva de acceso.

  3. En la sección Versiones de blob inmutables, localice la directiva desbloqueada ya existente. Seleccione el botón Más y, a continuación Editar en el menú.

  4. Proporcione un nuevo intervalo de retención para la directiva. También puede seleccionar Permitir anexos protegidos adicionales para permitir que se escriba en blobs en anexos que estén protegidos.

    Captura de pantalla en la que se muestra cómo modificar una directiva de retención de duración definida desbloqueada

Para eliminar una directiva desbloqueada, seleccione el botón Más y, a continuación, Eliminar.

Nota:

Si desea habilitar directivas de inmutabilidad para versiones, active la casilla Habilitar inmutabilidad de nivel de versión. Para obtener información sobre cómo habilitar directivas de inmutabilidad para versiones, consulte Configuración de directivas de inmutabilidad para versiones de blob.

Bloqueo de una directiva de retención de duración definida

Cuando haya terminado de probar una directiva de retención de duración definida, puede bloquearla. Una directiva bloqueada cumple los requisitos de SEC 17a-4(f) y de otras normas. Puede ampliar el intervalo de retención de una directiva bloqueada hasta cinco veces, pero no acortarlo.

Una vez bloqueada una directiva, no se puede eliminar. Sin embargo, puede eliminar el blob una vez expirado el intervalo de retención.

Para asignar una directiva con Azure Portal, siga los pasos que figuran a continuación:

  1. Vaya a un contenedor con una directiva desbloqueada.
  2. En la sección Versiones de blob inmutables, localice la directiva desbloqueada ya existente. Seleccione el botón Más y, luego, Bloquear directiva en el menú.
  3. Confirme que desea bloquear la directiva.

Captura de pantalla en la que se muestra cómo bloquear una directiva de retención de duración definida en Azure Portal

Una suspensión legal almacena datos inmutables hasta que se borra explícitamente. Para obtener más información sobre las directivas de suspensión legal, consulte Suspensiones legales para datos de blobs inmutables.

Siga estos pasos para configurar la suspensión legal de un contenedor con Azure Portal:

  1. Desplácese hasta el contenedor deseado.

  2. Seleccione el botón Más y elija Directiva de acceso.

  3. En la sección Versiones de blob inmutables, seleccione Agregar directiva.

  4. Elija Suspensión legal como tipo de directiva.

  5. Agregue una o varias etiquetas de suspensión legal.

  6. Elija si desea permitir escrituras en anexos protegidos y, a continuación, seleccione Guardar.

    La opción Anexar blobs permite que las cargas de trabajo agreguen nuevos bloques de datos al final de un blob anexo mediante la operación Anexar bloque.

    Este valor también agrega la capacidad de escribir nuevos bloques en un blob en bloques. La API de Blob Storage no proporciona una manera de que las aplicaciones lo hagan directamente. Sin embargo, las aplicaciones pueden hacerlo mediante métodos de anexión y vaciado, que están disponibles en la API de Data Lake Storage Gen2. Además, esta propiedad permite a las aplicaciones de Microsoft, como Azure Data Factory, anexar bloques de datos mediante api internas. Si las cargas de trabajo dependen de cualquiera de estas herramientas, puede usar esta propiedad para evitar errores que pueden aparecer cuando esas herramientas intentan anexar datos a blobs.

    Para más información sobre estas opciones, consulte Permitir escrituras de blobs anexos protegidos.

    Captura de pantalla en la que se muestra cómo configurar una directiva de suspensión legal que está en el ámbito del contenedor

Una vez configurada la directiva de inmutabilidad, verá que está en el ámbito del contenedor:

En la siguiente imagen se muestra un contenedor con una directiva de retención de duración definida y una suspensión legal configurada.

Captura de pantalla en la que se muestra un contenedor con una directiva de retención de duración definida y una suspensión legal configurada

Para borrar una suspensión legal, vaya al cuadro de diálogo Directiva de acceso y, en el menú contextual de la directiva, seleccione Editar. A continuación, elimine todas las etiquetas de la directiva para borrar la suspensión.

Pasos siguientes