Funktionsweise von SnapLock - FSx für ONTAP
AufbewahrungsmodiSnapLock-AdministratorSnapLockVolumen der Audit-LogsGreifen Sie auf Ihre Daten in einem SnapLock Volume zuSnapLockund SSD-Kapazität verringern den Betrieb

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von SnapLock

SnapLockkann Ihnen helfen, gesetzliche und behördliche Auflagen zu erfüllen, indem verhindert wird, dass Ihre Dateien gelöscht, geändert oder umbenannt werden. Wenn Sie ein SnapLock Volume erstellen, legen Sie Ihre Dateien fest, um sie einmal zu schreiben, zu lesen (WORM) und legen Aufbewahrungsfristen für die Daten fest. Ihre Dateien können für einen bestimmten Zeitraum oder auf unbestimmte Zeit in einem nicht löschbaren, nicht schreibbaren Zustand gespeichert werden.

Wichtig

Sie müssen angeben, ob ein Volume die SnapLock Einstellungen zum Zeitpunkt der Erstellung verwendet. Ein SnapLock Nicht-Volume kann nach der Erstellung nicht in ein SnapLock Volume umgewandelt werden.

Aufbewahrungsmodi

SnapLockhat zwei Aufbewahrungsmodi: Compliance und Enterprise. Amazon FSx for NetApp ONTAP unterstützt beide. Sie haben unterschiedliche Anwendungsfälle und einige Funktionen unterscheiden sich, aber beide schützen Ihre Daten mithilfe des WORM-Modells vor Änderung oder Löschung. In der folgenden Tabelle werden einige Gemeinsamkeiten und Unterschiede zwischen diesen Aufbewahrungsmodi erläutert.

SnapLock-Feature Grundlegendes zu SnapLock Compliance SnapLockEnterprise verstehen
Beschreibung Dateien, die auf einem Compliance-Volume nach WORM übertragen wurden, können erst gelöscht werden, wenn ihre Aufbewahrungsfristen abgelaufen sind. Dateien, die auf einem Enterprise-Volume auf WORM übertragen wurden, können von autorisierten Benutzern mithilfe von Privileged Delete vor Ablauf ihrer Aufbewahrungsfristen gelöscht werden.
Anwendungsfälle

  • Um behördliche oder branchenspezifische Vorschriften wie SEC-Regel 17a-4 (f), FINRA-Regel 4511 und CFTC-Verordnung 1.31 zu erfüllen.

  • Zum Schutz vor Ransomware-Angriffen.

  • Um die Datenintegrität und interne Compliance eines Unternehmens zu verbessern.

  • Um die Aufbewahrungseinstellungen zu testen, bevor Sie SnapLock Compliance verwenden.

Autocommit Ja Ja
Ereignisbasierte Aufbewahrung (EBR)1 Ja Ja
Rechtlicher Hinweis1 Ja Nein
Verwenden Sie privilegiertes Löschen Nein Ja
Modus zum Anhängen von Volumen Ja Ja
SnapLockVolumen der Audit-Logs Ja Ja
Anmerkung

1 EBR- und Legal Hold-Operationen werden in der ONTAP CLI und der REST-API unterstützt.

Anmerkung

FSx for ONTAP unterstützt die Zuordnung von Daten zum Kapazitätspool auf allen SnapLock Volumes, unabhängig vom Typ. SnapLock Weitere Informationen finden Sie unter Staffelung von Volumendaten.

SnapLock-Administrator

Sie benötigen SnapLock Administratorrechte, um bestimmte Aktionen auf SnapLock Volumes ausführen zu können. SnapLockAdministratorrechte sind in der vsadmin-snaplock Rolle in der ONTAP CLI definiert. Sie müssen Clusteradministrator sein, um ein Administratorkonto für virtuelle Speichermaschinen (SVM) mit der SnapLock Administratorrolle erstellen zu können.

Sie können die folgenden Aktionen mit der vsadmin-snaplock Rolle in der ONTAP CLI ausführen:

  • Verwalte dein eigenes Benutzerkonto, dein lokales Passwort und wichtige Informationen

  • Volumes verwalten, außer Volumen verschieben

  • Verwalten Sie Kontingente, QTrees, Snapshot-Kopien und Dateien

  • Führen Sie SnapLock Aktionen wie privilegiertes Löschen und Legal Hold durch

  • Konfigurieren Sie die Protokolle Network File System (NFS) und Server Message Block (SMB)

  • Konfigurieren Sie die Dienste Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) und Network Information Service (NIS)

  • Aufträge überwachen

Das folgende Verfahren beschreibt, wie Sie einen SnapLock Administrator in der ONTAP CLI erstellen. Sie müssen als Clusteradministrator bei einer sicheren Verbindung wie dem Secure Shell Protocol (SSH) angemeldet sein, um diese Aufgabe ausführen zu können.

Um ein SVM-Administratorkonto mit der Rolle vsadmin-snaplock in der CLI zu erstellen ONTAP

  • Führen Sie den folgenden Befehl aus. Ersetzen Sie SVM_name und durch Ihre eigenen Informationen. SnapLockAdmin

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

Weitere Informationen finden Sie unter ONTAPRollen und Benutzer.

SnapLockVolumen der Audit-Logs

Ein SnapLock Audit-Log-Volume enthält SnapLock Audit-Logs, die Zeitstempel von Ereignissen enthalten, z. B. wann ein SnapLock Administrator erstellt wurde, wann privilegierte Löschvorgänge ausgeführt wurden oder wann Dateien gesetzlich geschützt wurden. Das SnapLock Audit-Log-Volume ist eine nicht löschbare Aufzeichnung von Ereignissen.

Für die folgenden Aktionen müssen Sie ein SnapLock Audit-Log-Volume auf derselben SVM wie das SnapLock Volume erstellen:

  • Um privilegiertes Löschen auf einem SnapLock Enterprise-Volume ein- oder auszuschalten.

  • Um Legal Hold auf eine Datei in einem SnapLock Compliance-Volume anzuwenden.

Warnung

  • Die Mindestaufbewahrungsdauer für ein SnapLock Audit-Log-Volumen beträgt sechs Monate. Bis zum Ablauf dieser Aufbewahrungsfrist können das SnapLock Audit-Log-Volume sowie die zugehörige SVM und das Dateisystem nicht gelöscht werden, auch wenn das Volume im SnapLock Enterprise-Modus erstellt wurde.

  • Wenn eine Datei mithilfe von Privileged Delete gelöscht wird und ihre Aufbewahrungsdauer länger ist als die Aufbewahrungsfrist des Volumes, erbt das Audit-Log-Volume die Aufbewahrungsfrist der Datei. Wenn beispielsweise eine Datei mit einer Aufbewahrungsdauer von 10 Monaten mithilfe von Privileged Delete gelöscht wird und die Aufbewahrungsdauer des Audit-Log-Volumes sechs Monate beträgt, wird die Aufbewahrungsdauer des Audit-Log-Volumes auf 10 Monate verlängert.

Eine SVM kann nur über ein aktives SnapLock Audit-Log-Volume verfügen, dieses kann jedoch von mehreren SnapLock Volumes auf der SVM gemeinsam genutzt werden. Um ein SnapLock Audit-Log-Volume erfolgreich zu mounten, stellen Sie den Verbindungspfad auf ein. /snaplock_audit_log Dieser Verbindungspfad kann von keinem anderen Volume verwendet werden, auch nicht von Volumes, bei denen es sich nicht um Audit-Log-Volumes handelt.

Sie finden die SnapLock Audit-Logs im /snaplock_log Verzeichnis unter dem Stammverzeichnis des Audit-Log-Volumes. Privilegierte Löschvorgänge werden im privdel_log Unterverzeichnis protokolliert. Start- und Endvorgänge mit Legal Hold werden protokolliert. /snaplock_log/legal_hold_logs/ Alle anderen Protokolle werden im system_log Unterverzeichnis gespeichert.

Sie können mit der FSx Amazon-Konsole, der Amazon-API sowie der AWS CLIONTAP CLI und der FSx REST-API ein SnapLock Audit-Log-Volume erstellen.

Anmerkung

Ein Datenschutz-Volume (DP) kann nicht als SnapLock Audit-Log-Volume verwendet werden.

Um das SnapLock Audit-Log-Volume mit der FSx Amazon-API zu aktivieren, verwenden Sie AuditLogVolume in CreateSnaplockConfiguration. Wählen Sie in der FSx Amazon-Konsole für Audit-Log-Volume die Option Enabled aus. Stellen Sie sicher, dass der Verbindungspfad auf eingestellt ist/snaplock_audit_log.

Greifen Sie auf Ihre Daten in einem SnapLock Volume zu

Sie können offene Dateiprotokolle wie NFS und SMB verwenden, um auf Ihre Daten in einem SnapLock Volume zuzugreifen. Das Schreiben von Daten auf ein SnapLock Volume oder das Lesen von Daten, die durch WORM geschützt sind, hat keine Auswirkungen auf die Leistung.

Sie können Dateien mit NFS und SMB zwischen SnapLock Volumes kopieren, aber sie behalten ihre WORM-Eigenschaften auf dem SnapLock Zielvolume nicht bei. Sie müssen die kopierten Dateien erneut an WORM übergeben, um zu verhindern, dass sie geändert oder gelöscht werden. Weitere Informationen finden Sie unter Dateien werden in den WORM-Status übertragen.

Sie können SnapLock Daten auch mit replizierenSnapMirror, aber das Quell- und das Zielvolume müssen SnapLock Volumes mit demselben Aufbewahrungsmodus sein (z. B. müssen beide Volumes Compliance oder Enterprise sein).

SnapLockund SSD-Kapazität verringern den Betrieb

Beachten Sie vor der Erstellung eines SnapLock Volumes die folgenden Punkte in Bezug auf SSD-Abnahmen:

  • Amazon FSx lehnt Anfragen zur Verringerung der SSD-Kapazität auf Dateisystemen ab, die SnapLock Volumes enthalten.

  • Sie können während eines Vorgangs zur Verringerung der SSD-Kapazität keine SnapLock Volumes erstellen.

Diese Einschränkungen bestehen darin, ONTAP dass für das SnapLock Audit-Log-Volume eine Mindestaufbewahrungsdauer von 6 Monaten vorgeschrieben ist. Dadurch würde verhindert, dass das Dateisystem während dieses Zeitraums gelöscht wird, wenn ein SnapLock Volume im Rahmen einer SSD-Reduzierung verschoben würde.

Wenn Sie die SSD-Kapazität in einem Dateisystem mit SnapLock Volumes verringern müssen, müssten Sie Ihre Daten auf ein neues Dateisystem mit kleinerer SSD-Kapazität migrieren. Weitere Informationen zu Vorgängen zur Verringerung der SSD-Kapazität, einschließlich Einschränkungen und Überlegungen, finden Sie unterAktualisierung des Dateisystems, des SSD-Speichers und der IOPS.