Configurare i criteri di non modificabilità per i contenitori
Articolo
L'archiviazione non modificabile per Archiviazione BLOB di Azure consente agli utenti di archiviare i dati business-critical in uno stato WORM (Write Once, Read Many). Nello stato WORM, i dati non possono essere modificati o eliminati per un intervallo specificato dall'utente. Configurando criteri di immutabilità per i dati BLOB, è possibile proteggere i dati da tentativi di sovrascrittura ed eliminazione. I criteri di immutabilità includono criteri di conservazione basati sul tempo e blocchi legali. Per altre informazioni sui criteri di immutabilità per l'archiviazione BLOB, vedere Archiviare dati BLOB critici per l'azienda con archiviazione non modificabile.
Un criterio di immutabilità può essere limitato a una singola versione del BLOB o a un contenitore. Questo articolo descrive come configurare un criterio di immutabilità a livello di contenitore. Per informazioni su come configurare i criteri di immutabilità a livello di versione, vedere Configurare i criteri di immutabilità per le versioni blob.
Nota
I criteri di immutabilità non sono supportati negli account in cui è abilitato il protocollo NFS (Network File System) 3.0 o SSH File Transfer Protocol (SFTP).
Configurare un criterio di conservazione in un contenitore
Per configurare criteri di conservazione basati sul tempo in un contenitore, usare il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure. È possibile configurare criteri di conservazione a livello di contenitore per un periodo compreso tra 1 e 146.000 giorni.
Per configurare criteri di conservazione basati sul tempo in un contenitore con il portale di Azure, seguire questa procedura:
Passare al contenitore desiderato.
Selezionare il pulsante Altro a destra, quindi selezionare Criteri di accesso.
Nella sezione Archiviazione BLOB non modificabile selezionare Aggiungi criterio.
Nel campo Tipo di criterio selezionare Conservazione basata sul tempo e specificare il periodo di conservazione in giorni.
Per creare un criterio con ambito contenitore, non selezionare la casella Abilita immutabilità a livello di versione.
Scegliere se consentire scritture di accodamento protette.
L'opzione Append BLOBs consente ai carichi di lavoro di aggiungere nuovi blocchi di dati alla fine di un BLOB di accodamento usando l'operazione Append Block .
L'opzione Blocca e accoda BLOB offre le stesse autorizzazioni dell'opzione Aggiungi BLOB , ma aggiunge la possibilità di scrivere nuovi blocchi in un BLOB in blocchi. L'API di archiviazione BLOB non consente alle applicazioni di eseguire questa operazione direttamente. Tuttavia, le applicazioni possono eseguire questa operazione usando metodi di accodamento e scaricamento disponibili nell'API Data Lake Storage. Inoltre, alcune applicazioni Microsoft usano API interne per creare BLOB in blocchi e quindi aggiungerli. Se i carichi di lavoro dipendono da uno di questi strumenti, è possibile usare questa proprietà per evitare errori che possono essere visualizzati quando questi strumenti tentano di accodare blocchi a un BLOB in blocchi.
Dopo aver configurato i criteri di immutabilità, si noterà che è limitato all'ambito del contenitore:
Per configurare criteri di conservazione basati sul tempo in un contenitore con PowerShell, chiamare il comando Set-AzRmStorageContainerImmutabilityPolicy , fornendo l'intervallo di conservazione in giorni. È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Per consentire scritture di accodamento protette, impostare il -AllowProtectedAppendWrite parametro o -AllowProtectedAppendWriteAll su true.
L'opzione AllowProtectedAppendWrite consente ai carichi di lavoro di aggiungere nuovi blocchi di dati alla fine di un BLOB di accodamento usando l'operazione Append Block .
L'opzione AllowProtectedAppendWriteAll offre le stesse autorizzazioni dell'opzione AllowProtectedAppendWrite , ma aggiunge la possibilità di scrivere nuovi blocchi in un BLOB in blocchi. L'API di archiviazione BLOB non consente alle applicazioni di eseguire questa operazione direttamente. Tuttavia, le applicazioni possono eseguire questa operazione usando metodi di accodamento e scaricamento disponibili nell'API Data Lake Storage. Inoltre, alcune applicazioni Microsoft usano API interne per creare BLOB in blocchi e quindi aggiungerli. Se i carichi di lavoro dipendono da uno di questi strumenti, è possibile usare questa proprietà per evitare errori che possono essere visualizzati quando questi strumenti tentano di accodare blocchi a un BLOB in blocchi.
Per configurare criteri di conservazione basati sul tempo in un contenitore con l'interfaccia della riga di comando di Azure, chiamare il comando az storage container immutability-policy create , specificando l'intervallo di conservazione in giorni. È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Per consentire scritture di accodamento protette, impostare il --allow-protected-append-writes parametro o --allow-protected-append-writes-all su true.
L'opzione --allow-protected-append-writes consente ai carichi di lavoro di aggiungere nuovi blocchi di dati alla fine di un BLOB di accodamento usando l'operazione Append Block .
L'opzione --allow-protected-append-write-all offre le stesse autorizzazioni dell'opzione --allow-protected-append-write , ma aggiunge la possibilità di scrivere nuovi blocchi in un BLOB in blocchi. L'API di archiviazione BLOB non consente alle applicazioni di eseguire questa operazione direttamente. Tuttavia, le applicazioni possono eseguire questa operazione usando metodi di accodamento e scaricamento disponibili nell'API Data Lake Storage. Inoltre, alcune applicazioni Microsoft usano API interne per creare BLOB in blocchi e quindi aggiungerli. Se i carichi di lavoro dipendono da uno di questi strumenti, è possibile usare questa proprietà per evitare errori che possono essere visualizzati quando questi strumenti tentano di accodare blocchi a un BLOB in blocchi.
È possibile modificare un criterio di conservazione basato sul tempo sbloccato per abbreviare o ridurre l'intervallo di conservazione e consentire scritture aggiuntive di accodare i BLOB nel contenitore. È anche possibile eliminare un criterio sbloccato.
Per modificare un criterio di conservazione basato sul tempo sbloccato nella portale di Azure, seguire questa procedura:
Passare al contenitore desiderato.
Selezionare il pulsante Altro e scegliere Criteri di accesso.
Nella sezione Versioni BLOB non modificabili individuare i criteri sbloccati esistenti. Selezionare il pulsante Altro , quindi selezionare Modifica dal menu.
Specificare un nuovo intervallo di conservazione per i criteri. È anche possibile selezionare Consenti accodamenti protetti aggiuntivi per consentire le scritture nei BLOB di accodamento protetti.
Per eliminare un criterio sbloccato, selezionare il pulsante Altro e quindi Elimina.
Nota
È possibile abilitare i criteri di immutabilità a livello di versione selezionando la casella di controllo Abilita immutabilità a livello di versione. Per altre informazioni sull'abilitazione dei criteri di immutabilità a livello di versione, vedere Configurare i criteri di immutabilità per le versioni blob.
Per modificare un criterio sbloccato, recuperare prima di tutto il criterio chiamando il comando Get-AzRmStorageContainerImmutabilityPolicy . Chiamare quindi il comando Set-AzRmStorageContainerImmutabilityPolicy per aggiornare i criteri. Includere il nuovo intervallo di conservazione in giorni e il -ExtendPolicy parametro . È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Per modificare un criterio di conservazione basato sul tempo sbloccato con l'interfaccia della riga di comando di Azure, chiamare il comando az storage container immutability-policy extend , fornendo il nuovo intervallo di conservazione in giorni. È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Bloccare un criterio di conservazione basato sul tempo
Al termine del test di un criterio di conservazione basato sul tempo, è possibile bloccare i criteri. Un criterio bloccato è conforme a SEC 17a-4(f) e ad altre normative di conformità. È possibile aumentare l'intervallo di conservazione per un criterio bloccato fino a cinque volte, ma non è possibile abbreviarlo.
Dopo aver bloccato un criterio, non è possibile eliminarlo. Tuttavia, è possibile eliminare il BLOB dopo la scadenza dell'intervallo di conservazione.
Per bloccare un criterio con il portale di Azure, seguire questa procedura:
Passare a un contenitore con criteri sbloccati.
Nella sezione Versioni BLOB non modificabili individuare i criteri sbloccati esistenti. Selezionare il pulsante Altro , quindi selezionare Blocca criterio dal menu.
Per bloccare un criterio con l'interfaccia della riga di comando di Azure, chiamare prima di tutto il comando az storage container immutability-policy show per recuperare l'ETag del criterio. Chiamare quindi il comando az storage container immutability-policy lock e passare il valore ETag per bloccare il criterio. È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Configurare o cancellare un blocco a fini giudiziari
Un blocco a fini giudiziari archivia i dati non modificabili fino a quando non viene cancellato in modo esplicito. Per altre informazioni sui criteri di blocco legale, vedere Blocchi legali per i dati BLOB non modificabili.
Per configurare un blocco a fini giudiziari in un contenitore con il portale di Azure, seguire questa procedura:
Passare al contenitore desiderato.
Selezionare il pulsante Altro e scegliere Criteri di accesso.
Nella sezione Versioni BLOB non modificabili selezionare Aggiungi criterio.
Scegliere Blocco a fini giudiziari come tipo di criterio.
Aggiungere uno o più tag di blocco a fini giudiziari.
Scegliere se consentire scritture di accodamento protette e quindi selezionare Salva.
L'opzione Append BLOBs consente ai carichi di lavoro di aggiungere nuovi blocchi di dati alla fine di un BLOB di accodamento usando l'operazione Append Block .
Questa impostazione aggiunge anche la possibilità di scrivere nuovi blocchi in un BLOB in blocchi. L'API di archiviazione BLOB non consente alle applicazioni di eseguire questa operazione direttamente. Tuttavia, le applicazioni possono eseguire questa operazione usando metodi di accodamento e scaricamento disponibili nell'API Data Lake Storage. Questa proprietà consente anche alle applicazioni Microsoft come Azure Data Factory di aggiungere blocchi di dati usando le API interne. Se i carichi di lavoro dipendono da uno di questi strumenti, è possibile usare questa proprietà per evitare errori che possono essere visualizzati quando questi strumenti tentano di aggiungere dati ai BLOB.
Dopo aver configurato i criteri di immutabilità, si noterà che è limitato all'ambito del contenitore:
L'immagine seguente mostra un contenitore con criteri di conservazione basati sul tempo e un blocco legale configurato.
Per cancellare un blocco a fini giudiziari, passare alla finestra di dialogo Criteri di accesso e nel menu di scelta rapida del criterio selezionare Modifica. Eliminare quindi tutti i tag per il criterio per cancellare il blocco.
Per configurare un blocco a fini giudiziari in un contenitore con PowerShell, chiamare il comando Add-AzRmStorageContainerLegalHold . È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Per configurare un blocco a fini giudiziari in un contenitore con PowerShell, chiamare il comando az storage container legal-hold set . È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati: