Configurar políticas de imutabilidade para contêineres
Artigo
O armazenamento imutável do Armazenamento de Blobs do Azure permite aos utilizadores armazenar dados críticos para a empresa num estado WORM (Write Once, Read Many). Enquanto estiver em um estado WORM, os dados não podem ser modificados ou excluídos para um intervalo especificado pelo usuário. Ao configurar políticas de imutabilidade para dados de blob, você pode proteger seus dados contra substituições e exclusões. As políticas de imutabilidade incluem políticas de retenção baseadas no tempo e retenções legais. Para obter mais informações sobre políticas de imutabilidade para armazenamento de Blob, consulte Armazenar dados de blob críticos para os negócios com armazenamento imutável.
Uma política de imutabilidade pode ter como escopo uma versão de blob individual ou um contêiner. Este artigo descreve como configurar uma política de imutabilidade no nível do contêiner. Para saber como configurar políticas de imutabilidade no nível da versão, consulte Configurar políticas de imutabilidade para versões de blob.
Nota
Não há suporte para políticas de imutabilidade em contas que tenham o protocolo NFS (Network File System) 3.0 ou o protocolo SFTP (SSH File Transfer Protocol) habilitado.
Configurar uma política de retenção em um contêiner
Para configurar uma política de retenção baseada no tempo em um contêiner, use o portal do Azure, o PowerShell ou a CLI do Azure. Você pode configurar uma política de retenção no nível do contêiner por entre 1 e 146.000 dias.
Para configurar uma política de retenção baseada no tempo em um contêiner com o portal do Azure, siga estas etapas:
Navegue até o contêiner desejado.
Selecione o botão Mais à direita e, em seguida, selecione Política de acesso.
Na seção Armazenamento de blob imutável, selecione Adicionar política.
No campo Tipo de política, selecione Retenção com base no tempo e especifique o período de retenção em dias.
Para criar uma política com escopo de contêiner, não marque a caixa Habilitar imutabilidade no nível da versão.
Escolha se deseja permitir gravações de acréscimo protegidas.
A opção Acrescentar blobs permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Acrescentar bloco .
A opção Bloquear e acrescentar blobs fornece as mesmas permissões que a opção Acrescentar blobs, mas adiciona a capacidade de escrever novos blocos em um blob de bloco. A API de armazenamento de Blob não fornece uma maneira para os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando os métodos append e flush disponíveis na API do Data Lake Storage Gen2. Além disso, alguns aplicativos da Microsoft usam APIs internas para criar blobs de bloco e, em seguida, anexá-los. Se suas cargas de trabalho dependem de qualquer uma dessas ferramentas, você pode usar essa propriedade para evitar erros que podem aparecer quando essas ferramentas tentam acrescentar blocos a um blob de bloco.
Depois de configurar a política de imutabilidade, você verá que ela tem o escopo definido para o contêiner:
Para configurar uma política de retenção baseada em tempo em um contêiner com PowerShell, chame o comando Set-AzRmStorageContainerImmutabilityPolicy , fornecendo o intervalo de retenção em dias. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:
Para permitir gravações de acréscimo protegidas, defina o -AllowProtectedAppendWrite parâmetro ou -AllowProtectedAppendWriteAll como true.
A opção AllowProtectedAppendWrite permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Append Block .
A opção AllowProtectedAppendWriteAll fornece as mesmas permissões que a opção AllowProtectedAppendWrite, mas adiciona a capacidade de gravar novos blocos em um blob de bloco. A API de armazenamento de Blob não fornece uma maneira para os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando os métodos append e flush disponíveis na API do Data Lake Storage Gen2. Além disso, alguns aplicativos da Microsoft usam APIs internas para criar blobs de bloco e, em seguida, anexá-los. Se suas cargas de trabalho dependem de qualquer uma dessas ferramentas, você pode usar essa propriedade para evitar erros que podem aparecer quando essas ferramentas tentam acrescentar blocos a um blob de bloco.
Para configurar uma política de retenção baseada em tempo em um contêiner com a CLI do Azure, chame o comando az storage container immutability-policy create , fornecendo o intervalo de retenção em dias. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:
Para permitir gravações de acréscimo protegidas, defina o --allow-protected-append-writes parâmetro ou --allow-protected-append-writes-all como true.
A opção --allow-protected-append-writes permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Bloco de acréscimo .
A opção --allow-protected-append-writes-all fornece as mesmas permissões que a opção --allow-protected-append-writes , mas adiciona a capacidade de escrever novos blocos em um blob de bloco. A API de armazenamento de Blob não fornece uma maneira para os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando os métodos append e flush disponíveis na API do Data Lake Storage Gen2. Além disso, alguns aplicativos da Microsoft usam APIs internas para criar blobs de bloco e, em seguida, anexá-los. Se suas cargas de trabalho dependem de qualquer uma dessas ferramentas, você pode usar essa propriedade para evitar erros que podem aparecer quando essas ferramentas tentam acrescentar blocos a um blob de bloco.
Você pode modificar uma política de retenção baseada em tempo desbloqueada para encurtar ou aumentar o intervalo de retenção e permitir gravações adicionais para acrescentar blobs no contêiner. Você também pode excluir uma política desbloqueada.
Para modificar uma política de retenção baseada no tempo desbloqueada no portal do Azure, siga estas etapas:
Navegue até o contêiner desejado.
Selecione o botão Mais e escolha Política de acesso.
Na seção Versões de blob imutáveis, localize a política desbloqueada existente. Selecione o botão Mais e, em seguida, selecione Editar no menu.
Forneça um novo intervalo de retenção para a política. Você também pode selecionar Permitir acréscimos protegidos adicionais para permitir gravações em blobs de acréscimo protegidos.
Para eliminar uma política desbloqueada, selecione o botão Mais e, em seguida, Eliminar.
Nota
Você pode habilitar políticas de imutabilidade no nível da versão marcando a caixa de seleção Habilitar imutabilidade no nível da versão. Para obter mais informações sobre como habilitar políticas de imutabilidade no nível da versão, consulte Configurar políticas de imutabilidade para versões de blob.
Para modificar uma política desbloqueada, primeiro recupere a política chamando o comando Get-AzRmStorageContainerImmutabilityPolicy . Em seguida, chame o comando Set-AzRmStorageContainerImmutabilityPolicy para atualizar a política. Inclua o novo intervalo de retenção em dias e o -ExtendPolicy parâmetro. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:
Para modificar uma política de retenção baseada no tempo desbloqueada com a CLI do Azure, chame o comando az storage container immutability-policy extend , fornecendo o novo intervalo de retenção em dias. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:
Bloquear uma política de retenção baseada no tempo
Quando terminar de testar uma política de retenção baseada no tempo, você poderá bloqueá-la. Uma política bloqueada está em conformidade com a SEC 17a-4(f) e outras conformidades regulamentares. Você pode aumentar o intervalo de retenção de uma política bloqueada até cinco vezes, mas não pode encurtá-lo.
Depois que uma política é bloqueada, você não pode excluí-la. No entanto, você pode excluir o blob depois que o intervalo de retenção expirar.
Para bloquear uma política com o portal do Azure, siga estas etapas:
Navegue até um contêiner com uma política desbloqueada.
Na seção Versões de blob imutáveis, localize a política desbloqueada existente. Selecione o botão Mais e, em seguida, selecione Bloquear política no menu.
Uma retenção legal armazena dados imutáveis até que a retenção legal seja explicitamente liberada. Para saber mais sobre políticas de retenção legal, consulte Retenções legais para dados de blob imutáveis.
Para configurar uma retenção legal em um contêiner com o portal do Azure, siga estas etapas:
Navegue até o contêiner desejado.
Selecione o botão Mais e escolha Política de acesso.
Na seção Versões de blob imutáveis, selecione Adicionar política.
Escolha Retenção legal como o tipo de política.
Adicione uma ou mais tags de retenção legal.
Escolha se deseja permitir gravações de acréscimo protegidas e selecione Salvar.
A opção Acrescentar blobs permite que suas cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo usando a operação Acrescentar bloco .
Essa configuração também adiciona a capacidade de gravar novos blocos em um blob de bloco. A API de armazenamento de Blob não fornece uma maneira para os aplicativos fazerem isso diretamente. No entanto, os aplicativos podem fazer isso usando os métodos append e flush disponíveis na API do Data Lake Storage Gen2. Além disso, essa propriedade permite que aplicativos da Microsoft, como o Azure Data Factory, acrescentem blocos de dados usando APIs internas. Se suas cargas de trabalho dependem de qualquer uma dessas ferramentas, você pode usar essa propriedade para evitar erros que podem aparecer quando essas ferramentas tentam acrescentar dados a blobs.
Depois de configurar a política de imutabilidade, você verá que ela tem o escopo definido para o contêiner:
A imagem a seguir mostra um contêiner com uma política de retenção baseada em tempo e retenção legal configurada.
Para limpar uma retenção legal, navegue até a caixa de diálogo Política de acesso e, no menu de contexto da política, selecione Editar. Em seguida, exclua todas as tags da política para limpar a retenção.
Para configurar uma retenção legal em um contêiner com o PowerShell, chame o comando Add-AzRmStorageContainerLegalHold . Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:
Para configurar uma retenção legal em um contêiner com o PowerShell, chame o comando az storage container legal-hold set . Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:
