Mengonfigurasi kebijakan imutabilitas untuk kontainer
Artikel
Penyimpanan yang tidak dapat diubah untuk Azure Blob Storage memungkinkan pengguna untuk menyimpan data yang penting bagi perusahaan dalam status WORM (Tulis Sekali, Baca Banyak). Saat dalam kondisi CACING, data tidak dapat diubah ataupun dihapus untuk interval yang ditentukan pengguna. Dengan mengonfigurasi kebijakan yang tidak bisa diubah untuk data blob, Anda dapat melindungi data Anda dari penimpaan dan penghapusan. Kebijakan yang tidak dapat diubah mencakup kebijakan retensi berbasis waktu dan pegangan hukum. Untuk informasi selengkapnya tentang kebijakan imutabilitas untuk Blob Storage, lihat Menyimpan data blob yang penting bagi bisnis dengan penyimpanan yang tidak dapat diubah.
Kebijakan ketetapan mungkin dicakup baik ke versi blob individu atau ke kontainer. Artikel ini menjelaskan cara mengonfigurasi kebijakan immutability tingkat kontainer. Untuk mempelajari cara mengonfigurasi kebijakan ketetapan tingkat versi, lihat Mengonfigurasi kebijakan ketetapan untuk versi blob.
Catatan
Kebijakan ketetapan tidak didukung di akun yang mengaktifkan protokol Network File System (NFS) 3.0 atau Protokol Transfer File SSH (SFTP).
Mengonfigurasi kebijakan retensi pada kontainer
Untuk mengonfigurasi kebijakan retensi berbasis waktu pada kontainer, gunakan portal Microsoft Azure, PowerShell, atau Azure CLI. Anda dapat mengonfigurasi kebijakan penyimpanan tingkat kontainer untuk antara 1 dan 146.000 hari.
Untuk mengonfigurasi kebijakan retensi berbasis waktu pada kontainer dengan portal Microsoft Azure,ikuti langkah-langkah berikut:
Buka kontainer yang diinginkan.
Pilih tombol Lebih banyak di bagian kanan, lalu pilih Kebijakan akses.
Di bagian penyimpanan blob immutable, pilih Tambahkan kebijakan.
Di kolom Jenis kebijakan, pilih Retensi berbasis waktu, dan tentukan hari periode retensi.
Untuk membuat kebijakan dengan cakupan kontainer, jangan centang kotak untuk Mengaktifkan kekekalan tingkat versi.
Pilih apakah akan mengizinkan penulisan tambahan yang dilindungi.
Opsi Tambahkan blob memungkinkan beban kerja Anda untuk menambahkan blok data baru ke akhir blob tambahan dengan menggunakan operasi Tambahkan Blok.
Opsi Blob tambahan dan blok memberi Anda izin yang sama dengan opsi Tambahkan blob tetapi menambahkan kemampuan untuk menulis blok baru ke blob blok. Blob Storage API tidak menyediakan cara bagi aplikasi untuk melakukan ini secara langsung. Namun, aplikasi dapat menyelesaikan ini dengan menggunakan metode tambahan dan flush yang tersedia di API Data Lake Storage Gen2. Selain itu, beberapa aplikasi Microsoft menggunakan API internal untuk membuat blob blok lalu menambahkannya. Jika beban kerja Anda bergantung pada salah satu alat ini, Anda dapat menggunakan properti ini untuk menghindari kesalahan yang dapat muncul ketika alat tersebut mencoba menambahkan blok ke blob blok.
Setelah mengonfigurasi kebijakan kekekalan, Anda akan melihat bahwa kebijakan tersebut tercakup ke kontainer:
Untuk mengonfigurasi kebijakan retensi berbasis waktu pada kontainer dengan PowerShell, panggil perintah Set-AzRmStorageContainerImmutabilityPolicy, memberikan interval retensi dalam beberapa hari. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Untuk mengizinkan penulisan tambahan yang dilindungi, atur parameter -AllowProtectedAppendWrite atau -AllowProtectedAppendWriteAll ke true.
Opsi AllowProtectedAppendWrite memungkinkan beban kerja Anda untuk menambahkan blok data baru ke akhir blob tambahan dengan menggunakan operasi Tambahkan Blok.
Opsi AllowProtectedAppendWriteAll memberi Anda izin yang sama dengan opsi AllowProtectedAppendWrite tetapi menambahkan kemampuan untuk menulis blok baru ke blob blok. Blob Storage API tidak menyediakan cara bagi aplikasi untuk melakukan ini secara langsung. Namun, aplikasi dapat menyelesaikan ini dengan menggunakan metode tambahan dan flush yang tersedia di API Data Lake Storage Gen2. Selain itu, beberapa aplikasi Microsoft menggunakan API internal untuk membuat blob blok lalu menambahkannya. Jika beban kerja Anda bergantung pada salah satu alat ini, Anda dapat menggunakan properti ini untuk menghindari kesalahan yang dapat muncul ketika alat tersebut mencoba menambahkan blok ke blob blok.
Untuk mengonfigurasi kebijakan retensi berbasis waktu pada kontainer dengan Azure CLI, panggil perintah az storage container immutability-policy create, memberikan interval retensi dalam beberapa hari. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Untuk mengizinkan penulisan tambahan yang dilindungi, atur parameter --allow-protected-append-writes atau --allow-protected-append-writes-all ke true.
Opsi --allow-protected-append-writes memungkinkan beban kerja Anda untuk menambahkan blok data baru ke akhir blob tambahan dengan menggunakan operasi Tambahkan Blok.
Opsi --allow-protected-append-writes-all memberi Anda izin yang sama dengan opsi --allow-protected-append-writes tetapi menambahkan kemampuan untuk menulis blok baru ke blob blok. Blob Storage API tidak menyediakan cara bagi aplikasi untuk melakukan ini secara langsung. Namun, aplikasi dapat menyelesaikan ini dengan menggunakan metode tambahan dan flush yang tersedia di API Data Lake Storage Gen2. Selain itu, beberapa aplikasi Microsoft menggunakan API internal untuk membuat blob blok lalu menambahkannya. Jika beban kerja Anda bergantung pada salah satu alat ini, Anda dapat menggunakan properti ini untuk menghindari kesalahan yang dapat muncul ketika alat tersebut mencoba menambahkan blok ke blob blok.
Memodifikasi kebijakan retensi yang tidak terkunci
Anda dapat memodifikasi kebijakan retensi berbasis waktu yang tidak terkunci untuk mempersingkat atau memperpanjang interval retensi dan untuk memungkinkan penulisan tambahan menambahkan blob dalam kontainer. Anda juga dapat menghapus kebijakan yang tidak terkunci.
Untuk mengubah kebijakan retensi berbasis waktu yang tidak terkunci di portal Microsoft Azure, ikuti langkah-langkah berikut:
Buka kontainer yang diinginkan.
Pilih tombol Lebih banyak, lalu pilih Kebijakan akses.
Pada bagian versi blob kekekalan, temukan kebijakan yang tidak terkuci yang sudah ada. Pilih tombol Lebih banyak, lalu pilih Edit dari menu.
Berikan interval retensi baru untuk kebijakan tersebut. Anda juga dapat memilih Mengizinkan tambahan yang dilindungi untuk mengizinkan penulisan ke blob tambahan yang dilindungi.
Untuk menghapus kebijakan yang tidak terkunci, pilih tombol Lebih banyak, lalu Hapus.
Catatan
Anda dapat mengaktifkan kebijakan kekekalan tingkat versi dengan memilih kotak centang Aktifkan kekekalan tingkat versi. Untuk informasi lebih lanjut mengenai mengaktifkan kebijakan ketetapan berbasis waktu tingkat versi, lihat Mengonfigurasi kebijakan ketetapan untuk versi blob.
Untuk memodifikasi kebijakan yang tidak terkunci, pertama ambil kebijakan dengan memanggil perintah Get-AzRmStorageContainerImmutabilityPolicy. Selanjutnya, panggil perintah Set-AzRmStorageContainerImmutabilityPolicy untuk memperbarui kebijakan. Sertakan interval retensi baru dalam beberapa hari dan parameter -ExtendPolicy. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Untuk memodifikasi kebijakan retensi berbasis waktu pada kontainer dengan Azure CLI, panggil perintah az storage container immutability-policy create, memberikan interval retensi dalam beberapa hari. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Setelah selesai menguji kebijakan penyimpanan berbasis waktu, Anda dapat mengunci kebijakan. Kebijakan terkunci sesuai dengan SEC 17a-4 (f) dan kepatuhan peraturan lainnya. Anda dapat memperpanjang interval retensi untuk kebijakan yang terkunci hingga lima kali, tetapi Anda tidak dapat mempersingkatnya.
Setelah kebijakan terkunci, Anda tidak dapat menghapusnya. Namun, Anda dapat menghapus blob setelah interval retensi berakhir.
Untuk mengunci kebijakan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
Navigasikan ke kontainer dengan kebijakan yang tidak terkunci.
Pada bagian versi blob kekekalan, temukan kebijakan yang tidak terkuci yang sudah ada. Pilih tombol Lebih banyak, lalu pilih Kunci kebijakan dari menu.
Konfirmasikan bahwa Anda ingin mengunci kebijakan.
Untuk mengunci kebijakan dengan PowerShell, pertama panggil perintah Get-AzRmStorageContainerImmutabilityPolicy untuk mengambil ETag kebijakan. Selanjutnya, panggil perintah Lock-AzRmStorageContainerImmutabilityPolicy dan teruskan nilai ETag untuk mengunci kebijakan. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Untuk mengunci kebijakan dengan Azure CLI, pertama-tama panggil perintah az storage container immutability-policy show untuk mengambil ETag kebijakan. Selanjutnya, panggil perintah az storage container immutability-policy lock dan teruskan nilai ETag untuk mengunci kebijakan. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Penangguhan hukum menyimpan data yang tidak berubah sampai penangguhan hukum secara eksplisit dihapuskan. Untuk mempelajari lebih lanjut tentang kebijakan penahanan hukum, lihat Penangguhan hukum data blob immutable.
Untuk mengonfigurasi penangguhan hukum pada akun penyimpanan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
Buka kontainer yang diinginkan.
Pilih tombol Lebih banyak, lalu pilih Kebijakan akses.
Di bagian versi blob kekekalan, pilih Tambahkan kebijakan.
Pilih Penahanan legal sebagai jenis kebijakan.
Tambahkan satu atau beberapa tag penahanan legal.
Pilih apakah akan mengizinkan penulisan tambahan yang dilindungi, lalu pilih Simpan.
Opsi Tambahkan blob memungkinkan beban kerja Anda untuk menambahkan blok data baru ke akhir blob tambahan dengan menggunakan operasi Tambahkan Blok.
Pengaturan ini juga menambahkan kemampuan untuk menulis blok baru ke blob blok. Blob Storage API tidak menyediakan cara bagi aplikasi untuk melakukan ini secara langsung. Namun, aplikasi dapat menyelesaikan ini dengan menggunakan metode tambahan dan flush yang tersedia di API Data Lake Storage Gen2. Selain itu, properti ini memungkinkan aplikasi Microsoft seperti Azure Data Factory untuk menambahkan blok data dengan menggunakan API internal. Jika beban kerja Anda bergantung pada salah satu alat ini, Anda dapat menggunakan properti ini untuk menghindari kesalahan yang dapat muncul ketika alat tersebut mencoba menambahkan data ke blob.
Setelah mengonfigurasi kebijakan kekekalan, Anda akan melihat bahwa kebijakan tersebut tercakup ke kontainer:
Gambar berikut menunjukkan kontainer dengan kebijakan retensi berbasis waktu dan penangguhan hukum yang dikonfigurasi.
Untuk menghapus penahanan legal, navigasikan ke dialog Kebijakan akses , dan di menu konteks kebijakan, pilih Edit. Kemudian, hapus semua tag agar kebijakan dapat menghapus penangguhkan.
Untuk mengonfigurasi penangguhan hukum pada kontainer dengan PowerShell, panggil perintah Add-AzRmStorageContainerLegalHold. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Untuk mengonfigurasi penangguhan hukum pada kontainer dengan PowerShell, panggil perintah az storage container legal-hold set. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri: