Настройка политик неизменяемости для контейнеров
Неизменяемое Хранилище BLOB-объектов Azure дает пользователям возможность хранить критически важные для бизнеса данные в состоянии WORM (однократная запись, многократное чтение). В состоянии WORM невозможно изменить или удалить данные в течение заданного пользователем интервала времени. Настроив политики неизменяемости для BLOB-объектов, вы можете защитить данные от перезаписи и удаления. Перечень политик неизменяемости включает политики хранения на основе времени и политики удержания по юридическим причинам. Дополнительные сведения о политиках неизменяемости для Хранилища BLOB-объектов см. в статье Хранение критически важных для бизнеса данных больших двоичных объектов с помощью неизменяемого хранилища.
Область действия политики неизменяемости может быть ограничена отдельной версией BLOB-объекта или контейнером. В данной статье рассказывается, как настроить политику неизменяемости на уровне контейнера. Сведения о том, как настраивать политики неизменяемости на уровне версий, см. в статье Настройка политик неизменяемости для версий BLOB-объектов.
Примечание.
Политики неизменяемости не поддерживаются в учетных записях с включенным протоколом Network File System (NFS) 3.0 или протоколом SSH File Transfer Protocol (SFTP).
Настройка политики хранения для контейнера
Настроить политику хранения на основе времени для контейнера можно на портале Azure, а также с помощью PowerShell или интерфейса командной строки Azure. Вы можете настроить политику хранения на уровне контейнера для периода от 1 до 146 000 дней.
Чтобы настроить политику хранения на основе времени для контейнера на портале Azure, выполните указанные ниже действия.
Перейдите к нужному контейнеру.
Нажмите расположенную справа кнопку Дополнительно и щелкните Политика доступа.
В разделе Неизменяемое хранилище BLOB-объектов щелкните Добавить политику.
В поле Тип политики щелкните Хранение на основе времени и укажите период хранения в днях.
Чтобы создать политику, область действия которой ограничена контейнером, не устанавливайте флажок Включить функцию неизменяемости на уровне версий.
Укажите, следует ли разрешать записи с защищенными добавлениями.
Параметр Добавочные BLOB-объекты позволяет рабочим нагрузкам добавлять новые блоки данных в конец добавочного BLOB-объекта с помощью операции Добавить блок.
Параметр Блочные и добавочные BLOB-объекты предоставляет те же разрешения, что и параметр Добавочные BLOB-объекты, но позволяет записывать новые блоки в блочный BLOB-объект. API Хранилища BLOB-объектов не предоставляет приложениям возможность делать это напрямую. Однако приложения могут сделать это с помощью методов добавления и очистки, доступных в API Data Lake Storage 2-го поколения. Кроме того, некоторые приложения Майкрософт используют внутренние API для создания блочных BLOB-объектов, а затем добавления к ним блоков. Если рабочие нагрузки зависят от любого из этих средств, используйте это свойство, чтобы избежать ошибок, которые могут появляться при попытке добавить блоки в блочный BLOB-объект.
Дополнительные сведения об этих параметрах см. в статье Разрешить запись в защищенные добавочные BLOB-объекты.
После настройки политики неизменяемости вы увидите, что ее область действия ограничена контейнером:
Изменение незаблокированной политики хранения
Вы можете изменить незаблокированную политику хранения на основе времени, чтобы уменьшить или увеличить интервал хранения и разрешить дополнительные операции записи для добавления больших двоичных объектов в контейнер. Незаблокированную политику можно также удалить.
Чтобы изменить незаблокированную политику хранения на основе времени на портале Azure, выполните указанные ниже действия.
Перейдите к нужному контейнеру.
Нажмите кнопку Дополнительно и щелкните Политика доступа.
В разделе Версии неизменяемых больших двоичных объектов найдите существующую незаблокированную политику. Нажмите кнопку Дополнительно и в открывшемся меню выберите пункт Изменить.
Укажите новый интервал хранения для политики. Можно также щелкнуть Разрешить дополнительные защищенные добавления, чтобы разрешить операции записи в защищенные большие двоичные объекты.
Чтобы удалить незаблокированную политику, нажмите кнопку Дополнительно и щелкните Удалить.
Примечание.
Вы можете включить политики неизменяемости на уровне версий, установив флажок "Включить неизменяемость на уровне версий". Дополнительные сведения о том, как включать политики неизменяемости на уровне версий, см. в статье Настройка политик неизменяемости для версий BLOB-объектов.
Блокирование политики хранения на основе времени
По завершении тестирования политики хранения на основе времени можно заблокировать ее. Заблокированная политика соответствует требованиям документа SEC 17a-4(f) и другим нормативным требованиям. Интервал хранения для заблокированной политики можно увеличить в пять раз, но нельзя сократить.
После блокировки политики вам не удастся удалить ее. Тем не менее по истечении интервала хранения можно удалить большой двоичный объект.
Чтобы заблокировать политику на портале Azure, выполните указанные ниже действия.
- Перейдите к контейнеру с незаблокированной политикой.
- В разделе Версии неизменяемых больших двоичных объектов найдите существующую незаблокированную политику. Нажмите кнопку Дополнительно и в открывшемся меню выберите пункт Заблокировать политику.
- Подтвердите, что вы хотите заблокировать политику.
Настройка или отмена удержания по юридическим причинам
Функция удержания по юридическим причинам позволяет хранить неизменяемые данные до тех пор, пока такое удержание не будет отменено явным образом. Дополнительные сведения о политиках удержания по юридическим причинам см. в статье Удержания по юридическим причинам для данных неизменяемых больших двоичных объектов.
Чтобы настроить удержание по юридическим причинам для контейнера на портале Azure, выполните указанные ниже действия.
Перейдите к нужному контейнеру.
Нажмите кнопку Дополнительно и щелкните Политика доступа.
В разделе Неизменяемые версии BLOB-объектов щелкните Добавить политику.
Выберите Удержание по юридическим причинам в качестве типа политики.
Добавьте один или несколько тегов удержания по юридическим причинам.
Выберите, следует ли разрешить запись с защищенными добавлениями, а затем нажмите кнопку Сохранить.
Параметр Добавочные BLOB-объекты позволяет рабочим нагрузкам добавлять новые блоки данных в конец добавочного BLOB-объекта с помощью операции Добавить блок.
Этот параметр также добавляет возможность записи новых блоков в блочный BLOB-объект. API Хранилища BLOB-объектов не предоставляет приложениям возможность делать это напрямую. Однако приложения могут сделать это с помощью методов добавления и очистки, доступных в API Data Lake Storage 2-го поколения. Кроме того, это свойство позволяет приложениям Майкрософт, таким как Фабрика данных Azure, добавлять блоки данных с помощью внутренних API. Если рабочие нагрузки зависят от любого из этих средств, используйте это свойство, чтобы избежать ошибок, которые могут появляться при попытке добавить данные в BLOB-объекты.
Дополнительные сведения об этих параметрах см. в статье Разрешить запись в защищенные добавочные BLOB-объекты.
После настройки политики неизменяемости вы увидите, что ее область действия ограничена контейнером:
На приведенном ниже изображении показан контейнер, для которого настроена и политика хранения на основе времени, и удержание по юридическим причинам.
Чтобы отменить удержание по юридическим причинам, перейдите в диалоговое окно Политика доступа, нажмите кнопку Дополнительно и щелкните Удалить.
Следующие шаги
- Хранение критически важных для бизнеса данных большого двоичного объекта с помощью неизменяемого хранилища
- Политики хранения на основе времени для неизменяемых данных больших двоичных объектов
- Юридические удержания для неизменяемых данных больших двоичных объектов
- Настройка политик неизменяемости для версий BLOB-объектов