Fonctionnement d’SnapLock - FSx pour ONTAP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement d’SnapLock

SnapLockpeut vous aider à respecter les objectifs réglementaires et de gouvernance en empêchant la suppression, la modification ou le changement de nom de vos fichiers. Lorsque vous créez un SnapLock volume, vous validez vos fichiers pour qu'ils soient stockés en écriture unique, en lecture multiple (WORM) et vous définissez des périodes de conservation pour les données. Vos fichiers peuvent être stockés dans un état non effaçable et non inscriptible pendant une période déterminée ou indéfiniment.

Important

Vous devez indiquer si un volume utilisera SnapLock les paramètres au moment de sa création. Un SnapLock non-volume ne peut pas être converti en SnapLock volume après sa création.

Modes de conservation

SnapLockpropose deux modes de rétention : Compliance et Enterprise. Amazon FSx for NetApp ONTAP prend en charge les deux. Ils ont différents cas d'utilisation et certaines fonctionnalités diffèrent, mais ils protègent tous deux vos données contre toute modification ou suppression à l'aide du modèle WORM. Le tableau suivant explique certaines des similitudes et des différences entre ces modes de rétention.

Fonctionnalité SnapLock Comprendre la SnapLock conformité Comprendre SnapLock l'entreprise
Description Les fichiers transférés vers WORM sur un volume de conformité ne peuvent pas être supprimés avant l'expiration de leur période de conservation. Les fichiers transférés vers WORM sur un volume Enterprise peuvent être supprimés par les utilisateurs autorisés avant l'expiration de leur période de conservation à l'aide de la suppression privilégiée.
Cas d’utilisation
  • Pour répondre à des mandats spécifiques au gouvernement ou à l'industrie tels que la règle 17a-4 (f) de la SEC, la règle 4511 de la FINRA et le règlement 1.31 de la CFTC.

  • Pour vous protéger contre les attaques de rançongiciels.

  • Pour améliorer l'intégrité des données et la conformité interne d'une entreprise.

  • Pour tester les paramètres de rétention avant d'utiliser SnapLock Compliance.

Commission automatique Oui Oui
Rétention basée sur les événements (EBR)1 Oui Oui
Maintien légal1 Oui Non
Utilisation de la suppression privilégiée Non Oui
Mode d'ajout de volumes Oui Oui
SnapLockvolumes des journaux d'audit Oui Oui
Note

1 Les opérations EBR et Legal Hold sont prises en charge dans la ONTAP CLI et l'API REST.

Note

FSx for ONTAP prend en charge la hiérarchisation des données en fonction du pool de capacités sur tous les SnapLock volumes, quel qu'en soit le SnapLock type. Pour de plus amples informations, veuillez consulter Hiérarchisation des données de volume.

administrateur SnapLock

Vous devez disposer de privilèges d'SnapLockadministrateur pour effectuer certaines actions sur les SnapLock volumes. SnapLockles privilèges d'administrateur sont définis dans le vsadmin-snaplock rôle de la ONTAP CLI. Vous devez être administrateur de cluster pour créer un compte d'administrateur de machine virtuelle de stockage (SVM) doté du rôle d'SnapLockadministrateur.

Vous pouvez effectuer les actions suivantes avec le vsadmin-snaplock rôle dans la ONTAP CLI :

  • Gérez votre propre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérez les volumes, à l'exception des volumes mobiles

  • Gérez les quotas, les qtrees, les copies instantanées et les fichiers

  • Réaliser SnapLock des actions, notamment la suppression privilégiée et la conservation légale

  • Configuration des protocoles NFS (Network File System) et SMB (Server Message Block)

  • Configuration des services DNS (Domain Name System), LDAP (Lightweight Directory Access Protocol) et NIS (Network Information Service)

  • Surveillance des tâches

La procédure suivante explique comment créer un SnapLock administrateur dans la ONTAP CLI. Vous devez être connecté en tant qu'administrateur de cluster sur une connexion sécurisée, telle que le protocole Secure Shell (SSH) pour effectuer cette tâche.

Pour créer un compte administrateur de SVM avec le rôle vsadmin-snaplock dans la CLI ONTAP
  • Exécutez la commande suivante. Remplacez SVM_name et SnapLockAdmin par vos propres informations.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

Pour de plus amples informations, veuillez consulter ONTAPrôles et utilisateurs.

SnapLockvolumes des journaux d'audit

Un volume de journaux SnapLock d'audit contient des journaux SnapLock d'audit, qui contiennent les horodatages d'événements tels que le moment où un SnapLock administrateur a été créé, le moment où des opérations de suppression privilégiées ont été exécutées ou le moment où un blocage légal a été placé sur des fichiers. Le volume du journal SnapLock d'audit est un enregistrement non effaçable des événements.

Vous devez créer un volume de journal SnapLock d'audit dans la même SVM que le SnapLock volume pour effectuer les actions suivantes :

  • Pour activer ou désactiver la suppression privilégiée sur un volume SnapLock Enterprise.

  • Appliquer la suspension légale à un fichier d'un volume de SnapLock conformité.

Avertissement
  • La période de conservation minimale d'un volume de journal SnapLock d'audit est de six mois. Jusqu'à l'expiration de cette période de conservation, le volume du journal SnapLock d'audit ainsi que la SVM et le système de fichiers qui y sont associés ne peuvent pas être supprimés, même si le volume a été créé en mode SnapLock Enterprise.

  • Si un fichier est supprimé à l'aide de la suppression privilégiée et que sa durée de conservation est supérieure à celle du volume, le volume du journal d'audit hérite de la période de conservation du fichier. Par exemple, si un fichier dont la durée de conservation est de 10 mois est supprimé à l'aide de la suppression privilégiée et que la période de conservation du volume du journal d'audit est de six mois, la période de conservation du volume du journal d'audit est prolongée à 10 mois.

Vous ne pouvez avoir qu'un seul volume de journal d'SnapLockaudit actif dans une SVM, mais il peut être partagé par plusieurs SnapLock volumes de la SVM. Pour monter correctement un volume de journal SnapLock d'audit, définissez le chemin de jonction sur/snaplock_audit_log. Aucun autre volume ne peut utiliser ce chemin de jonction, y compris les volumes qui ne sont pas des volumes de journaux d'audit.

Les journaux SnapLock d'audit se trouvent dans le /snaplock_log répertoire situé à la racine du volume des journaux d'audit. Les opérations de suppression privilégiées sont enregistrées dans le privdel_log sous-répertoire. Les opérations de début et de fin de Legal Hold sont enregistrées/snaplock_log/legal_hold_logs/. Tous les autres journaux sont stockés dans le system_log sous-répertoire.

Vous pouvez créer un volume de journal SnapLock d'audit à l'aide de la FSx console Amazon, de l' FSx API Amazon, de la ONTAP CLI et de l'API REST. AWS CLI

Note

Un volume de protection des données (DP) ne peut pas être utilisé comme volume de journal d'SnapLockaudit.

Pour activer le volume du journal SnapLock d'audit avec l' FSx API Amazon, utilisez AuditLogVolume le CreateSnaplockConfiguration. Dans la FSx console Amazon, pour Audit log Volume, sélectionnez Enabled. Assurez-vous que le chemin de jonction est défini sur/snaplock_audit_log.

Accès à vos données dans un SnapLock volume

Vous pouvez utiliser des protocoles de fichiers ouverts tels que NFS et SMB pour accéder à vos données dans un SnapLock volume. L'écriture de données sur un SnapLock volume ou la lecture de données protégées par WORM n'ont aucun impact sur les performances.

Vous pouvez copier des fichiers entre SnapLock volumes avec NFS et SMB, mais ils ne conserveront pas leurs propriétés WORM sur le volume de destinationSnapLock. Vous devez réattribuer les fichiers copiés à WORM pour éviter qu'ils ne soient modifiés ou supprimés. Pour de plus amples informations, veuillez consulter Validation de fichiers à l'état WORM.

Vous pouvez également répliquer SnapLock des données avecSnapMirror, mais les volumes source et de destination doivent être des SnapLock volumes dotés du même mode de conservation (par exemple, les deux doivent être Compliance ou Enterprise).

SnapLocket la capacité du SSD diminuent les opérations

Tenez compte des points suivants concernant la diminution du SSD avant de créer un SnapLock volume :

  • Amazon FSx rejettera les demandes de réduction de capacité des SSD sur les systèmes de fichiers contenant des SnapLock volumes.

  • Vous ne pouvez pas créer de SnapLock volumes lors d'une opération de réduction de la capacité d'un SSD.

Ces limites existent car elle ONTAP impose une période de conservation minimale de 6 mois pour le volume du journal SnapLock d'audit, ce qui empêcherait la suppression du système de fichiers pendant cette période si un SnapLock volume était déplacé dans le cadre d'une opération de réduction du SSD.

Si vous devez réduire la capacité SSD d'un système de fichiers comportant des SnapLock volumes, vous devez migrer vos données vers un nouveau système de fichiers doté d'une capacité SSD plus petite. Pour plus d'informations sur les opérations de réduction de capacité des SSD, y compris les limites et les considérations, voirMise à jour du système de fichiers, du stockage SSD et des IOPS.