SnapLock 的運作方式 - 適用於 ONTAP 的 FSx
保留模式SnapLock 管理員SnapLock稽核記錄磁碟區存取SnapLock磁碟區中的資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SnapLock 的運作方式

SnapLock可防止檔案遭到刪除、變更或重新命名,協助您符合法規與管理目的。當您建立SnapLock磁碟區時,您會提交檔案以便寫入一次、讀取多個 (WORM) 儲存空間,以及設定資料的保留期限。您的文件可以在指定的時間段內以不可擦除,不可寫入的狀態存儲,也可以無限期地存儲。

重要

您必須指定磁碟區是否要在建立時使用SnapLock設定。非SnapLock磁碟區在建立之後無法轉換為SnapLock磁碟區。

保留模式

SnapLock具有兩種保留模式:合規性和企業。Amazon FSx 支 NetApp ONTAP持他們兩個。它們具有不同的用例,並且某些功能不同,但它們都可以保護您的數據免受使用WORM模型進行修改或刪除。下表說明這些保留模式之間的一些相似性和差異。

SnapLock 功能 SnapLock 合規 SnapLock企業
描述 在合規性磁碟區WORM上轉移到的檔案必須等到保留期過期後才能刪除。 授權使用者可以使用授權刪除功能,WORM在其保留期到期之前刪除轉換為企業磁碟區上的檔案。
使用案例

  • 為了解決政府或行業特定的要求,例如SEC規則 17a-4(f),FINRA規則 4511 和法規 1.31。CFTC

  • 為了防止勒索軟件攻擊。

  • 為了提高組織的數據完整性和內部合規性。

  • 在使用「SnapLock符合性」之前測試保留設定。
自動提交
事件型保留 () EBR*
合法持有*
特權刪除
卷追加模式
SnapLock稽核記錄磁碟區

* EBR 和支援「法律保留」作ONTAPCLI業RESTAPI。

注意

FSx支ONTAP援將資料分層至所有SnapLock磁碟區上的容量集區,無論其類SnapLock型為何。如需詳細資訊,請參閱磁碟區資料分層

SnapLock 管理員

您必須擁有SnapLock管理員權限才能對SnapLock磁碟區執行某些動作。 SnapLock管理員權限可在中的vsadmin-snaplock角色中定義ONTAPCLI。您必須是叢集管理員才能建立具有管理員角色的儲存區虛擬機器 (SVM) 管SnapLock理員帳戶。

您可以使用中的vsadmin-snaplock角色執行下列動作 ONTAPCLI:

  • 管理您自己的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,移動磁碟區除外

  • 管理配額、Q 樹狀結構、快照複本和檔案

  • 執行SnapLock動作,包括特權刪除和法律保留

  • 設定網路檔案系統 (NFS) 和伺服器訊息區 (SMB) 通訊協定

  • 設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 及網路資訊服務 (NIS) 服務

  • 監控作業

下列程序詳細說明如何在中建立SnapLock管理員ONTAPCLI。您必須以叢集管理員身分登入安全連線,例如安全殼層通訊協定 (SSH),才能執行此工作。

若要建立具有 vsadmin-Snaplock 角色的SVM系統管理員帳戶 ONTAP CLI

  • 執行下列命令。Replace (取代) SVM_name 以及 SnapLockAdmin 使用您自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock稽核記錄磁碟區

SnapLock稽核記錄磁碟區包含SnapLock稽核記錄,其中包含事件的時間戳記,例如建立SnapLock系統管理員的時間、執行授權刪除作業的時間,或在檔案上設定「合法保留」時。SnapLock稽核記錄磁碟區是不可清除的事件記錄。

您必須建立與磁碟區相同SVM的SnapLock稽核記錄SnapLock磁碟區,才能執行下列動作:

  • 開啟或關閉SnapLock企業磁碟區上的授權刪除。

  • 對SnapLock合規性磁碟區中的檔案套用「法律保留」。

警告

  • SnapLock稽核記錄磁碟區的最短保留期限為六個月。在此保留期間到期之前,即使磁碟區是在 SnapLock Enterprise 模式下建立,也無法刪除SnapLock稽核記錄磁碟區SVM和與其相關聯的檔案系統。

  • 如果使用授權刪除檔案刪除,且其保留期間超過磁碟區的保留期限,則稽核記錄磁碟區會繼承檔案的保留期間。例如,如果使用授權刪除保留期為 10 個月的檔案,而稽核記錄磁碟區的保留期限為六個月,則稽核記錄磁碟區的保留期會延長至 10 個月。

在一個中只能有一個使用中的SnapLock稽核記錄磁碟區SVM,但是中的多個SnapLock磁碟區可以共用該磁碟區SVM。若要成功掛接SnapLock稽核記錄磁碟區,請將結合路徑設定為/snaplock_audit_log。沒有其他磁碟區可以使用此結合路徑,包括不是稽核記錄磁碟區的磁碟區。

您可以在SnapLock稽核記錄磁碟區根/snaplock_log目錄下的目錄中找到稽核記錄。授權刪除作業會記錄在privdel_log子目錄中。會登入「合法保留」開始與結束作業/snaplock_log/legal_hold_logs/。所有其他記錄檔都儲存在system_log子目錄中。

您可以使用 Amazon FSx 主控台、Amazon 和和和建立SnapLock稽核日誌磁碟區RESTAPI。 AWS CLI FSx API ONTAP CLI

注意

資料保護 (DP) 磁碟區無法用作SnapLock稽核記錄磁碟區。

若要透過 Amazon 開啟SnapLock稽核日誌磁碟區 FSxAPI,請AuditLogVolume在中使用 CreateSnaplockConfiguration. 在 Amazon 主FSx控台中,對於稽核日誌磁碟區,選擇啟用。請確定「結合」路徑已設定為/snaplock_audit_log

存取SnapLock磁碟區中的資料

您可以使用開放式檔案通訊協定 (例如NFS和) SMB 來存取SnapLock磁碟區中的資料。將資料寫入SnapLock磁碟區或讀取受保護的資料不會影響效能WORM。

您可以使用NFS和跨SnapLock磁碟區複製檔案SMB,但它們不會在目標磁SnapLock碟區上保留其WORM屬性。您必須重新認可複製的檔案,WORM以防止它們遭到修改或刪除。如需詳細資訊,請參閱將檔案提交至WORM狀態

您也可以使用複寫SnapLock資料SnapMirror,但來源磁碟區和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 (例如,兩者都必須為 [相容性] 或 [企業])。