In che modo SnapLock funzionamento

SnapLock può aiutarti a soddisfare gli obiettivi normativi e di governance impedendo che i tuoi file vengano eliminati, modificati o rinominati. Quando crei un SnapLock volume, si affidano i file allo storage WORM (write one, read many) e si impostano i periodi di conservazione dei dati. I file possono essere archiviati in uno stato non cancellabile e non scrivibile per un periodo prestabilito o a tempo indeterminato.

Importante

È necessario specificare se un volume utilizzerà SnapLock impostazioni al momento della creazione. Un non-SnapLock il volume non può essere convertito in un SnapLock volume dopo la creazione.

Modalità di conservazione

SnapLock dispone di due modalità di conservazione: Compliance ed Enterprise. Amazon FSx for NetApp ONTAP li supporta entrambi. Hanno casi d'uso diversi e alcune funzionalità sono diverse, ma entrambe proteggono i dati dalla modifica o dall'eliminazione utilizzando il modello WORM. Nella tabella seguente vengono illustrate alcune delle somiglianze e delle differenze tra queste modalità di conservazione.

SnapLock caratteristica	Comprensione SnapLock Conformità	Comprensione SnapLock Enterprise
Descrizione	I file trasferiti a WORM su un volume Compliance non possono essere eliminati fino alla scadenza dei relativi periodi di conservazione.	I file trasferiti a WORM su un volume Enterprise possono essere eliminati dagli utenti autorizzati prima della scadenza dei periodi di conservazione utilizzando l'eliminazione privilegiata.
Casi d'uso	Per soddisfare mandati governativi o specifici del settore, come la regola SEC 17a-4 (f), la regola FINRA 4511 e il regolamento CFTC 1.31. Per proteggersi dagli attacchi ransomware.	Promuovere l'integrità dei dati e la conformità interna di un'organizzazione. Per testare le impostazioni di conservazione prima dell'uso SnapLock Conformità.
Commit automatico	Sì	Sì
Conservazione basata sugli eventi (EBR)1	Sì	Sì
Conservazione a fini legali1	Sì	No
Utilizzo dell'eliminazione privilegiata	No	Sì
modalità Volume-append	Sì	Sì
SnapLock volumi dei registri di controllo	Sì	Sì

Nota

¹ Le operazioni EBR e Legal Hold sono supportate nel ONTAP CLI e API REST.

Nota

FSx for ONTAP supporta il tiering dei dati nel pool di capacità su tutti SnapLock volumi, indipendentemente dal SnapLock . Per ulteriori informazioni, consulta Suddivisione dei volumi di dati su più livelli.

SnapLock amministratore

È necessario avere... SnapLock privilegi di amministratore per eseguire determinate azioni su SnapLock volumi. SnapLock i privilegi di amministratore sono definiti nel vsadmin-snaplock ruolo nel ONTAP CLI. È necessario essere un amministratore del cluster per creare un account amministratore di una macchina virtuale di archiviazione (SVM) con SnapLock ruolo di amministratore.

È possibile eseguire le seguenti azioni con il vsadmin-snaplock ruolo in ONTAP CLI:

• Gestisci il tuo account utente, la password locale e le informazioni chiave

• Gestisci i volumi, tranne lo spostamento dei volumi

• Gestisci quote, qtree, copie istantanee e file

• Esegui SnapLock azioni, tra cui eliminazione con privilegi e conservazione a fini legali

• Configurazione dei protocolli Network File System (NFS) e Server Message Block (SMB)

• Configura i servizi Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) e Network Information Service (NIS)

• Monitoraggio dei lavori

La procedura seguente descrive in dettaglio come creare un SnapLock amministratore in ONTAP CLI. È necessario accedere come amministratore del cluster su una connessione sicura, ad esempio Secure Shell Protocol (SSH) per eseguire questa attività.

Per creare un account amministratore SVM con il ruolo vsadmin-snaplock nel ONTAP CLI

• Esegui il comando seguente. Sostituisci SVM_name e con le tue informazioni. SnapLockAdmin

  cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

Per ulteriori informazioni, consulta ONTAPruoli e utenti.

SnapLock volumi dei registri di controllo

A SnapLock il volume del registro di controllo contiene SnapLock registri di controllo, che contengono i timestamp di eventi, ad esempio quando SnapLock l'amministratore è stato creato quando sono state eseguite operazioni di eliminazione privilegiate o quando è stato inserito un blocco a fini legali sui file. Il SnapLock il volume del registro di controllo è un record di eventi non cancellabile.

È necessario creare un SnapLock volume del registro di controllo nella stessa SVM del SnapLock volume per le seguenti azioni:

• Per attivare o disattivare l'eliminazione con privilegi su un SnapLock Volume aziendale.

• Per applicare la conservazione a fini legali a un file in un SnapLock Volume di conformità.

avvertimento

• Il periodo minimo di conservazione per un SnapLock il volume del registro di controllo è di sei mesi. Fino alla scadenza di questo periodo di conservazione, SnapLock il volume del registro di controllo e la SVM e il file system ad esso associati non possono essere eliminati anche se il volume è stato creato in SnapLock modalità Enterprise.

• Se un file viene eliminato utilizzando l'eliminazione privilegiata e il periodo di conservazione è più lungo del periodo di conservazione del volume, il volume del registro di controllo eredita il periodo di conservazione del file. Ad esempio, se un file con un periodo di conservazione di 10 mesi viene eliminato utilizzando l'eliminazione privilegiata e il periodo di conservazione del volume del registro di controllo è di sei mesi, il periodo di conservazione del volume del registro di controllo viene esteso a 10 mesi.

È possibile averne solo uno attivo SnapLock volume del registro di controllo in una SVM, ma può essere condiviso da più persone SnapLock volumi nella SVM. Per montare un SnapLock controlla correttamente il volume del registro, imposta il percorso di giunzione su/snaplock_audit_log. Nessun altro volume può utilizzare questo percorso di giunzione, compresi i volumi che non sono volumi di registro di controllo.

Puoi trovare SnapLock i registri di controllo nella /snaplock_log directory sotto la radice del volume del registro di controllo. Le operazioni di eliminazione con privilegi vengono registrate nella sottodirectory. privdel_log Le operazioni di inizio e fine di Legal Hold vengono registrate. /snaplock_log/legal_hold_logs/ Tutti gli altri registri vengono memorizzati nella sottodirectory. system_log

È possibile creare un SnapLock volume di log di controllo con la FSx console Amazon AWS CLI, l' FSx API Amazon e ONTAP CLI e API REST.

Nota

Un volume di protezione dei dati (DP) non può essere utilizzato come SnapLock volume del registro di controllo.

Per attivare il SnapLock volume di log di controllo con l' FSx API Amazon, da utilizzare AuditLogVolume in CreateSnaplockConfiguration. Nella FSx console Amazon, per Audit log volume, scegli Enabled. Assicurati che il percorso di giunzione sia impostato su/snaplock_audit_log.

Accedere ai dati in un SnapLock volume

È possibile utilizzare protocolli di file aperti come NFS e SMB per accedere ai dati in un SnapLock volume. Non vi è alcun impatto sulle prestazioni derivante dalla scrittura di dati su un SnapLock volume o derivante dalla lettura di dati protetti da WORM.

È possibile copiare i file da una parte all'altra SnapLock volumi con NFS e SMB, ma non manterranno le proprietà WORM nella destinazione SnapLock volume. È necessario raccomandare nuovamente i file copiati in WORM per evitare che vengano modificati o eliminati. Per ulteriori informazioni, consulta Immissione dei file nello stato WORM.

È inoltre possibile replicare SnapLock dati con SnapMirror, ma i volumi di origine e di destinazione devono essere SnapLock volumi con la stessa modalità di conservazione (ad esempio, entrambi devono essere Compliance o Enterprise).