Configura as políticas de imutabilidade para os contêineres
Artigo
O armazenamento imutável para o Armazenamento de Blobs do Azure habilita os usuários a armazenar dados comercialmente críticos em um estado WORM (gravar uma vez, ler várias vezes). Durante o estado de WORM, os dados não podem ser modificados nem excluídos em um intervalo especificado pelo usuário. Ao configurar políticas de imutabilidade para dados de blob, você protege seus dados contra substituições e exclusões. As políticas de imutabilidade incluem retenções legais e políticas baseadas em tempo. Confira mais informações sobre armazenamento imutável para o Armazenamento de Blobs em Armazenar dados de blob comercialmente críticos com armazenamento imutável.
Uma política de imutabilidade pode ter o escopo definido para uma versão individual de blob ou para um contêiner. Este artigo descreve como configurar uma política de imutabilidade no nível de contêiner. Para saber como configurar políticas de imutabilidade no nível da versão, veja Configurar políticas de imutabilidade para versões de blob.
Observação
Não há suporte para políticas de imutabilidade em contas que têm o protocolo NFS (Network File System) 3.0 ou o protocolo SFTP (SSH File Transfer Protocol) habilitado.
Configurar uma política de retenção em um contêiner
Para configurar uma política de retenção baseada em tempo em um contêiner, use o portal do Azure, o PowerShell ou o CLI do Azure. Você pode configurar uma política de retenção em nível de contêiner entre 1 e 146.000 dias.
Para configurar uma política de retenção no contêiner com o portal do Azure, siga estas etapas:
Navegue até o contêiner desejado.
Selecione o botão Mais à direita e, em seguida, selecione Política de acesso.
Na seção Armazenamento de blobs imutável, selecione Adicionar política.
No campo Tipo de política, selecione Retenção baseada em tempo e especifique o período de retenção em dias.
Para criar uma política com escopo de contêiner, não marque a caixa Habilitar imutabilidade em nível de versão.
Escolha se deseja permitir gravações de acréscimo protegidas.
A opção Acrescentar blobs permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Bloco de Acréscimo.
A opção Bloquear e acrescentar blobs fornece as mesmas permissões que a opção Acrescentar blobs, mas adiciona a capacidade de gravar novos blocos em um blob de blocos. A API de Armazenamento de Blobs não fornece uma maneira de os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando métodos de acréscimo e liberação disponíveis na API do Data Lake Storage Gen2. Além disso, alguns aplicativos da Microsoft usam APIs internas para criar blobs de blocos e, em seguida, acrescentar a eles. Se suas cargas de trabalho dependerem de qualquer uma dessas ferramentas, você poderá usar essa propriedade para evitar erros que possam aparecer quando essas ferramentas tentarem acrescentar blobs a um blob de blocos.
Depois de configurar a política de imutabilidade, você verá que ela tem como escopo o contêiner:
Para configurar uma política de retenção baseada em tempo em um contêiner com o PowerShell, chame o comando Set-AzRmStorageContainerImmutabilityPolicy, fornecendo o intervalo de retenção em dias. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
Para permitir gravações de acréscimo protegidas, defina o parâmetro -AllowProtectedAppendWrite ou o parâmetro -AllowProtectedAppendWriteAll como true.
A opção AllowProtectedAppendWrite permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Bloco de Acréscimo.
A opção AllowProtectedAppendWriteAll fornece as mesmas permissões que a opção AllowProtectedAppendWrite, mas adiciona a capacidade de gravar novos blocos em um blob de blocos. A API de Armazenamento de Blobs não fornece uma maneira de os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando métodos de acréscimo e liberação disponíveis na API do Data Lake Storage Gen2. Além disso, alguns aplicativos da Microsoft usam APIs internas para criar blobs de blocos e, em seguida, acrescentar a eles. Se suas cargas de trabalho dependerem de qualquer uma dessas ferramentas, você poderá usar essa propriedade para evitar erros que possam aparecer quando essas ferramentas tentarem acrescentar blobs a um blob de blocos.
Para configurar uma política de retenção baseada em tempo em um contêiner com CLI do Azure, chame o comando az storage container immutability-policy create, fornecendo o intervalo de retenção em dias. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
Para permitir gravações de acréscimo protegidas, defina o parâmetro --allow-protected-append-writes ou o parâmetro --allow-protected-append-writes-all como true.
A opção --allow-protected-append-writes permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Bloco de Acréscimo.
A opção --allow-protected-append-writes-all fornece as mesmas permissões que a opção --allow-protected-append-writes, mas adiciona a capacidade de gravar novos blocos em um blob de blocos. A API de Armazenamento de Blobs não fornece uma maneira de os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando métodos de acréscimo e liberação disponíveis na API do Data Lake Storage Gen2. Além disso, alguns aplicativos da Microsoft usam APIs internas para criar blobs de blocos e, em seguida, acrescentar a eles. Se suas cargas de trabalho dependerem de qualquer uma dessas ferramentas, você poderá usar essa propriedade para evitar erros que possam aparecer quando essas ferramentas tentarem acrescentar blobs a um blob de blocos.
Você pode modificar uma política de retenção baseada em tempo desbloqueada para reduzir ou aumentar o intervalo de retenção e permitir gravações adicionais para acrescentar blobs ao contêiner. Você também pode excluir uma política desbloqueada.
Para modificar uma política de retenção baseada em tempo desbloqueada no portal do Azure, siga estas etapas:
Navegue até o contêiner desejado.
Selecione o botão Mais e escolha Política de acesso.
Na seção Versões de blob imutáveis, localize a política desbloqueada existente. Selecione o botão Mais e, em seguida, escolha Editar no menu.
Forneça um novo intervalo de retenção para a política. Você também pode marcar Permitir acréscimos protegidos adicionais para permitir gravações em blobs de acréscimo protegidos.
Para excluir uma política desbloqueada, selecione o botão Mais e, em seguida, Excluir.
Observação
Você pode ativar políticas de imutabilidade em nível de versão marcando a caixa de seleção Habilitar imutabilidade em nível de versão. Para obter mais informações sobre como habilitar políticas de imutabilidade de nível de versão, confiraConfigurar políticas de imutabilidade para versões de blob.
Para modificar uma política desbloqueada, primeiro recupere a política chamando o comando Get-AzRmStorageContainerImmutabilityPolicy. Em seguida, chame o comando Set-AzRmStorageContainerImmutabilityPolicy para atualizar a política. Inclua o novo intervalo de retenção em dias e o parâmetro -ExtendPolicy. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
Para modificar uma política de retenção baseada em tempo desbloqueada com CLI do Azure, chame o comando az storage container immutability-policy extend, fornecendo o novo intervalo de retenção em dias. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
Quando você termina de testar uma política de retenção baseada em tempo, pode bloqueá-la. Políticas bloqueadas estão em conformidade com a SEC 17a-4(f) e outras conformidades regulatórias. Você pode estender o intervalo de retenção de uma política bloqueada até cinco vezes, mas não pode reduzi-lo.
Depois que uma política é bloqueada, você não pode mais excluí-la. No entanto, você pode excluir o blob depois que o intervalo de retenção tiver expirado.
Para bloquear a política com o portal do Azure, siga estas etapas:
Navegue até um contêiner que tem uma política desbloqueada.
Na seção Versões de blob imutáveis, localize a política desbloqueada existente. Selecione o botão Mais e, em seguida, escolha Bloquear no menu.
Confirme se você quer bloquear a política.
Para bloquear uma política com o PowerShell, primeiro chame o comando Get-AzRmStorageContainerImmutabilityPolicy para recuperar a Etag da política. Em seguida, chame o comando Lock-AzRmStorageContainerImmutabilityPolicy e passe o valor da Etag para bloquear a política. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
Para bloquear uma política com o CLI do Azure, primeiro chame o comando az storage container immutability-policy show para recuperar a Etag da política. Em seguida, chame o comando az storage container immutability-policy lock e passe o valor da Etag para bloquear a política. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
A retenção legal armazena dados imutáveis até que seja explicitamente desmarcada. Para saber mais sobre as políticas de retenção legal, confira Retenções legais para dados de blob imutáveis.
Para configurar uma retenção legal em um contêiner com o portal do Azure, siga estas etapas:
Navegue até o contêiner desejado.
Selecione o botão Mais e escolha Política de acesso.
Na seção Versões de blob imutáveis, selecione Adicionar política.
Escolha Retenção legal como o tipo de política.
Adicione uma ou mais marcas de retenção legais.
Escolha se deseja permitir gravações de acréscimo protegidas e selecione Salvar.
A opção Acrescentar blobs permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Bloco de Acréscimo.
Essa configuração também adiciona a capacidade de gravar novos blocos em um blob de blocos. A API de Armazenamento de Blobs não fornece uma maneira de os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando métodos de acréscimo e liberação disponíveis na API do Data Lake Storage Gen2. Além disso, essa propriedade permite que aplicativos da Microsoft, como Azure Data Factory, acrescentem blocos de dados usando as APIs internas. Se suas cargas de trabalho dependerem de qualquer uma dessas ferramentas, você poderá usar essa propriedade para evitar erros que possam aparecer quando essas ferramentas tentarem acrescentar dados a blobs.
Depois de configurar a política de imutabilidade, você verá que ela tem como escopo o contêiner:
A imagem a seguir mostra um contêiner configurado com uma política de retenção baseada em tempo e uma retenção legal.
Para limpar uma retenção legal, navegue até a caixa de diálogo Política de acesso e, no menu de contexto da política, selecione Editar. Em seguida, exclua todas as tags da política para limpar a retenção.
Para configurar uma retenção legal em um contêiner com o PowerShell, chame o comando Add-AzRmStorageContainerLegalHold. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
Para configurar uma retenção legal em um contêiner com o PowerShell, chame o comando az storage container legal-hold set. Lembre-se de substituir os valores dos espaços reservados entre colchetes angulares pelos seus próprios valores:
