SnapLock 的工作原理 - FSx for ONTAP
保留模式SnapLock 管理员SnapLock 审计日志卷访问 SnapLock 卷中的数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SnapLock 的工作原理

SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足治理和监管目的。创建SnapLock卷时,您可以将文件提交为一次写入,读取多个 (WORM) 存储空间并设置数据的保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。

重要

您必须在创建卷时指定卷是否使用 SnapLock 设置。非 SnapLock 卷在创建后无法转换为 SnapLock 卷。

保留模式

SnapLock 有两种保留模式:Compliance 模式和 Enterprise 模式。Amazon FSx for NetApp ONTAP 支持这两者。它们有不同的用例,有些功能也不同,但它们都使用WORM模型保护您的数据不被修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。

SnapLock 功能 SnapLock Compliance SnapLock Enterprise
描述 过渡到合规卷WORM上的文件只有在保留期到期后才能删除。 WORM在保留期到期之前,授权用户可以使用特权删除功能删除已过渡到企业卷上的文件。
用例

  • 执行政府或行业特定任务,例如SEC第17a-4 (f) 条、FINRA规则4511和第1.31条。CFTC

  • 防范勒索软件攻击。

  • 提高组织的数据完整性和内部合规性。

  • 在使用 SnapLock Compliance 模式之前测试保留设置。
自动提交
基于事件的保留 () EBR*
依法保留*
特权删除
卷附加模式
SnapLock 审计日志卷

* EBR 和支持合法封存操作RESTAPI。ONTAP CLI

注意

FSxfo ONTAP r 支持将数据分层到所有SnapLock卷上的容量池,无论其SnapLock类型如何。有关更多信息,请参阅 卷数据分层

SnapLock 管理员

您必须具有SnapLock管理员权限才能对SnapLock卷执行某些操作。 SnapLock管理员权限是在中的vsadmin-snaplock角色中定义的ONTAPCLI。只有集群管理员才能创建具有管理员角色的存储虚拟机 (SVM) SnapLock 管理员帐户。

您可以使用中的vsadmin-snaplock角色执行以下操作 ONTAPCLI:

  • 管理自己的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除和依法保留

  • 配置网络文件系统 (NFS) 和服务器消息块 (SMB) 协议

  • 配置域名系统 (DNS)、轻型目录访问协议 (LDAP) 和网络信息服务 (NIS) 服务

  • 监控作业

以下步骤详细介绍了如何在中创建SnapLock管理员ONTAPCLI。要执行此任务,您必须以集群管理员身份通过安全连接(例如 Secure Shell 协议 (SSH))进行登录。

要在中创建具有 vsadmin-snaplock 角色的SVM管理员帐户 ONTAP CLI

  • 运行以下命令。Replace(替换) SVM_name 以及 SnapLockAdmin 用你自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock 审计日志卷

SnapLock 审计日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如何时创建 SnapLock 管理员、何时执行特权删除操作或何时对文件进行依法保留。SnapLock 审计日志卷是不可擦除的事件记录。

要执行以下操作,您必须创建与该SnapLock卷SVM相同的SnapLock审核日志卷:

  • 要在 SnapLock Enterprise 卷上开启或关闭特权删除,请执行以下操作。

  • 对 SnapLock Compliance 卷中的文件应用依法保留。

警告

  • SnapLock 审计日志卷的最短保留期为六个月。在此保留期到期之前,即使SnapLock审核日志卷是在SnapLock企业模式下创建的,也无法删除与之关联的SVM和文件系统。

  • 如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。

中只能有一个活动的SnapLock审核日志卷SVM,但可以由中的多个SnapLock卷共享SVM。要成功装入 SnapLock 审计日志卷,请将连接路径设置为 /snaplock_audit_log。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。

您可以在审计日志卷根目录下的 /snaplock_log 目录中找到 SnapLock 审计日志。特权删除操作记录在 privdel_log 子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/ 中。所有其他日志都存储在 system_log 子目录中。

您可以使用亚马逊FSx控制台、、Amazon 和和来创建SnapLock审核日志卷RESTAPI。 AWS CLI FSx API ONTAP CLI

注意

数据保护(DP)卷不能用作 SnapLock 审计日志卷。

要在 Amazon 上打开SnapLock审核日志卷 FSxAPI,请在AuditLogVolume中使用CreateSnaplockConfiguration。在 Amazon FSx 控制台中,对于 “审核日志量”,选择 “启用”。确保将连接路径设置为 /snaplock_audit_log

访问 SnapLock 卷中的数据

您可以使用打开文件协议(例如NFS和)SMB来访问SnapLock卷中的数据。向SnapLock卷写入数据或读取受保护的数据不会对性能产生影响WORM。

您可以使用NFS和跨SnapLock卷复制文件SMB,但它们不会在目标SnapLock卷上保留其WORM属性。您必须将复制的文件重新提交到,WORM以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到WORM状态

您也可以使用 SnapMirror 复制 SnapLock 数据,但源卷和目标卷必须是相同保留模式的 SnapLock 卷(例如,两者都必须是 Compliance 卷或 Enterprise 卷)。