Configurare criteri di non modificabilità per le versioni BLOB

L'archiviazione non modificabile per Archiviazione BLOB di Azure consente agli utenti di archiviare dati business-critical in uno stato WORM (Write Once, Read Molti). Mentre in uno stato WORM, i dati non possono essere modificati o eliminati per un intervallo specificato dall'utente. Configurando criteri di non modificabilità per i dati BLOB, è possibile proteggere i dati da sovrascrizioni ed eliminazioni. I criteri di immutabilità includono criteri di conservazione basati sul tempo e blocchi legali. Per altre informazioni sui criteri di non modificabilità per l'Archiviazione BLOB, vedere Archiviare dati BLOB business-critical con archiviazione non modificabile.

Un criterio di non modificabilità può essere con ambito a una singola versione BLOB o a un contenitore. Questo articolo descrive come configurare un criterio di immutabilità a livello di versione. Per informazioni su come configurare i criteri di immutabilità a livello di contenitore, vedere Configurare i criteri di immutabilità per i contenitori.

La configurazione di un criterio di immutabilità a livello di versione è un processo in due passaggi:

  1. Abilitare innanzitutto il supporto per l'immutabilità a livello di versione in un nuovo account di archiviazione o in un contenitore nuovo o esistente. Per informazioni dettagliate, vedere Abilitare il supporto per l'immutabilità a livello di versione .
  2. Configurare quindi un criterio di conservazione basato sul tempo o un blocco legale che si applica a una o più versioni BLOB in tale contenitore.

Prerequisiti

Per configurare i criteri di conservazione basati sul tempo basati su versione, il controllo delle versioni BLOB deve essere abilitato per l'account di archiviazione. Tenere presente che l'abilitazione del controllo delle versioni BLOB potrebbe avere un impatto sulla fatturazione. Per informazioni su come abilitare il controllo delle versioni BLOB, vedere Abilitare e gestire il controllo delle versioni BLOB.

Per informazioni sulle configurazioni dell'account di archiviazione supportate per i criteri di immutabilità a livello di versione, vedere Configurazioni dell'account supportate.

Abilitare il supporto per l'immutabilità a livello di versione

Prima di poter applicare criteri di conservazione basati sul tempo a una versione BLOB, è necessario abilitare il supporto per l'immutabilità a livello di versione. È possibile abilitare il supporto per l'immutabilità a livello di versione in un nuovo account di archiviazione o in un contenitore nuovo o esistente.

Abilitare il supporto di immutabilità a livello di versione in un account di archiviazione

È possibile abilitare il supporto per l'immutabilità a livello di versione solo quando si crea un nuovo account di archiviazione.

Per abilitare il supporto per l'immutabilità a livello di versione quando si crea un account di archiviazione nella portale di Azure, seguire questa procedura:

  1. Passare alla pagina account Archiviazione nella portale di Azure.

  2. Selezionare il pulsante Crea per creare un nuovo account.

  3. Compilare la scheda Nozioni di base .

  4. Nella scheda Protezione dati , in Controllo di accesso selezionare Abilita supporto di immutabilità a livello di versione. Quando si seleziona questa casella, la casella Abilita controllo delle versioni per i BLOB viene selezionata automaticamente.

  5. Selezionare Rivedi e crea per convalidare i parametri dell'account e creare l'account di archiviazione.

    Screenshot showing how to create a storage account with version-level immutability support

Dopo aver creato l'account di archiviazione, è possibile configurare un criterio a livello di versione predefinito per l'account. Per altre informazioni, vedere Configurare un criterio di conservazione basato sul tempo predefinito.

Se il supporto di non modificabilità a livello di versione è abilitato per l'account di archiviazione e l'account contiene uno o più contenitori, è necessario eliminare tutti i contenitori prima di eliminare l'account di archiviazione, anche se non sono presenti criteri di immutabilità in effetti per l'account o i contenitori.

Abilitare il supporto di immutabilità a livello di versione in un contenitore

Sia i contenitori nuovi che esistenti possono essere configurati per supportare l'immutabilità a livello di versione. Tuttavia, un contenitore esistente deve eseguire un processo di migrazione per abilitare il supporto.

Tenere presente che l'abilitazione del supporto di non modificabilità a livello di versione per un contenitore non rende i dati in tale contenitore non modificabili. È anche necessario configurare un criterio di immutabilità predefinito per il contenitore o un criterio di immutabilità in una versione BLOB specifica. Se è stata abilitata l'immutabilità a livello di versione per l'account di archiviazione quando è stata creata, è anche possibile configurare un criterio di immutabilità predefinito per l'account.

Abilitare l'immutabilità a livello di versione per un nuovo contenitore

Per usare un criterio di non modificabilità a livello di versione, è necessario abilitare in modo esplicito il supporto per WORM a livello di versione nel contenitore. È possibile abilitare il supporto per worm a livello di versione quando si crea il contenitore o quando si aggiungono criteri di immutabilità a livello di versione a un contenitore esistente.

Per creare un contenitore che supporta l'immutabilità a livello di versione nel portale di Azure, seguire questa procedura:

  1. Passare alla pagina Contenitori per l'account di archiviazione nel portale di Azure e selezionare Aggiungi.

  2. Nella finestra di dialogo Nuovo contenitore specificare un nome per il contenitore, quindi espandere la sezione Avanzate .

  3. Selezionare Abilita il supporto di immutabilità a livello di versione per abilitare l'immutabilità a livello di versione per il contenitore.

    Screenshot showing how to create a container with version-level immutability enabled

Se il supporto di non modificabilità a livello di versione è abilitato per un contenitore e il contenitore contiene uno o più BLOB, è necessario eliminare tutti i BLOB nel contenitore prima di poter eliminare il contenitore, anche se non sono presenti criteri di immutabilità in effetti per il contenitore o i relativi BLOB.

Eseguire la migrazione di un contenitore esistente per supportare l'immutabilità a livello di versione

Per configurare i criteri di non modificabilità a livello di versione per un contenitore esistente, è necessario eseguire la migrazione del contenitore per supportare l'archiviazione non modificabile a livello di versione. La migrazione dei contenitori può richiedere qualche tempo e non può essere invertita. È possibile eseguire la migrazione di dieci contenitori alla volta per account di archiviazione.

Per eseguire la migrazione di un contenitore esistente per supportare i criteri di immutabilità a livello di versione, il contenitore deve disporre di criteri di conservazione basati sul tempo del contenitore configurati. La migrazione non riesce a meno che il contenitore non disponga di un criterio esistente. L'intervallo di conservazione per i criteri a livello di contenitore viene mantenuto come intervallo di conservazione per i criteri a livello di versione predefinito nel contenitore.

Se il contenitore ha un blocco legale a livello di contenitore esistente, non può essere migrato fino a quando non viene rimosso il blocco legale.

Per eseguire la migrazione di un contenitore per supportare l'archiviazione non modificabile a livello di versione nel portale di Azure, seguire questa procedura:

  1. Passare al contenitore desiderato.

  2. Selezionare il pulsante Altro a destra, quindi selezionare Criteri di accesso.

  3. In Archiviazione BLOB non modificabile selezionare Aggiungi criterio.

  4. Per il campo Tipo di criterio scegliere Conservazione basata sul tempo e specificare l'intervallo di conservazione.

  5. Selezionare Abilita non modificabilità a livello di versione.

  6. Selezionare OK per creare criteri a livello di contenitore con l'intervallo di conservazione specificato e quindi avviare la migrazione al supporto di immutabilità a livello di versione.

    Screenshot showing how to migrate an existing container to support version-level immutability

Mentre l'operazione di migrazione è in corso, l'ambito del criterio nel contenitore viene visualizzato come contenitore.

Screenshot showing container migration in process

Al termine della migrazione, l'ambito del criterio nel contenitore viene visualizzato come Versione. Il criterio illustrato è un criterio predefinito nel contenitore che si applica automaticamente a tutte le versioni BLOB successivamente create nel contenitore. I criteri predefiniti possono essere sottoposti a override in qualsiasi versione specificando un criterio personalizzato per tale versione.

Screenshot showing completed container migration

Configurare un criterio di conservazione basato sul tempo predefinito

Dopo aver abilitato il supporto dell'immutabilità a livello di versione per un account di archiviazione o per un singolo contenitore, è possibile specificare un criterio di conservazione predefinito basato sul tempo a livello di versione per l'account o il contenitore. Quando si specifica un criterio predefinito per un account o un contenitore, tale criterio viene applicato per impostazione predefinita a tutte le nuove versioni BLOB create nell'account o nel contenitore. È possibile eseguire l'override dei criteri predefiniti per qualsiasi singola versione del BLOB nell'account o nel contenitore.

Il criterio predefinito non viene applicato automaticamente alle versioni BLOB esistenti prima della configurazione dei criteri predefiniti.

Se è stata eseguita la migrazione di un contenitore esistente per supportare l'immutabilità a livello di versione, i criteri a livello di contenitore applicati prima della migrazione vengono migrati a un criterio a livello di versione predefinito per il contenitore.

Per configurare un criterio di immutabilità a livello di versione predefinito per un account di archiviazione o un contenitore, usare il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o uno degli SDK Archiviazione di Azure. Assicurarsi di avere abilitato il supporto per l'immutabilità a livello di versione per l'account di archiviazione o il contenitore, come descritto in Abilitare il supporto per l'immutabilità a livello di versione.

Per configurare un criterio di immutabilità a livello di versione predefinito per un account di archiviazione nel portale di Azure, seguire questa procedura:

  1. Nel portale di Azure passare all'account di archiviazione.

  2. In Gestione dei dati selezionare Protezione dei dati.

  3. Nella pagina Protezione dati individuare la sezione Controllo di accesso . Se l'account di archiviazione è stato creato con il supporto per l'immutabilità a livello di versione, il pulsante Gestisci criteri viene visualizzato nella sezione Controllo di accesso .

    Screenshot showing how to manage the default version-level immutability policy for a storage account

  4. Selezionare il pulsante Gestisci criteri per visualizzare la finestra di dialogo Gestisci criteri di immutabilità a livello di versione .

  5. Aggiungere un criterio di conservazione basato sul tempo predefinito per l'account di archiviazione.

    Screenshot showing how to configure a default version-level retention policy for a storage account

Per configurare un criterio di immutabilità a livello di versione predefinito per un contenitore nel portale di Azure, seguire questa procedura:

  1. Nella portale di Azure passare alla pagina Contenitori e individuare il contenitore a cui applicare i criteri.

  2. Selezionare il pulsante Altro a destra del nome del contenitore e scegliere Criteri di accesso.

  3. Nella finestra di dialogo Criteri di accesso , nella sezione Archiviazione BLOB non modificabile scegliere Aggiungi criterio.

  4. Selezionare Criteri di conservazione basati sul tempo e specificare l'intervallo di conservazione.

  5. Se lo si desidera, selezionare Consenti aggiunte protette aggiuntive per consentire le scritture ai BLOB di accodamento protetti da criteri di immutabilità. Per altre informazioni, vedere Consenti scritture di BLOB di accodamento protetti.

  6. Selezionare OK per applicare i criteri predefiniti al contenitore.

    Screenshot showing how to configure a default version-level retention policy for a container

Determinare l'ambito di un criterio di conservazione in un contenitore

Per determinare l'ambito di un criterio di conservazione basato sul tempo nel portale di Azure, seguire questa procedura:

  1. Passare al contenitore desiderato.

  2. Selezionare il pulsante Altro a destra e quindi selezionare Criteri di accesso.

  3. In Archiviazione BLOB non modificabile individuare il campo Ambito . Se il contenitore è configurato con un criterio di conservazione a livello di versione predefinito, l'ambito è impostato su Versione, come illustrato nell'immagine seguente:

    Screenshot showing default version-level retention policy configured for container

  4. Se il contenitore è configurato con un criterio di conservazione a livello di contenitore, l'ambito è impostato su Contenitore, come illustrato nell'immagine seguente:

    Screenshot showing container-level retention policy configured for container

Configurare criteri di conservazione basati sul tempo in una versione esistente

I criteri di conservazione basati sul tempo gestiscono i dati BLOB in uno stato WORM per un intervallo specificato. Per altre informazioni sui criteri di conservazione basati sul tempo, vedere Criteri di conservazione basati sul tempo per i dati BLOB non modificabili.

Sono disponibili tre opzioni per la configurazione di criteri di conservazione basati sul tempo per una versione blob:

  • Opzione 1: è possibile configurare un criterio predefinito nell'account di archiviazione o nel contenitore che si applica a tutti gli oggetti nell'account o nel contenitore. Gli oggetti nell'account o nel contenitore erediteranno i criteri predefiniti, a meno che non si esegua esplicitamente l'override configurando un criterio in una singola versione del BLOB. Per altri dettagli, vedere Configurare un criterio di conservazione basato sul tempo predefinito.
  • Opzione 2: è possibile configurare un criterio nella versione corrente del BLOB. Questo criterio può eseguire l'override di un criterio predefinito configurato nell'account di archiviazione o nel contenitore, se esiste un criterio predefinito e viene sbloccato. Per impostazione predefinita, tutte le versioni precedenti create dopo la configurazione dei criteri erediteranno i criteri nella versione corrente del BLOB. Per altre informazioni, vedere Configurare un criterio di conservazione nella versione corrente di un BLOB.
  • Opzione 3: è possibile configurare un criterio in una versione precedente di un BLOB. Questo criterio può eseguire l'override di un criterio predefinito configurato nella versione corrente, se esistente e sbloccato. Per altre informazioni, vedere Configurare un criterio di conservazione in una versione precedente di un BLOB.

Per altre informazioni sul controllo delle versioni dei BLOB, vedere Controllo delle versioni dei BLOB.

Il portale di Azure visualizza un elenco di BLOB quando si passa a un contenitore. Ogni BLOB visualizzato rappresenta la versione corrente del BLOB. È possibile accedere a un elenco di versioni precedenti selezionando il pulsante Altro per un BLOB e scegliendo Visualizza versioni precedenti.

Configurare un criterio di conservazione nella versione corrente di un BLOB

Per configurare criteri di conservazione basati sul tempo nella versione corrente di un BLOB, seguire questa procedura:

  1. Passare al contenitore che contiene il BLOB di destinazione.

  2. Selezionare il pulsante Altro a destra del nome del BLOB e scegliere Criteri di accesso. Se è già stato configurato un criterio di conservazione basato sul tempo per la versione precedente, viene visualizzato nella finestra di dialogo Criteri di accesso .

  3. Nella finestra di dialogo Criteri di accesso , nella sezione Versioni BLOB non modificabili scegliere Aggiungi criterio.

  4. Selezionare Criteri di conservazione basati sul tempo e specificare l'intervallo di conservazione.

  5. Selezionare OK per applicare il criterio alla versione corrente del BLOB.

    Screenshot showing how to configure a retention policy for the current version of a blob

È possibile visualizzare le proprietà di un BLOB per verificare se un criterio è abilitato nella versione corrente. Selezionare il BLOB, quindi passare alla scheda Panoramica e individuare la proprietà Dei criteri di immutabilità a livello di versione . Se un criterio è abilitato, la proprietà Periodo di conservazione visualizzerà la data e l'ora di scadenza per il criterio. Tenere presente che un criterio può essere configurato per la versione corrente oppure può essere ereditato dal contenitore padre del BLOB se è attivo un criterio predefinito.

Screenshot showing immutability policy properties on blob version in Azure portal

Configurare un criterio di conservazione in una versione precedente di un BLOB

È anche possibile configurare criteri di conservazione basati sul tempo in una versione precedente di un BLOB. Una versione precedente è sempre non modificabile perché non può essere modificata. Tuttavia, è possibile eliminare una versione precedente. Un criterio di conservazione basato sul tempo protegge dall'eliminazione mentre è attivo.

Per configurare criteri di conservazione basati sul tempo in una versione precedente di un BLOB, seguire questa procedura:

  1. Passare al contenitore che contiene il BLOB di destinazione.

  2. Selezionare il BLOB, quindi passare alla scheda Versioni .

  3. Individuare la versione di destinazione, quindi selezionare il pulsante Altro e scegliere Criteri di accesso. Se è già stato configurato un criterio di conservazione basato sul tempo per la versione precedente, viene visualizzato nella finestra di dialogo Criteri di accesso .

  4. Nella finestra di dialogo Criteri di accesso , nella sezione Versioni BLOB non modificabili scegliere Aggiungi criterio.

  5. Selezionare Criteri di conservazione basati sul tempo e specificare l'intervallo di conservazione.

  6. Selezionare OK per applicare il criterio alla versione corrente del BLOB.

    Screenshot showing how to configure retention policy for a previous blob version in Azure portal

Configurare criteri di conservazione basati sul tempo durante il caricamento di un BLOB

Quando si usa il portale di Azure per caricare un BLOB in un contenitore che supporta l'immutabilità a livello di versione, sono disponibili diverse opzioni per la configurazione di criteri di conservazione basati sul tempo per il nuovo BLOB:

  • Opzione 1: se per il contenitore è configurato un criterio di conservazione predefinito, è possibile caricare il BLOB con i criteri del contenitore. Questa opzione è selezionata per impostazione predefinita quando è presente un criterio di conservazione nel contenitore.
  • Opzione 2: se un criterio di conservazione predefinito è configurato per il contenitore, è possibile scegliere di eseguire l'override dei criteri predefiniti, definendo un criterio di conservazione personalizzato per il nuovo BLOB o caricando il BLOB senza criteri.
  • Opzione 3: se non è configurato alcun criterio predefinito per il contenitore, è possibile caricare il BLOB con criteri personalizzati o senza criteri.

Per configurare criteri di conservazione basati sul tempo quando si carica un BLOB, seguire questa procedura:

  1. Passare al contenitore desiderato e selezionare Upload.

  2. Nella finestra di dialogo Upload BLOB espandere la sezione Avanzate.

  3. Configurare i criteri di conservazione basati sul tempo per il nuovo BLOB nel campo Criteri di conservazione . Se per il contenitore è configurato un criterio predefinito, tale criterio viene selezionato per impostazione predefinita. È anche possibile specificare un criterio personalizzato per il BLOB.

    Screenshot showing options for configuring retention policy on blob upload in Azure portal

Modificare o eliminare un criterio di conservazione sbloccato

È possibile modificare un criterio di conservazione basato sul tempo sbloccato per abbreviare o aumentare l'intervallo di conservazione. È anche possibile eliminare un criterio sbloccato. La modifica o l'eliminazione di un criterio di conservazione basato sul tempo sbloccato per una versione BLOB non influisce sui criteri applicati per altre versioni. Se è attivo un criterio di conservazione basato sul tempo predefinito per il contenitore, la versione del BLOB con i criteri modificati o eliminati non erediterà più dal contenitore.

Per modificare un criterio di conservazione basato sul tempo sbloccato nel portale di Azure, seguire questa procedura:

  1. Individuare il contenitore o la versione di destinazione. Selezionare il pulsante Altro e scegliere Criteri di accesso.

  2. Individuare i criteri di immutabilità sbloccati esistenti. Selezionare il pulsante Altro , quindi selezionare Modifica dal menu.

    Screenshot showing how to edit an existing version-level time-based retention policy in Azure portal

  3. Specificare la nuova data e l'ora per la scadenza dei criteri.

Per eliminare il criterio sbloccato, selezionare Elimina dal menu Altro .

Bloccare un criterio di conservazione basato sul tempo

Al termine del test di un criterio di conservazione basato sul tempo, è possibile bloccare i criteri. Un criterio bloccato è conforme a SEC 17a-4(f) e ad altre conformità alle normative. È possibile aumentare l'intervallo di conservazione per un criterio bloccato fino a cinque volte, ma non è possibile abbreviarlo.

Dopo che un criterio è bloccato, non è possibile eliminarlo. È tuttavia possibile eliminare il BLOB dopo la scadenza dell'intervallo di conservazione.

Per bloccare un criterio nella portale di Azure, seguire questa procedura:

  1. Individuare il contenitore o la versione di destinazione. Selezionare il pulsante Altro e scegliere Criteri di accesso.

  2. Nella sezione Versioni BLOB non modificabili individuare i criteri sbloccati esistenti. Selezionare il pulsante Altro , quindi selezionare Blocca criterio dal menu.

  3. Verificare di voler bloccare il criterio.

    Screenshot showing how to lock a time-based retention policy in Azure portal

Un blocco a fini giudiziari archivia i dati non modificabili fino a quando non viene cancellata in modo esplicito il blocco legale. Per altre informazioni sui criteri di blocco a fini giudiziari, vedere Blocchi legali per i dati BLOB non modificabili.

Per configurare un blocco a fini giudiziari in una versione blob, è prima necessario abilitare il supporto dell'immutabilità a livello di versione nell'account di archiviazione o nel contenitore. Per altre informazioni, vedere Abilitare il supporto per l'immutabilità a livello di versione.

Per configurare un blocco a fini giudiziari in una versione blob con il portale di Azure, seguire questa procedura:

  1. Individuare la versione di destinazione, che può essere la versione corrente o una versione precedente di un BLOB. Selezionare il pulsante Altro e scegliere Criteri di accesso.
  2. Nella sezione Versioni BLOB non modificabili selezionare Aggiungi criterio.
  3. Scegliere Blocco a fini giudiziari come tipo di criterio e selezionare OK per applicarlo.

L'immagine seguente mostra una versione corrente di un BLOB con criteri di conservazione basati sul tempo e blocco legale configurato.

Screenshot showing legal hold configured for blob version

Per cancellare un blocco a fini giudiziari, passare alla finestra di dialogo Criteri di accesso , selezionare il pulsante Altro e scegliere Elimina.

Passaggi successivi