Configurare i criteri di immutabilità per le versioni BLOB
L'archiviazione non modificabile per Archiviazione BLOB di Azure consente agli utenti di archiviare i dati business-critical in uno stato WORM (Write Once, Read Many). Nello stato WORM, i dati non possono essere modificati o eliminati per un intervallo specificato dall'utente. Configurando criteri di immutabilità per i dati BLOB, è possibile proteggere i dati da tentativi di sovrascrittura ed eliminazione. I criteri di immutabilità includono criteri di conservazione basati sul tempo e blocchi legali. Per altre informazioni sui criteri di immutabilità per l'archiviazione BLOB, vedere Archiviare dati BLOB critici per l'azienda con archiviazione non modificabile.
Un criterio di immutabilità può essere limitato a una singola versione del BLOB o a un contenitore. Questo articolo descrive come configurare un criterio di immutabilità a livello di versione. Per informazioni su come configurare i criteri di immutabilità a livello di contenitore, vedere Configurare i criteri di immutabilità per i contenitori.
Nota
I criteri di immutabilità non sono supportati negli account in cui è abilitato il protocollo NFS (Network File System) 3.0 o SSH File Transfer Protocol (SFTP).
La configurazione di un criterio di immutabilità a livello di versione è un processo in due passaggi:
- Abilitare prima di tutto il supporto per l'immutabilità a livello di versione in un nuovo account di archiviazione o in un contenitore nuovo o esistente. Per informazioni dettagliate, vedere Abilitare il supporto per l'immutabilità a livello di versione.
- Configurare quindi un criterio di conservazione basato sul tempo o un blocco legale applicabile a una o più versioni di BLOB in tale contenitore.
Prerequisiti
Per configurare i criteri di conservazione basati sul tempo a livello di versione, è necessario abilitare il controllo delle versioni dei BLOB per l'account di archiviazione. Tenere presente che l'abilitazione del controllo delle versioni dei BLOB può avere un impatto sulla fatturazione. Per informazioni su come abilitare il controllo delle versioni dei BLOB, consultare Abilitare e gestire il controllo delle versioni dei BLOB.
Per informazioni sulle configurazioni dell'account di archiviazione supportate per i criteri di immutabilità a livello di versione, vedere Criteri WORM a livello di versione per i dati BLOB non modificabili.
Abilitare il supporto per l'immutabilità a livello di versione
Prima di poter applicare criteri di conservazione basati sul tempo a una versione blob, è necessario abilitare il supporto per l'immutabilità a livello di versione. È possibile abilitare il supporto per l'immutabilità a livello di versione in un nuovo account di archiviazione o in un contenitore nuovo o esistente.
Abilitare il supporto dell'immutabilità a livello di versione in un account di archiviazione
È possibile abilitare il supporto per l'immutabilità a livello di versione solo quando si crea un nuovo account di archiviazione.
Per abilitare il supporto per l'immutabilità a livello di versione quando si crea un account di archiviazione nel portale di Azure, seguire questa procedura:
Passare alla pagina Account di archiviazione nella portale di Azure.
Selezionare il pulsante Crea per creare un nuovo account.
Compilare la scheda Informazioni di base.
Nella scheda Protezione dati , in Controllo di accesso, selezionare Abilita supporto di immutabilità a livello di versione. Quando si seleziona questa casella, viene selezionata automaticamente anche la casella Abilita controllo delle versioni per i BLOB.
Selezionare Rivedi e crea per convalidare i parametri dell'account e creare l'account di archiviazione.
Dopo aver creato l'account di archiviazione, è possibile configurare un criterio a livello di versione predefinito per l'account. Per altre informazioni, vedere Configurare un criterio di conservazione basato sul tempo predefinito.
Se il supporto dell'immutabilità a livello di versione è abilitato per l'account di archiviazione e l'account contiene uno o più contenitori, è necessario eliminare tutti i contenitori prima di eliminare l'account di archiviazione, anche se non sono presenti criteri di immutabilità applicati per l'account o i contenitori.
Nota
L'immutabilità a livello di versione non può essere disabilitata dopo l'abilitazione nell'account di archiviazione, anche se i criteri bloccati possono essere eliminati.
Abilitare il supporto dell'immutabilità a livello di versione in un contenitore
I contenitori nuovi ed esistenti possono essere configurati per supportare l'immutabilità a livello di versione. Tuttavia, un contenitore esistente deve essere sottoposto a un processo di migrazione per abilitare il supporto.
Tenere presente che l'abilitazione del supporto dell'immutabilità a livello di versione per un contenitore non rende i dati non modificabili in tale contenitore. È anche necessario configurare un criterio di immutabilità predefinito per il contenitore o un criterio di immutabilità in una versione blob specifica. Se è stata abilitata l'immutabilità a livello di versione per l'account di archiviazione al momento della creazione, è anche possibile configurare un criterio di immutabilità predefinito per l'account.
Abilitare l'immutabilità a livello di versione per un nuovo contenitore
Per usare un criterio di immutabilità a livello di versione, è prima necessario abilitare in modo esplicito il supporto per WORM a livello di versione nel contenitore. È possibile abilitare il supporto per WORM a livello di versione quando si crea il contenitore o quando si aggiungono criteri di immutabilità a livello di versione a un contenitore esistente.
Per creare un contenitore che supporti l'immutabilità a livello di versione nel portale di Azure, seguire questa procedura:
Passare alla pagina Contenitori per l'account di archiviazione nel portale di Azure e selezionare Aggiungi.
Nella finestra di dialogo Nuovo contenitore specificare un nome per il contenitore, quindi espandere la sezione Avanzate.
Selezionare Abilita supporto di immutabilità a livello di versione per abilitare l'immutabilità a livello di versione per il contenitore.
Se il supporto dell'immutabilità a livello di versione è abilitato per un contenitore e il contenitore contiene uno o più BLOB, è necessario eliminare tutti i BLOB nel contenitore prima di poter eliminare il contenitore, anche se non sono presenti criteri di immutabilità in vigore per il contenitore o i relativi BLOB.
Eseguire la migrazione di un contenitore esistente per supportare l'immutabilità a livello di versione
Per configurare i criteri di immutabilità a livello di versione per un contenitore esistente, è necessario eseguire la migrazione del contenitore per supportare l'archiviazione non modificabile a livello di versione. La migrazione dei contenitori potrebbe richiedere del tempo e non può essere annullata. È possibile eseguire la migrazione di 10 contenitori alla volta per ogni account di archiviazione.
Per eseguire la migrazione di un contenitore esistente per supportare i criteri di immutabilità a livello di versione, il contenitore deve disporre di criteri di conservazione basati sul tempo a livello di contenitore configurati. La migrazione ha esito negativo a meno che il contenitore non disponga di un criterio esistente. L'intervallo di conservazione per i criteri a livello di contenitore viene mantenuto come intervallo di conservazione per i criteri a livello di versione predefiniti nel contenitore.
Se il contenitore ha un blocco a livello di contenitore esistente, non può essere migrato fino a quando non viene rimosso il blocco a fini giudiziari.
Per eseguire la migrazione di un contenitore per supportare i criteri di immutabilità a livello di versione nel portale di Azure, seguire questa procedura:
Passare al contenitore desiderato.
Nel menu di scelta rapida del contenitore selezionare Criteri di accesso.
In Archiviazione BLOB non modificabile selezionare Aggiungi criterio.
Per il campo Tipo di criterio scegliere Conservazione basata sul tempo e specificare l'intervallo di conservazione.
Selezionare Abilita immutabilità a livello di versione.
Selezionare OK per creare criteri a livello di contenitore con l'intervallo di conservazione specificato e quindi avviare la migrazione al supporto dell'immutabilità a livello di versione.
Mentre è in corso l'operazione di migrazione, l'ambito dei criteri nel contenitore viene visualizzato come Contenitore. Le operazioni correlate alla gestione dei criteri di immutabilità a livello di versione non sono consentite mentre è in corso la migrazione del contenitore. Altre operazioni sui dati BLOB continueranno normalmente durante la migrazione.
Al termine della migrazione, l'ambito dei criteri nel contenitore viene visualizzato come Versione. I criteri visualizzati sono criteri predefiniti nel contenitore che si applicano automaticamente a tutte le versioni blob create successivamente nel contenitore. I criteri predefiniti possono essere sottoposti a override in qualsiasi versione specificando un criterio personalizzato per tale versione.
Configurare un criterio di conservazione basato sul tempo predefinito
Dopo aver abilitato il supporto dell'immutabilità a livello di versione per un account di archiviazione o per un singolo contenitore, è possibile specificare un criterio di conservazione predefinito basato sul tempo a livello di versione per l'account o il contenitore. Quando si specifica un criterio predefinito per un account o un contenitore, tale criterio viene applicato per impostazione predefinita a tutte le nuove versioni blob create nell'account o nel contenitore. È possibile eseguire l'override dei criteri predefiniti per qualsiasi singola versione del BLOB nell'account o nel contenitore.
I criteri predefiniti non vengono applicati automaticamente alle versioni BLOB esistenti prima della configurazione dei criteri predefiniti.
Se è stata eseguita la migrazione di un contenitore esistente per supportare l'immutabilità a livello di versione, i criteri a livello di contenitore applicati prima della migrazione vengono migrati a criteri a livello di versione predefiniti per il contenitore.
Per configurare un criterio di immutabilità a livello di versione predefinito per un account di archiviazione o un contenitore, usare il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o uno degli SDK di Archiviazione di Azure. Assicurarsi di avere abilitato il supporto per l'immutabilità a livello di versione per l'account di archiviazione o il contenitore, come descritto in Abilitare il supporto per l'immutabilità a livello di versione.
Per configurare un criterio di immutabilità a livello di versione predefinito per un account di archiviazione nella portale di Azure, seguire questa procedura:
Nel portale di Azure passare all'account di archiviazione.
In Gestione dati selezionare Protezione dei dati.
Nella pagina Protezione dati individuare la sezione Controllo di accesso. Se l'account di archiviazione è stato creato con il supporto per l'immutabilità a livello di versione, il pulsante Gestisci criteri viene visualizzato nella sezione Controllo di accesso .
Selezionare il pulsante Gestisci criteri per visualizzare la finestra di dialogo Gestisci criteri di immutabilità a livello di versione.
Aggiungere un criterio di conservazione predefinito basato sul tempo per l'account di archiviazione.
Per configurare un criterio di immutabilità a livello di versione predefinito per un contenitore nel portale di Azure, seguire questa procedura:
Nella portale di Azure passare alla pagina Contenitori e individuare il contenitore a cui si vuole applicare il criterio.
Nel menu di scelta rapida del contenitore e scegliere Criteri di accesso.
Nella finestra di dialogo Criteri di accesso, nella sezione Archiviazione BLOB non modificabile scegliere Aggiungi criterio.
Selezionare Criteri di conservazione basati sul tempo e specificare l'intervallo di conservazione.
Scegliere se consentire scritture di accodamento protette.
L'opzione Append BLOBs consente ai carichi di lavoro di aggiungere nuovi blocchi di dati alla fine di un BLOB di accodamento usando l'operazione Append Block .
L'opzione Blocca e accoda BLOB estende questo supporto aggiungendo la possibilità di scrivere nuovi blocchi in un BLOB in blocchi. L'API di archiviazione BLOB non consente alle applicazioni di eseguire questa operazione direttamente. Tuttavia, le applicazioni possono eseguire questa operazione usando metodi di accodamento e scaricamento disponibili nell'API Data Lake Storage. Questa proprietà consente anche alle applicazioni Microsoft come Azure Data Factory di aggiungere blocchi di dati usando le API interne. Se i carichi di lavoro dipendono da uno di questi strumenti, è possibile usare questa proprietà per evitare errori che possono essere visualizzati quando questi strumenti tentano di aggiungere dati ai BLOB.
Per altre informazioni su queste opzioni, vedere Consenti scritture blob di accodamento protette.
Determinare l'ambito di un criterio di conservazione in un contenitore
Per determinare l'ambito di un criterio di conservazione basato sul tempo nella portale di Azure, seguire questa procedura:
Passare al contenitore desiderato.
Nel menu di scelta rapida del contenitore selezionare Criteri di accesso.
In Archiviazione BLOB non modificabile individuare il campo Ambito . Se il contenitore è configurato con un criterio di conservazione a livello di versione predefinito, l'ambito viene impostato su Versione, come illustrato nell'immagine seguente:
Se il contenitore è configurato con un criterio di conservazione a livello di contenitore, l'ambito viene impostato su Contenitore, come illustrato nell'immagine seguente:
Configurare criteri di conservazione basati sul tempo in una versione esistente
I criteri di conservazione basati sul tempo mantengono i dati BLOB in uno stato WORM per un intervallo specificato. Per altre informazioni sui criteri di conservazione basati sul tempo, vedere Criteri di conservazione basati sul tempo per i dati BLOB non modificabili.
Per la configurazione di criteri di conservazione basati sul tempo per una versione BLOB sono disponibili tre opzioni:
- Opzione 1: è possibile configurare criteri predefiniti nell'account di archiviazione o nel contenitore che si applicano a tutti gli oggetti in tale account o contenitore. Gli oggetti nell'account o nel contenitore erediteranno i criteri predefiniti a meno che non vengano sostituiti in modo esplicito configurando criteri per una singola versione del BLOB. Per altre informazioni, vedere Configurare un criterio di conservazione basato sul tempo predefinito.
- Opzione 2: è possibile configurare criteri per la versione corrente del BLOB. Questo criterio può eseguire l'override di un criterio predefinito configurato nell'account di archiviazione o nel contenitore, se esiste un criterio predefinito e viene sbloccato. Per impostazione predefinita, tutte le versioni precedenti create dopo la configurazione dei criteri erediteranno i criteri nella versione corrente del BLOB. Per altre informazioni, vedere Configurare un criterio di conservazione nella versione corrente di un BLOB.
- Opzione 3: è possibile configurare criteri per una versione precedente di un BLOB. Questo criterio può eseguire l'override di un criterio predefinito configurato nella versione corrente, se esistente e sbloccato. Per altre informazioni, vedere Configurare criteri di conservazione in una versione precedente di un BLOB.
Per altre informazioni sul controllo delle versioni dei BLOB, vedere Controllo delle versioni per i BLOB.
Il portale di Azure visualizza un elenco di BLOB quando si passa a un contenitore. Ogni BLOB visualizzato rappresenta la versione corrente del BLOB. È possibile accedere a un elenco di versioni precedenti aprendo il menu di scelta rapida del BLOB e scegliendo Visualizza versioni precedenti.
Configurare un criterio di conservazione nella versione corrente di un BLOB
Per configurare criteri di conservazione basati sul tempo nella versione corrente di un BLOB, seguire questa procedura:
Passare al contenitore in cui è presente il BLOB di destinazione.
Nel menu di scelta rapida del BLOB e scegliere Criteri di accesso. Se un criterio di conservazione basato sul tempo è già stato configurato per la versione precedente, viene visualizzato nella finestra di dialogo Criteri di accesso.
Nella finestra di dialogo Criteri di accesso, nella sezione Versioni BLOB non modificabili scegliere Aggiungi criterio.
Selezionare Criteri di conservazione basati sul tempo e specificare l'intervallo di conservazione.
Selezionare OK per applicare i criteri alla versione corrente del BLOB.
È possibile visualizzare le proprietà di un BLOB per verificare se un criterio è abilitato nella versione corrente. Selezionare il BLOB, quindi passare alla scheda Panoramica e individuare la proprietà dei criteri di immutabilità a livello di versione. Se un criterio è abilitato, la proprietà Periodo di conservazione visualizzerà la data e l'ora di scadenza per il criterio. Tenere presente che un criterio può essere configurato per la versione corrente o può essere ereditato dal contenitore padre del BLOB se è attivo un criterio predefinito.
Configurare un criterio di conservazione in una versione precedente di un BLOB
È anche possibile configurare criteri di conservazione basati sul tempo in una versione precedente di un BLOB. Una versione precedente è sempre non modificabile perché non può essere modificata. Tuttavia, è possibile eliminare una versione precedente. Un criterio di conservazione basato sul tempo protegge dall'eliminazione mentre è attivo.
Per configurare criteri di conservazione basati sul tempo in una versione precedente di un BLOB, seguire questa procedura:
Passare al contenitore in cui è presente il BLOB di destinazione.
Selezionare il BLOB, quindi passare alla scheda Versioni .
Individuare la versione di destinazione, quindi scegliere Criteri di accesso nel menu di scelta rapida della versione. Se un criterio di conservazione basato sul tempo è già stato configurato per la versione precedente, viene visualizzato nella finestra di dialogo Criteri di accesso.
Nella finestra di dialogo Criteri di accesso, nella sezione Versioni BLOB non modificabili scegliere Aggiungi criterio.
Selezionare Criteri di conservazione basati sul tempo e specificare l'intervallo di conservazione.
Selezionare OK per applicare i criteri alla versione corrente del BLOB.
Configurare criteri di conservazione basati sul tempo durante il caricamento di un BLOB
Quando si usa il portale di Azure per caricare un BLOB in un contenitore che supporta l'immutabilità a livello di versione, sono disponibili diverse opzioni per la configurazione di criteri di conservazione basati sul tempo per il nuovo BLOB:
- Opzione 1: se per il contenitore è configurato un criterio di conservazione predefinito, è possibile caricare il BLOB con i criteri del contenitore. Questa opzione è selezionata per impostazione predefinita quando sono presenti criteri di conservazione nel contenitore.
- Opzione 2: se per il contenitore è configurato un criterio di conservazione predefinito, è possibile scegliere di eseguire l'override dei criteri predefiniti, definendo un criterio di conservazione personalizzato per il nuovo BLOB o caricando il BLOB senza criteri.
- Opzione 3: se non è configurato alcun criterio predefinito per il contenitore, è possibile caricare il BLOB con criteri personalizzati o senza criteri.
Per configurare criteri di conservazione basati sul tempo quando si carica un BLOB, seguire questa procedura:
Passare al contenitore desiderato e selezionare Carica.
Nella finestra di dialogo Carica BLOB espandere la sezione Avanzate.
Configurare i criteri di conservazione basati sul tempo per il nuovo BLOB nel campo Criteri di conservazione . Se è presente un criterio predefinito configurato per il contenitore, tale criterio viene selezionato per impostazione predefinita. È anche possibile specificare un criterio personalizzato per il BLOB.
Modificare o eliminare un criterio di conservazione sbloccato
È possibile modificare un criterio di conservazione basato sul tempo sbloccato per abbreviare o aumentare l'intervallo di conservazione. È anche possibile eliminare un criterio sbloccato. La modifica o l'eliminazione di un criterio di conservazione basato sul tempo sbloccato per una versione blob non influisce sui criteri applicati per altre versioni. Se è attivo un criterio di conservazione basato sul tempo predefinito per il contenitore, la versione del BLOB con i criteri modificati o eliminati non erediterà più dal contenitore.
Per modificare un criterio di conservazione basato sul tempo sbloccato nella portale di Azure, seguire questa procedura:
Individuare il contenitore o la versione di destinazione. Nel menu di scelta rapida del contenitore o della versione scegliere Criteri di accesso.
Individuare i criteri di immutabilità sbloccati esistenti. Nel menu di scelta rapida selezionare Modifica dal menu.
Specificare la nuova data e l'ora per la scadenza dei criteri.
Per eliminare i criteri sbloccati, selezionare Elimina dal menu di scelta rapida.
Bloccare un criterio di conservazione basato sul tempo
Al termine del test di un criterio di conservazione basato sul tempo, è possibile bloccare i criteri. Un criterio bloccato è conforme a SEC 17a-4(f) e ad altre normative di conformità. È possibile aumentare l'intervallo di conservazione per un criterio bloccato fino a cinque volte, ma non è possibile abbreviarlo.
Dopo aver bloccato un criterio, non è possibile eliminarlo. Tuttavia, è possibile eliminare il BLOB dopo la scadenza dell'intervallo di conservazione.
Per bloccare un criterio nella portale di Azure, seguire questa procedura:
Individuare il contenitore o la versione di destinazione. Nel menu di scelta rapida del contenitore o della versione scegliere Criteri di accesso.
Nella sezione Versioni BLOB non modificabili individuare i criteri sbloccati esistenti. Selezionare Blocca criteri dal menu di scelta rapida.
Verificare di voler bloccare il criterio.
Configurare o cancellare un blocco a fini giudiziari
Un blocco a fini giudiziari archivia i dati non modificabili fino a quando non viene cancellato in modo esplicito. Per altre informazioni sui criteri di blocco legale, vedere Blocchi legali per i dati BLOB non modificabili.
Per configurare un blocco a fini giudiziari per una versione del BLOB, è prima necessario abilitare il supporto dell'immutabilità a livello di versione nell'account di archiviazione o nel contenitore. Per altre informazioni, vedere Abilitare il supporto per l'immutabilità a livello di versione.
Per configurare un blocco a fini giudiziari per una versione del BLOB con il portale di Azure, seguire questa procedura:
Individuare la versione di destinazione, che può essere la versione corrente o una versione precedente di un BLOB. Nel menu di scelta rapida della versione di destinazione scegliere Criteri di accesso.
Nella sezione Versioni BLOB non modificabili selezionare Aggiungi criterio.
Scegliere Blocco a fini giudiziari come tipo di criterio e selezionare OK per applicarlo.
L'immagine seguente mostra una versione corrente di un BLOB con criteri di conservazione basati sul tempo e un blocco legale configurato.
Per cancellare un blocco a fini giudiziari, passare alla finestra di dialogo Criteri di accesso , nel menu di scelta rapida scegliere Elimina.