翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SnapLock の働き
SnapLock を使うと、ファイルが削除、変更されたり、その名前が変更されたりするのを防ぐことにより、規制やガバナンス上の目的を満たすことができます。SnapLock ボリュームを作成するときは、ファイルを 1 回書き込み、多数の (WORM) ストレージの読み取り、データの保持期間の設定をコミットします。ファイルは、指定した期間だけ、または無期限に、消去不可または書き込み不可の状態で保存できます。
重要
ボリュームの作成時に、SnapLock の設定を使用するかどうかを指定する必要があります。作成後は、SnapLock ではないボリュームを SnapLock に変換することはできません。
リテンションモード
SnapLock には、Compliance と Enterprise という 2 種類の保持モードがあります。Amazon FSx for NetApp ONTAP は、両方をサポートしています。ユースケースは異なり、一部の機能は異なりますが、どちらもWORMモデルを使用してデータを変更または削除しないように保護します。以下の表は、両方の保持モードの類似点と相違点をまとめたものです。
SnapLock 機能 | SnapLock Compliance | SnapLock Enterprise |
---|---|---|
説明 | Compliance ボリュームWORMの に移行したファイルは、保持期間が終了するまで削除できません。 | Enterprise ボリュームWORMの に移行したファイルは、権限のあるユーザーが特権削除を使用して保持期間が終了する前に削除できます。 |
ユースケース |
|
|
自動コミット | はい | はい |
イベントベースの保持 (EBR)* | はい | はい |
リーガルホールド* | はい | いいえ |
特権削除 | いいえ | はい |
ボリューム付加モード | はい | はい |
SnapLock 監査ログボリューム | はい | あり |
*EBR およびリーガルホールドオペレーションは、 ONTAPCLIおよび REST でサポートされていますAPI。
注記
FSx for ONTAPは、SnapLockタイプに関係なく、すべてのSnapLockボリュームの容量プールへのデータの階層化をサポートします。詳細については、「ボリュームデータの階層化」を参照してください。
SnapLock 管理者
SnapLock ボリュームに対して特定のアクションを実行するには、SnapLock管理者権限が必要です。 SnapLock 管理者権限はONTAP、 の vsadmin-snaplock
ロールで定義されますCLI。管理者ロールを持つストレージ仮想マシン (SVM) 管理者アカウントを作成するには、クラスターSnapLock管理者である必要があります。
の vsadmin-snaplock
ロールを使用して、次のアクションを実行できますONTAPCLI。
-
自分のユーザーアカウント、ローカルパスワード、キー情報を管理する
-
ボリュームを管理する (ボリュームの移動は除く)
-
クォータ、qtree、スナップショットのコピー、ファイルを管理する
-
特権削除やリーガルホールドなど、SnapLock のアクションを実行する
-
ネットワークファイルシステム (NFS) およびサーバーメッセージブロック (SMB) プロトコルを設定する
-
ドメインネームシステム (DNS)、Lightweight Directory Access Protocol (LDAP)、Network Information Service (NIS) サービスの設定
-
ジョブのモニタリング
次の手順では、 でSnapLock管理者を作成する方法について詳しく説明しますONTAPCLI。このタスクを実行するには、Secure Shell Protocol (SSH) などの安全な接続でクラスター管理者としてログインする必要があります。
で vsadmin-snaplock ロールを持つSVM管理者アカウントを作成するには ONTAP CLI
以下のコマンドを実行します。置換
SVM_name
また、SnapLockAdmin
自分の情報を入力します。cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock 監査ログボリューム
SnapLock 監査ログボリュームには SnapLock 監査ログが含まれ、監査ログには、SnapLock 管理者が作成された日時、特権削除が実行された日時、ファイルにリーガルホールドが適用された日時などの、イベントのタイムスタンプが含まれています。SnapLock 監査ログのボリュームは、消去できないイベントの記録です。
次のアクションでは、ボリュームSVMと同じ にSnapLock監査ログSnapLockボリュームを作成する必要があります。
特権削除を SnapLock Enterprise ボリュームで有効または無効にするには
リーガルホールドを SnapLock Compliance ボリューム内のファイルに適用するには
警告
-
SnapLock 監査ログボリュームの最小保持期間は 6 か月間です。この保持期間が終了するまで、SnapLock監査ログボリュームとそれに関連付けられている SVMおよび ファイルシステムは、ボリュームがSnapLockエンタープライズモードで作成された場合でも削除できません。
-
特権削除を使用してファイルを削除した際に、ファイルの保持期間がボリュームの保持期間よりも長い場合、監査ログボリュームはファイルの保持期間を継承します。例えば、特権削除を使用して、保持期間が 10 か月のファイルを削除した際に、監査ログボリュームの保持期間が 6 か月の場合、この監査ログボリュームの保持期間は 10 か月に延長されます。
にはアクティブなSnapLock監査ログボリュームを 1 つだけ持つことができますがSVM、 の複数のSnapLockボリュームで共有できますSVM。SnapLock 監査ログボリュームを正常にマウントするには、ジャンクションパスを /snaplock_audit_log
に設定します。このジャンクションパスは、監査ログボリュームではないボリュームを含め、他のボリュームが使用することはできません。
SnapLock 監査ログは、監査ログボリュームのルートの下にある /snaplock_log
ディレクトリにあります。特権削除のオペレーションは、privdel_log
サブディレクトリにログ記録されます。リーガルホールドの開始および終了オペレーションは、/snaplock_log/legal_hold_logs/
にログ記録されます。それ以外のログはすべて、system_log
サブディレクトリに保存されます。
SnapLock 監査ログボリュームは、Amazon FSxコンソール、、Amazon AWS CLI、APIおよび FSx ONTAPCLIと REST を使用して作成できますAPI。
注記
データ保護 (DP) ボリュームを SnapLock 監査ログボリュームとして使用することはできません。
次の手順では、Amazon FSxコンソールでSnapLock監査ログボリュームを作成する方法について説明します。
Amazon FSxコンソールでSnapLock監査ログボリュームを作成するには
で Amazon FSxコンソールを開きますhttps://console.aws.amazon.com/fsx/
。 -
「ボリュームの作成」にある新しいボリュームの作成手順に従います。
-
詳細セクションのSnapLock 「設定」で、「有効」を選択します。
ボリュームで SnapLock を有効化することについての警告に同意するには、チェックボックスを選択します。
-
[監査ログボリューム] で [有効] を選択します。
[ジャンクションパス] が
/snaplock_audit_log
に設定されていることを確認します。 -
「ボリュームの作成」にある、新しいボリュームを作成する手順の続きに従います。
[確認] を選択してボリュームを作成します。
Amazon でSnapLock監査ログボリュームを有効にするにはAPI、 FSx AuditLogVolume
で を使用しますCreateSnaplockConfiguration
。
SnapLock ボリューム内のデータへのアクセス
NFS や などのオープンファイルプロトコルを使用してSMB、SnapLockボリューム内のデータにアクセスできます。SnapLock ボリュームへのデータの書き込みや、 で保護されているデータの読み取りによるパフォーマンスへの影響はありませんWORM。
NFS および を使用してSnapLockボリューム間でファイルをコピーできますがSMB、送信先SnapLockボリュームのWORMプロパティは保持されません。コピーしたファイルが変更または削除されないWORMように、 に再コミットする必要があります。詳細については、「ファイルを WORM状態にコミットする」を参照してください。
また、SnapMirror を使って SnapLock データをレプリケートすることも可能ですが、レプリケート元のボリュームとレプリケート先のボリュームは同じ保持モードの SnapLock ボリュームでなければなりません (共に Compliance モードまたは Enterprise モードであるなど)。