Cómo funciona SnapLock - FSx para ONTAP
Modos de retenciónAdministrador de SnapLockRegistros de auditoría SnapLockAcceder a los datos de un volumen SnapLockSnapLocky la capacidad del SSD reducen las operaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona SnapLock

SnapLock puede ayudarlo a cumplir con los fines normativos y de gobierno al evitar que sus archivos se eliminen, cambien o cambien de nombre. Cuando creas un volumen SnapLock, compromete sus archivos a un almacenamiento de escritura única y lectura múltiple (WORM) y estableces periodos de retención para los datos. Los archivos se pueden almacenar en un estado que no se pueda borrar ni escribir durante un período determinado o de forma indefinida.

importante

Debe especificar si un volumen utilizará la configuración de SnapLock en el momento de su creación. Un volumen que no sea un volumen SnapLock no se puede convertir en un volumen SnapLock después de su creación.

Modos de retención

SnapLock tiene dos modos de retención: Conformidad y Empresarial. Amazon FSx for NetApp ONTAP es compatible con ambos. Tienen distintos casos de uso y algunas de sus características son diferentes, pero ambas protegen los datos contra la modificación o la eliminación mediante el modelo WORM. En la siguiente tabla se explican algunas de las similitudes y diferencias entre estos modos de retención.

Característica de SnapLock Entendiendo SnapLock el cumplimiento Entendiendo la SnapLock empresa
Descripción Los archivos que se hayan transferido a WORM en un volumen de Conformidad no se pueden eliminar hasta que venzan sus períodos de retención. Los usuarios autorizados pueden eliminar los archivos que hayan pasado a WORM en un volumen empresarial antes de que venzan sus períodos de retención mediante la eliminación privilegiada.
Casos de uso

  • Para cumplir los mandatos gubernamentales o específicos del sector, como la Norma 17a-4(f) de la SEC, la Norma 4511 de la FINRA y el Reglamento 1.31 de la CFTC.

  • Cómo protegerse contra los ataques de ransomware

  • Para promover la integridad de los datos y la conformidad interna de una organización.

  • Para probar la configuración de retención antes de usar Conformidad de SnapLock.

Confirmación automática
Retención basada en eventos (EBR)1
Retención legal1 No
Uso de la eliminación privilegiada No
Modo añadir volumen
Registros de auditoría SnapLock
nota

1 Las operaciones de EBR y retención legal se admiten en la ONTAP CLI y la API REST.

nota

FSx para ONTAP, admite la organización por niveles de los datos en el conjunto de capacidades de todos los SnapLock volúmenes, independientemente del tipo. SnapLock Para obtener más información, consulte Organización de datos de volumen en niveles.

Administrador de SnapLock

Debe tener privilegios de administrador de SnapLock para realizar determinadas acciones en los volúmenes SnapLock. Los permisos de administrador SnapLock se definen en el rol vsadmin-snaplock de la CLI ONTAP. Debe ser administrador de clústeres para crear una cuenta de administrador de máquinas virtuales de almacenamiento (SVM) con la función de administrador SnapLock.

Puede realizar las siguientes acciones con el rol vsadmin-snaplock en la CLI ONTAP:

  • Administre su propia cuenta de usuario, contraseña local e información clave

  • Administre los volúmenes, excepto los volúmenes móviles

  • Gestione las cuotas, los qtrees, las copias instantáneas y los archivos

  • Realice acciones de SnapLock, como la eliminación privilegiada y la retención legal

  • Configuración de los protocolos de Network File System (NFS) y Server Message Block (SMB)

  • Configure los servicios del Sistema de nombres de dominio (DNS), el Protocolo ligero de acceso a directorios (LDAP) y el Servicio de información de red (NIS)

  • Monitorear trabajos

El siguiente procedimiento detalla cómo crear un administrador SnapLock en la CLI ONTAP. Para realizar esta tarea, debe iniciar sesión como administrador del clúster en una conexión segura, como Secure Shell Protocol (SSH).

Para crear una cuenta de administrador de SVM con la función vsadmin-snaplock en la CLI ONTAP.

  • Ejecute el siguiente comando. Sustituya SVM_name y SnapLockAdmin con su propia información.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

Para obtener más información, consulte Usuarios y roles de ONTAP.

Registros de auditoría SnapLock

Un volumen de registro de auditoría SnapLock contiene registros de auditoría SnapLock, que contienen marcas temporales de eventos, como cuándo se creó un administrador SnapLock, cuándo se ejecutaron operaciones de eliminación con privilegios o cuándo se impuso una retención legal a los archivos. El volumen del registro de auditoría SnapLock es un registro de eventos que no se puede borrar.

Debe crear un volumen de registro de auditoría SnapLock en la misma SVM que el volumen SnapLock para realizar las siguientes acciones:

  • Para activar o desactivar la eliminación privilegiada en un volumen Empresarial de SnapLock .

  • Aplicar una retención legal a un archivo de un volumen de Conformidad de SnapLock.

aviso

  • El período mínimo de retención de un volumen de registro de auditoría SnapLock es de seis meses. Hasta que venza este período de retención, el volumen del registro de auditoría SnapLock y la SVM y el sistema de archivos asociados a él no se pueden eliminar aunque el volumen se haya creado en modo Empresarial SnapLock.

  • Si un archivo se elimina mediante una eliminación privilegiada y su período de retención es superior al período de retención del volumen, el volumen del registro de auditoría hereda el período de retención del archivo. Por ejemplo, si un archivo que tiene un período de retención de 10 meses se elimina mediante una eliminación privilegiada y el período de retención del volumen del registro de auditoría es de seis meses, el período de retención del volumen del registro de auditoría se amplía a 10 meses.

Sólo puede tener un volumen de registro de auditoría SnapLock activo en una SVM, pero varios volúmenes SnapLock de la SVM pueden compartirlo. Para montar correctamente un volumen de registro de auditoría SnapLock, defina la ruta de unión en /snaplock_audit_log. Ningún otro volumen puede utilizar esta ruta de unión, incluidos los volúmenes que no son volúmenes de registro de auditoría.

Puede encontrar los registros de auditoría SnapLock en el directorio /snaplock_log debajo de la raíz del volumen del registro de auditoría. Las operaciones de eliminación con privilegios se registran en el subdirectorio privdel_log. Las operaciones de inicio y fin de retención legal se registran en /snaplock_log/legal_hold_logs/. Todos los demás registros se almacenan en el subdirectorio system_log.

Puede crear un volumen de registro de SnapLock auditoría con la FSx consola de Amazon AWS CLI, la FSx API de Amazon y las API ONTAP CLI y REST.

nota

Un volumen de protección de datos (DP) no se puede utilizar como volumen de registro de auditoría SnapLock.

Para activar el volumen del registro de SnapLock auditoría con la FSx API de Amazon, AuditLogVolume utilízalo en CreateSnaplockConfiguration. En la FSx consola de Amazon, en Audit log volume, selecciona Enabled. Asegúrese de que la Ruta de unión está configurada como /snaplock_audit_log.

Acceder a los datos de un volumen SnapLock

Puede utilizar protocolos de archivos abiertos, como NFS y SMB, para acceder a los datos de un volumen SnapLock. Escribir datos en un volumen SnapLock o leer datos protegidos por WORM no afecta al rendimiento.

Puede copiar archivos de un volumen SnapLock a otro con NFS y SMB, pero no conservarán sus propiedades WORM en el volumen SnapLock de destino. Debe volver a enviar los archivos copiados a WORM para evitar que se modifiquen o eliminen. Para obtener más información, consulte Pasar archivos a estado WORM.

También puede replicar datos SnapLock con SnapMirror, pero los volúmenes de origen y destino deben ser volúmenes SnapLock con el mismo modo de retención (por ejemplo, ambos deben ser Conformidad o Empresarial).

SnapLocky la capacidad del SSD reducen las operaciones

Tenga en cuenta estos puntos sobre las disminuciones de SSD antes de crear un SnapLock volumen:

  • Amazon FSx rechazará las solicitudes de reducción de la capacidad de los SSD en los sistemas de archivos que contengan SnapLock volúmenes.

  • No puedes crear SnapLock volúmenes durante una operación de reducción de la capacidad de una SSD.

Estas limitaciones existen porque se ONTAP impone un período mínimo de retención de 6 meses para el volumen del registro de SnapLock auditoría, lo que impediría que el sistema de archivos se eliminara durante ese período si se moviera un SnapLock volumen como parte de una operación de reducción de SSD.

Si necesita reducir la capacidad de la SSD en un sistema de archivos con SnapLock volúmenes, tendrá que migrar los datos a un nuevo sistema de archivos con una capacidad de SSD más pequeña. Para obtener más información sobre las operaciones de reducción de la capacidad de los SSD, incluidas las limitaciones y consideraciones, consulteActualización del almacenamiento en SSD e IOPS del sistema de archivos.