Хранение критически важных для бизнеса данных большого двоичного объекта с неизменяемым хранилищемStore business-critical blob data with immutable storage

Неизменяемое хранилище для хранилища BLOB-объектов Azure позволяет пользователям хранить критически важные для бизнеса объекты данных в ЧЕРВе (однократная запись, считывание из множества).Immutable storage for Azure Blob storage enables users to store business-critical data objects in a WORM (Write Once, Read Many) state. Это состояние делает их нестираемыми и неизменяемыми в течение определенного пользователем интервала времени.This state makes the data non-erasable and non-modifiable for a user-specified interval. В течение интервала хранения большие двоичные объекты можно создавать и читать, но нельзя изменять или удалять.For the duration of the retention interval, blobs can be created and read, but cannot be modified or deleted. Неизменяемое хранилище доступно для учетных записей общего назначения версии 1, общего назначения v2, Блобстораже и Блоккблобстораже во всех регионах Azure.Immutable storage is available for general-purpose v1, general-purpose v2, BlobStorage, and BlockBlobStorage accounts in all Azure regions.

Сведения о том, как задать и отменить юридические удержания или создать политику хранения на основе времени с помощью портал Azure, PowerShell или Azure CLI, см. в статье Настройка политик неизменности для хранилища BLOB-объектов и управление ими.For information about how to set and clear legal holds or create a time-based retention policy using the Azure portal, PowerShell, or Azure CLI, see Set and manage immutability policies for Blob storage.

Примечание

Эта функция пока не поддерживается в учетных записях с иерархическим пространством имен (Azure Data Lake Storage 2-го поколения).This feature is not yet supported in accounts that have a hierarchical namespace (Azure Data Lake Storage Gen2). Дополнительные сведения см. в разделе функции хранилища BLOB-объектов, доступные в Azure Data Lake Storage 2-го поколения.To learn more, see Blob storage features available in Azure Data Lake Storage Gen2.

Сведения о неизменяемом хранилище BLOB-объектовAbout immutable Blob storage

Неизменяемое хранилище помогает организациям в сфере здравоохранения, финансовым—учреждениям и связанным—отраслям, в частности, в Организации брокера-дилеров безопасно хранить данные.Immutable storage helps healthcare organization, financial institutions, and related industries—particularly broker-dealer organizations—to store data securely. Неизменяемое хранилище можно также использовать в любом сценарии для защиты критически важных данных от изменения или удаления.Immutable storage can also be leveraged in any scenario to protect critical data against modification or deletion.

Распространенные приложения включают следующее.Typical applications include:

  • Соответствие нормативным требованиям: хранение данных в неизменяемом виде в хранилище BLOB-объектов Azure помогает организациям соответствовать SEC 17a-4(f), CFTC 1.31(d), FINRA и другим нормам.Regulatory compliance: Immutable storage for Azure Blob storage helps organizations address SEC 17a-4(f), CFTC 1.31(d), FINRA, and other regulations. Технический технический документ, Кохассет, содержит сведения о том, как неизменяемые адреса хранилища этих нормативных требований можно скачать с помощью портала службы доверия Майкрософт.A technical whitepaper by Cohasset Associates details how Immutable storage addresses these regulatory requirements is downloadable via the Microsoft Service Trust Portal. Центр управления безопасностью Azure содержит подробные сведения о наших сертификатах соответствия.The Azure Trust Center contains detailed information about our compliance certifications.

  • Безопасное хранение документов. неизменяемое хранилище для хранилища BLOB-объектов Azure гарантирует, что данные не могут быть изменены или удалены любым пользователем, включая пользователей с правами администратора учетной записи.Secure document retention: Immutable storage for Azure Blob storage ensures that data can't be modified or deleted by any user, including users with account administrative privileges.

  • Юридическаяинформация. неизменяемое хранилище для хранилища BLOB-объектов Azure позволяет пользователям хранить конфиденциальную информацию, которая важна для судебного разбирательства или использования в бизнесе, в состоянии подтверждения незаконного пользования до тех пор, пока удержание не будет удалено.Legal hold: Immutable storage for Azure Blob storage enables users to store sensitive information that is critical to litigation or business use in a tamper-proof state for the desired duration until the hold is removed. Эта функция не ограничивается только юридическими вариантами использования, но также может рассматриваться как удержание на основе событий или блокировка предприятия, где требуется защищать данные на основе триггеров событий или корпоративной политики.This feature is not limited only to legal use cases but can also be thought of as an event-based hold or an enterprise lock, where the need to protect data based on event triggers or corporate policy is required.

Неизменяемое хранилище поддерживает следующие функции:Immutable storage supports the following features:

  • Поддержка политики хранения на основе времени. пользователи могут задавать политики для хранения данных в течение указанного интервала.Time-based retention policy support: Users can set policies to store data for a specified interval. Если задана политика хранения на основе времени, большие двоичные объекты можно создавать и читать, но нельзя изменять и удалять.When a time-based retention policy is set, blobs can be created and read, but not modified or deleted. По истечении срока хранения большие двоичные объекты могут быть удалены, но не перезаписаны.After the retention period has expired, blobs can be deleted but not overwritten.

  • Поддержка политики юридических удержаний. Если интервал хранения неизвестен, пользователи могут задать юридические удержания для хранения неизменяемых данных до тех пор, пока не будет сброшено юридическое удержание.Legal hold policy support: If the retention interval is not known, users can set legal holds to store immutable data until the legal hold is cleared. Если задана политика юридических удержаний, большие двоичные объекты можно создавать и читать, но нельзя изменять и удалять.When a legal hold policy is set, blobs can be created and read, but not modified or deleted. Каждое юридическое удержание связано с определенным пользователем буквенно-цифровым тегом (например, ИДЕНТИФИКАТОРом варианта, именем события и т. д.), используемым в качестве строки идентификатора.Each legal hold is associated with a user-defined alphanumeric tag (such as a case ID, event name, etc.) that is used as an identifier string.

  • Поддержка для всех уровней хранилища BLOB-объектов: политики WORM не зависят от уровня хранилища BLOB-объектов Azure и применяются ко всем уровням: горячим, холодным и архивным.Support for all blob tiers: WORM policies are independent of the Azure Blob storage tier and apply to all the tiers: hot, cool, and archive. Это позволяет пользователям переносить данные на наиболее оптимизированный по стоимости уровень для своей рабочей нагрузки, сохраняя их неизменность.Users can transition data to the most cost-optimized tier for their workloads while maintaining data immutability.

  • Настройка уровня контейнера: на уровне контейнера пользователи могут настроить временные политики периода удержания и теги юридического удержания.Container-level configuration: Users can configure time-based retention policies and legal hold tags at the container level. Пользователи могут создавать и блокировать временные политики удержания, расширять период хранения, устанавливать и очищать удержания по юридическим причинам и т. д. с помощью простых настроек уровня контейнера.By using simple container-level settings, users can create and lock time-based retention policies, extend retention intervals, set and clear legal holds, and more. Эти политики применяются для всех имеющихся и новых больших двоичных объектов в контейнере.These policies apply to all the blobs in the container, both existing and new.

  • Поддержка ведения журнала аудита. Каждый контейнер включает журнал аудита политики.Audit logging support: Each container includes a policy audit log. Она отображает до семи команд хранения на основе времени для заблокированных политик хранения на основе времени и содержит идентификатор пользователя, тип команды, метки времени и интервал хранения.It shows up to seven time-based retention commands for locked time-based retention policies and contains the user ID, command type, time stamps, and retention interval. Для юридического удержания журнал содержит идентификатор пользователя, тип команды, отметки времени и теги юридического удержания.For legal holds, the log contains the user ID, command type, time stamps, and legal hold tags. Этот журнал сохраняется в течение времени существования политики в соответствии с нормативными рекомендациями 17A-4 (f).This log is retained for the lifetime of the policy, in accordance with the SEC 17a-4(f) regulatory guidelines. В журнале действий Azure представлен более полный журнал всех действий плоскости управления. При включении в журналы ресурсов Azure выполняются операции плоскости данных.The Azure Activity Log shows a more comprehensive log of all the control plane activities; while enabling Azure Resource Logs retains and shows data plane operations. Пользователь постоянно несет ответственность за хранение этих журналов в соответствии с нормативами или другими требованиями.It is the user's responsibility to store those logs persistently, as might be required for regulatory or other purposes.

Принцип работыHow it works

Функция хранения данных в неизменяемом виде хранилища BLOB-объектов Azure поддерживает два типа WORM или неизменяемых политик: период удержания на основе времени и юридическое удержание.Immutable storage for Azure Blob storage supports two types of WORM or immutable policies: time-based retention and legal holds. Если для контейнера применяется политика хранения на основе времени или юридическая информация, все существующие большие двоичные объекты переходят в неизменяемое состояние червя менее чем за 30 секунд.When a time-based retention policy or legal hold is applied on a container, all existing blobs move into an immutable WORM state in less than 30 seconds. Все новые большие двоичные объекты, отправленные в этот контейнер, защищенные политикой, также будут переведены в неизменяемое состояние.All new blobs that are uploaded to that policy protected container will also move into an immutable state. После того как все большие двоичные объекты находятся в неизменяемом состоянии, будет подтверждена неизменяемая политика, а любые операции перезаписи или удаления в неизменяемом контейнере не допускаются.Once all blobs are in an immutable state, the immutable policy is confirmed and any overwrite or delete operations in the immutable container are not allowed.

Удаление контейнеров и учетных записей хранения также запрещено, если в контейнере есть большие двоичные объекты, защищенные юридическим удержанием или заблокированной политикой на основе времени.Container and storage account deletion are also not permitted if there are any blobs in a container that are protected by a legal hold or a locked time-based policy. Политика юридического хранения будет защищаться от удаления BLOB-объектов, контейнеров и учетных записей хранения.A legal hold policy will protect against blob, container, and storage account deletion. Политики с неблокировкой и блокировкой на основе времени будут защищаться от удаления больших двоичных объектов в течение указанного времени.Both unlocked and locked time-based policies will protect against blob deletion for the specified time. И разблокированные, и заблокированные политики на основе времени защищают от удаления контейнера, только если в контейнере существует хотя бы один большой двоичный объект.Both unlocked and locked time-based policies will protect against container deletion only if at least one blob exists within the container. Только контейнер с заблокированной политикой на основе времени будет защищаться от удаления учетных записей хранения. контейнеры с незаблокированными политиками на основе времени не предлагают защиту от удаления учетной записи хранения и соответствие.Only a container with locked time-based policy will protect against storage account deletions; containers with unlocked time-based policies do not offer storage account deletion protection nor compliance.

Дополнительные сведения о настройке и блокировке политик хранения на основе времени см. в статье Настройка политик неизменности для хранилища BLOB-объектов и управление ими.For more information on how to set and lock time-based retention policies, see Set and manage immutability policies for Blob storage.

Политики хранения на основе времениTime-based retention policies

Важно!

Политика хранения на основе времени должна быть заблокирована , чтобы большой двоичный объект находился в совместимом неизменяемом состоянии (с записью и удалением) для 17A-4 (f) и других нормативных требований.A time-based retention policy must be locked for the blob to be in a compliant immutable (write and delete protected) state for SEC 17a-4(f) and other regulatory compliance. Рекомендуется блокировать политику в разумное время, обычно менее 24 часов.We recommend that you lock the policy in a reasonable amount of time, typically less than 24 hours. Начальное состояние примененной политики хранения на основе времени разблокируется, что позволяет протестировать функцию и внести изменения в политику перед ее блокировкой.The initial state of an applied time-based retention policy is unlocked, allowing you to test the feature and make changes to the policy before you lock it. В то время как незаблокированное состояние обеспечивает защиту от неизменности, мы не рекомендуем использовать незаблокированное состояние для любых целей, отличных от краткосрочных версий функций.While the unlocked state provides immutability protection, we don't recommend using the unlocked state for any purpose other than short-term feature trials.

Когда политика хранения на основе времени применяется в контейнере, все большие двоичные объекты контейнера остаются в неизменяемом состоянии в течение действующего периода удержания.When a time-based retention policy is applied on a container, all blobs in the container will stay in the immutable state for the duration of the effective retention period. Эффективный срок хранения больших двоичных объектов равен разнице между временем создания большого двоичного объекта и заданным пользователем интервалом хранения.The effective retention period for blobs is equal to the difference between the blob's creation time and the user-specified retention interval. Так как пользователи могут расширять интервал удержания, функция хранения данных в неизменяемом виде будет использовать самое последнее его значение для вычисления периода эффективного удержания.Because users can extend the retention interval, immutable storage uses the most recent value of the user-specified retention interval to calculate the effective retention period.

Например, предположим, что пользователь создает политику хранения на основе времени с интервалом хранения, равным пяти годам.For example, suppose that a user creates a time-based retention policy with a retention interval of five years. Существующий большой двоичный объект в этом контейнере, testblob1, был создан один год назад. Таким образом, эффективный срок хранения для testblob1 составляет четыре года.An existing blob in that container, testblob1, was created one year ago; so, the effective retention period for testblob1 is four years. Когда в контейнер загружается новый BLOB-объект testblob2, эффективный срок хранения для testblob2 составляет пять лет с момента создания.When a new blob, testblob2, is uploaded to the container, the effective retention period for the testblob2 is five years from the time of its creation.

Незаблокированная политика хранения, основанная на времени, рекомендуется только для тестирования компонентов, а политика должна быть заблокирована, чтобы быть совместимой с 17A-4 (f) и другими нормативными требованиями.An unlocked time-based retention policy is recommended only for feature testing and a policy must be locked in order to be compliant with SEC 17a-4(f) and other regulatory compliance. После блокировки политики хранения, основанной на времени, невозможно удалить политику и разрешить не более пяти увеличений срока действия.Once a time-based retention policy is locked, the policy cannot be removed and a maximum of five increases to the effective retention period is allowed.

К политикам хранения применяются следующие ограничения.The following limits apply to retention policies:

  • Для учетной записи хранения максимальное число контейнеров с заблокированными неизменяемыми политиками на основе времени — 10 000.For a storage account, the maximum number of containers with locked time-based immutable policies is 10,000.
  • Минимальный интервал хранения — 1 день.The minimum retention interval is 1 day. Максимальное значение — 146 000 дней (400 лет).The maximum is 146,000 days (400 years).
  • Для контейнера максимальное число изменений для расширения интервала хранения заблокированных неизменяемых политик на основе времени равно 5.For a container, the maximum number of edits to extend a retention interval for locked time-based immutable policies is 5.
  • Для контейнера не более семи журналов аудита политики хранения на основе времени сохраняются для заблокированной политики.For a container, a maximum of seven time-based retention policy audit logs are retained for a locked policy.

Разрешить запись дополнительных BLOB-объектов с защищенным добавлениемAllow protected append blobs writes

Добавочные BLOB-объекты состоят из блоков данных и оптимизированы для операций добавления данных, необходимых для сценариев аудита и ведения журнала.Append blobs are comprised of data blocks and optimized for data append operations required by auditing and logging scenarios. При проектировании добавочные BLOB-объекты позволяют добавлять новые блоки в конец большого двоичного объекта.By design, append blobs only allow the addition of new blocks to the end of the blob. Независимо от неизменности, изменение или удаление существующих блоков в добавочном большом двоичном объекте не допускается.Regardless of immutability, modification or deletion of existing blocks in an append blob is fundamentally not allowed. Дополнительные сведения о добавлении больших двоичных объектов см. в статье о добавлении большихдвоичных объектов.To learn more about append blobs, see About Append Blobs.

Только политики хранения на основе времени имеют allowProtectedAppendWrites параметр, позволяющий записывать новые блоки в добавочный BLOB-объект, сохраняя при этом защиту и соответствие неизменности.Only time-based retention policies have an allowProtectedAppendWrites setting that allows for writing new blocks to an append blob while maintaining immutability protection and compliance. Если параметр включен, вы можете создать добавочный BLOB-объект непосредственно в защищенном контейнере политики и продолжить добавлять новые блоки данных в конец существующих добавочных BLOB-объектов с помощью API AppendBlock .If enabled, you are allowed to create an append blob directly in the policy protected container and continue to add new blocks of data to the end of existing append blobs using the AppendBlock API. Можно добавлять только новые блоки, и любые существующие блоки не могут быть изменены или удалены.Only new blocks can be added and any existing blocks cannot be modified or deleted. Защита с помощью неизменности времени по-прежнему применяется, предотвращая удаление большого двоичного объекта, пока не истечет действующий срок хранения.Time-retention immutability protection still applies, preventing deletion of the append blob until the effective retention period has elapsed. Включение этого параметра не влияет на поведение блочных больших двоичных объектов или страничных BLOB-объектов.Enabling this setting does not affect the immutability behavior of block blobs or page blobs.

Так как этот параметр является частью политики хранения на основе времени, добавочные большие двоичные объекты остаются в неизменяемом состоянии в течение срока действия эффективного периода хранения.As this setting is part of a time-based retention policy, the append blobs still stay in the immutable state for the duration of the effective retention period. Поскольку новые данные могут быть добавлены за пределами первоначального создания большого двоичного объекта, существует небольшая разница в способе определения срока хранения.Since new data can be appended beyond the initial creation of the append blob, there is a slight difference in how the retention period is determined. Эффективное хранение — это разница между временем последнего изменения добавочного и заданного пользователем интервала хранения.The effective retention is the difference between append blob's last modification time and the user-specified retention interval. Аналогично, если интервал хранения расширен, неизменяемое хранилище использует самое последнее значение указанного пользователем интервала хранения для вычисления эффективного срока хранения.Similarly when the retention interval is extended, immutable storage uses the most recent value of the user-specified retention interval to calculate the effective retention period.

Например, предположим, что пользователь создает политику хранения на основе времени с allowProtectedAppendWrites включенным интервалом хранения в 90 дней.For example, suppose that a user creates a time-based retention policy with allowProtectedAppendWrites enabled and a retention interval of 90 days. В настоящее время в контейнере создается добавочный BLOB-объект logblob1, новые журналы продолжают добавляться в добавочный BLOB-объект в течение следующих 10 дней; Таким образом, эффективный срок хранения для logblob1 составляет 100 дней с сегодняшнего дня (время последнего добавления + 90 дней).An append blob, logblob1, is created in the container today, new logs continue to be added to the append blob for the next 10 days; so, the effective retention period for the logblob1 is 100 days from today (the time of its last append + 90 days).

Разблокированные политики хранения, основанные на времени allowProtectedAppendWrites , позволяют включить и отключить параметр в любое время.Unlocked time-based retention policies allow the allowProtectedAppendWrites setting to be enabled and disabled at any time. Если политика хранения на основе времени заблокирована, этот allowProtectedAppendWrites параметр нельзя изменить.Once the time-based retention policy is locked, the allowProtectedAppendWrites setting cannot be changed.

Политики юридических удержаний не allowProtectedAppendWrites могут быть включены, и любые юридические удержания будут аннулируются свойство "алловпротектедаппендвритес".Legal hold policies cannot enable allowProtectedAppendWrites and any legal holds will nullify the 'allowProtectedAppendWrites' property. Если юридическое хранение применяется к политике хранения на основе времени с allowProtectedAppendWrites включенным параметром, API AppendBlock будет завершаться ошибкой, пока не будет ликвидировано юридическое удержание.If a legal hold is applied to a time-based retention policy with allowProtectedAppendWrites enabled, the AppendBlock API will fail until the legal hold is lifted.

Юридические удержания — это временные удержания, которые можно использовать для юридических целей или общих политик защиты.Legal holds are temporary holds that can be used for legal investigation purposes or general protection policies. Каждая политика удержания должна быть связана с одним или несколькими тегами.Each legal hold policy needs to be associated with one or more tags. Теги используются в качестве именованного идентификатора, например идентификатора варианта или события, для категоризации и описания цели удержания.Tags are used as a named identifier, such as a case ID or event, to categorize and describe the purpose of the hold.

Контейнер может иметь одновременно и юридическое удержание, и политику хранения на основе времени.A container can have both a legal hold and a time-based retention policy at the same time. Все большие двоичные объекты в этом контейнере остаются в неизменяемом состоянии, пока все юридические удержания не будут сняты, даже если период эффективного хранения истек.All blobs in that container stay in the immutable state until all legal holds are cleared, even if their effective retention period has expired. И наоборот, большой двоичный объект остается в неизменяемом состоянии до тех пор, пока не истечет период эффективного хранения, хотя все юридические удержания сняты.Conversely, a blob stays in an immutable state until the effective retention period expires, even though all legal holds have been cleared.

К юридическим удержаниям относятся следующие ограничения.The following limits apply to legal holds:

  • Для учетной записи хранения максимальное число контейнеров с допустимым параметром удержания — 10 000.For a storage account, the maximum number of containers with a legal hold setting is 10,000.
  • Для контейнера максимальное количество тегов юридического удержания составляет 10.For a container, the maximum number of legal hold tags is 10.
  • Минимальная длина тега юридического удержания состоит из трех буквенно-цифровых символов.The minimum length of a legal hold tag is three alphanumeric characters. Максимальная длина составляет 23 алфавитно-цифровых символов.The maximum length is 23 alphanumeric characters.
  • Для контейнера не более 10 журналов аудита политики юридического хранения сохраняются в течение политики.For a container, a maximum of 10 legal hold policy audit logs are retained for the duration of the policy.

СценарииScenarios

В следующей таблице показаны типы операций с хранилищем BLOB-объектов, отключенных для различных неизменяемых сценариев.The following table shows the types of Blob storage operations that are disabled for the different immutable scenarios. Дополнительные сведения см. в документации по службе BLOB-объектов Azure REST API .For more information, see the Azure Blob Service REST API documentation.

СценарийScenario Состояние больших двоичных объектовBlob state Операции с BLOB-объектом запрещеныBlob operations denied Защита контейнеров и учетных записейContainer and account protection
Эффективный интервал удержания большого двоичного объекта еще не истек, и (или) установлено юридическое удержаниеEffective retention interval on the blob has not yet expired and/or legal hold is set Неизменяемость: защита от удаления и от записиImmutable: both delete and write-protected Помещение большого двоичного объекта1, помещение блока1, помещение блока списка1, удаление контейнера, удаление большого двоичного объекта, задание метаданных большого двоичного объекта, страницы размещения, задание свойств большого двоичного объекта, моментального снимка большого двоичного объекта, добавочного копирования2Put Blob1, Put Block1, Put Block List1, Delete Container, Delete Blob, Set Blob Metadata, Put Page, Set Blob Properties, Snapshot Blob, Incremental Copy Blob, Append Block2 Удаление контейнера отклонено; Удаление учетной записи хранения отклоненоContainer deletion denied; Storage Account deletion denied
Срок действия эффективного интервала хранения в большом двоичном объекте истек, и не задано юридическое удержаниеEffective retention interval on the blob has expired and no legal hold is set Защита только от записи (разрешены операции удаления)Write-protected only (delete operations are allowed) Помещение большого двоичного объекта1, помещение блока1, помещение блока списка1, задание метаданных большого двоичного объекта, страницы размещения, установка свойств большого двоичного объекта, моментального снимка, BLOB-объекта добавочного копирования, блока Append2Put Blob1, Put Block1, Put Block List1, Set Blob Metadata, Put Page, Set Blob Properties, Snapshot Blob, Incremental Copy Blob, Append Block2 Удаление контейнера запрещено, если в защищенном контейнере существует хотя бы один BLOB-объект. Удаление учетной записи хранения запрещено только для заблокированных политик на основе времениContainer deletion denied if at least 1 blob exists within protected container; Storage Account deletion denied only for locked time-based policies
Политика червя не применяется (без времени хранения и тега юридического удержания)No WORM policy applied (no time-based retention and no legal hold tag) ИзменяемыйMutable NoneNone NoneNone

1 Служба BLOB-объектов позволяет этим операциям создать новый большой двоичный объект один раз.1 The blob service allows these operations to create a new blob once. Все последующие операции перезаписи существующего пути к большому двоичному объекту в неизменяемом контейнере не допускаются.All subsequent overwrite operations on an existing blob path in an immutable container are not allowed.

2 блок добавления разрешен только для политик хранения на основе времени с включенным allowProtectedAppendWrites свойством.2 Append Block is only allowed for time-based retention policies with the allowProtectedAppendWrites property enabled. Дополнительные сведения см. в разделе разрешение записи BLOB-объектов для защищенного соединения .For more information, see the Allow Protected Append Blobs Writes section.

ЦеныPricing

За использование этой функции не взимается дополнительная плата.There is no additional charge for using this feature. Цены на неизменяемые данные изменяются так же, как и изменяемые данные.Immutable data is priced in the same way as mutable data. Сведения о ценах на хранилище BLOB-объектов Azure см. на странице цен на службу хранилища Azure.For pricing details on Azure Blob storage, see the Azure Storage pricing page.

часто задаваемые вопросыFAQ

Можно ли предоставить документацию по соответствию червя?Can you provide documentation of WORM compliance?

Да.Yes. Чтобы документировать соответствие требованиям, корпорация Майкрософт сохранила начальную независимую оценку, специализирующуюся на управлении записями и информационным руководством, Кохассет связывается, чтобы оценить неизменяемое хранилище BLOB-объектов и его соответствие требованиям отрасли финансовых служб.To document compliance, Microsoft retained a leading independent assessment firm that specializes in records management and information governance, Cohasset Associates, to evaluate immutable Blob storage and its compliance with requirements specific to the financial services industry. Кохассет подтвердила, что неизменяемое хранилище BLOB-объектов, используемое для хранения больших двоичных объектов на основе времени в состоянии червя, соответствует требованиям к хранению КФТК правила 1.31 (c)-(d), ФИНРА правил 4511 и с Rule 17A-4.Cohasset validated that immutable Blob storage, when used to retain time-based Blobs in a WORM state, meets the relevant storage requirements of CFTC Rule 1.31(c)-(d), FINRA Rule 4511, and SEC Rule 17a-4. Корпорация Майкрософт нацелена на этот набор правил, так как они представляют наиболее полное нормативное руководство по хранению записей для финансовых учреждений.Microsoft targeted this set of rules, as they represent the most prescriptive guidance globally for records retention for financial institutions. Отчет Кохассет доступен в центре управления безопасностью Майкрософт.The Cohasset report is available in the Microsoft Service Trust Center. Чтобы запросить письмо об аттестации от Майкрософт по соответствию неизменности ЧЕРВей, обратитесь в службу поддержки Azure.To request a letter of attestation from Microsoft regarding WORM immutability compliance, please contact Azure support.

Применяется ли эта функция только для блочных и добавочных BLOB-объектов, а также для страничных больших двоичных объектов?Does the feature apply to only block blobs and append blobs, or to page blobs as well?

Неизменяемое хранилище можно использовать с любым типом больших двоичных объектов, так как оно задано на уровне контейнера, но мы рекомендуем использовать ЧЕРВь для контейнеров, которые в основном хранят блочные BLOB-объекты и добавляют большие двоичные объекты.Immutable storage can be used with any blob type as it is set at the container level, but we recommend that you use WORM for containers that mainly store block blobs and append blobs. Существующие большие двоичные объекты в контейнере будут защищены новой политикой установки червя.Existing blobs in a container will be protected by a newly set WORM policy. Но все новые страничные BLOB-объекты должны быть созданы за пределами контейнера червя, а затем скопированы в.But any new page blobs need to be created outside the WORM container, and then copied in. После копирования в контейнер червя не допускаются дальнейшие изменения страничного BLOB-объекта.Once copied into a WORM container, no further changes to a page blob are allowed. Установка политики-червя для контейнера, в котором хранятся виртуальные жесткие диски (страничные BLOB-объекты) для любых активных виртуальных машин, не рекомендуется, так как он блокирует диск виртуальной машины.Setting a WORM policy on a container that stores VHDs (page blobs) for any active virtual machines is discouraged as it will lock the VM disk. Рекомендуется тщательно изучить документацию и протестировать сценарии, прежде чем блокировать любые политики, основанные на времени.We recommend that you thoroughly review the documentation and test your scenarios before locking any time-based policies.

Нужно ли создавать новую учетную запись хранения для использования этой функции?Do I need to create a new storage account to use this feature?

Нет, можно использовать неизменяемое хранилище с любыми существующими или только что созданными учетными записями общего назначения версии 1, общего назначения v2, Блобстораже или Блоккблобстораже.No, you can use immutable storage with any existing or newly created general-purpose v1, general-purpose v2, BlobStorage, or BlockBlobStorage accounts. Учетные записи хранения общего назначения v1 поддерживаются, но мы рекомендуем обновить их до версии 2 общего назначения, чтобы воспользоваться преимуществами дополнительных функций.General-purpose v1 storage accounts are supported but we recommend upgrading to general-purpose v2 such that you can take advantage of more features. Сведения об обновлении существующей учетной записи хранения общего назначения версии 1 см. в статье Обновление учетной записи хранения.For information on upgrading an existing general-purpose v1 storage account, see Upgrade a storage account.

Можно ли применить политику хранения с юридическим удержанием и временем?Can I apply both a legal hold and time-based retention policy?

Да, в контейнере одновременно могут одновременно храниться и допустимое хранение, и политика хранения на основе времени. Однако параметр "Алловпротектедаппендвритес" не применяется, пока не будет сброшено юридическое удержание.Yes, a container can have both a legal hold and a time-based retention policy at the same time; however, the 'allowProtectedAppendWrites' setting will not apply until the legal hold is cleared. Все большие двоичные объекты в этом контейнере остаются в неизменяемом состоянии, пока все юридические удержания не будут сняты, даже если период эффективного хранения истек.All blobs in that container stay in the immutable state until all legal holds are cleared, even if their effective retention period has expired. И наоборот, большой двоичный объект остается в неизменяемом состоянии до тех пор, пока не истечет период эффективного хранения, хотя все юридические удержания сняты.Conversely, a blob stays in an immutable state until the effective retention period expires, even though all legal holds have been cleared.

Являются ли политики с юридическими удержаниями только для юридических материалы или в других сценариях использования?Are legal hold policies only for legal proceedings or are there other use scenarios?

Нет, Юридическая информация — это просто общий термин, используемый для политики хранения, не основанной на времени.No, Legal Hold is just the general term used for a non-time-based retention policy. Его не нужно использовать для материалы, связанных с судебными отношениями.It does not need to only be used for litigation-related proceedings. Политики юридических удержаний полезны для отключения перезаписи и удаления для защиты важных данных корпоративного червя, если срок хранения неизвестен.Legal Hold policies are useful for disabling overwrite and deletes for protecting important enterprise WORM data, where the retention period is unknown. Вы можете использовать его в качестве политики предприятия для защиты критически важных рабочих нагрузок ЧЕРВей или использовать его в качестве промежуточной политики, прежде чем для пользовательского триггера событий потребуется использовать политику хранения на основе времени.You may use it as an enterprise policy to protect your mission critical WORM workloads or use it as a staging policy before a custom event trigger requires the use of a time-based retention policy.

Можно ли удалить Заблокированную политику хранения на основе времени или юридическую блокировку?Can I remove a locked time-based retention policy or legal hold?

Из контейнера можно удалить только незаблокированные политики хранения на основе времени.Only unlocked time-based retention policies can be removed from a container. Если политика хранения на основе времени заблокирована, ее нельзя удалить. допускаются только действующие расширения срока хранения.Once a time-based retention policy is locked, it cannot be removed; only effective retention period extensions are allowed. Теги юридических удержаний можно удалить.Legal hold tags can be deleted. При удалении всех юридических тегов это юридическое удержание удаляется.When all legal tags are deleted, the legal hold is removed.

Что произойдет, если я попытаюсь удалить контейнер с политикой хранения на основе времени или с юридическим удержанием?What happens if I try to delete a container with a time-based retention policy or legal hold?

Операция удаления контейнера завершится ошибкой, если в контейнере существует хотя бы один большой двоичный объект с заблокированной или незаблокированной политикой хранения на основе времени или если контейнер имеет юридическую блокировку.The Delete Container operation will fail if at least one blob exists within the container with either a locked or unlocked time-based retention policy or if the container has a legal hold. Операция удаления контейнера будет выполнена, только если в контейнере отсутствуют большие двоичные объекты и юридические удержания отсутствуют.The Delete Container operation will succeed only if no blobs exist within the container and there are no legal holds.

Что произойдет, если я попытаюсь удалить учетную запись хранения с контейнером с политикой хранения на основе времени или с юридическим удержанием?What happens if I try to delete a storage account with a container that has a time-based retention policy or legal hold?

Удаление учетной записи хранения завершится ошибкой, если имеется хотя бы один контейнер с юридическим набором или заблокированной политикой на основе времени.The storage account deletion will fail if there is at least one container with a legal hold set or a locked time-based policy. Контейнер с незаблокированной политикой на основе времени не защищается от удаления учетной записи хранения.A container with an unlocked time-based policy does not protect against storage account deletion. Прежде чем можно будет удалить учетную запись хранения, необходимо удалить все юридические удержания и удалить все Заблокированные контейнеры.You must remove all legal holds and delete all locked containers before you can delete the storage account. Сведения об удалении контейнера см. в предыдущем вопросе.For information on container deletion, see the preceding question. Вы также можете применить дополнительные средства защиты учетной записи хранения с Azure Resource Managerными блокировками.You can also apply further delete protections for your storage account with Azure Resource Manager locks.

Можно ли перемещать данные между различными уровнями BLOB-объектов (горячий, холодный, архивный), когда большой двоичный объект находится в неизменяемом состоянии?Can I move the data across different blob tiers (hot, cool, archive) when the blob is in the immutable state?

Да, можно использовать команду Set BLOB Tier для перемещения данных по уровням больших двоичных объектов, сохраняя их в соответствии с неизменяемым состоянием.Yes, you can use the Set Blob Tier command to move data across the blob tiers while keeping the data in the compliant immutable state. Функция хранения данных в неизменяемом виде в хранилище поддерживается на горячем, холодном и архивном уровнях хранения больших двоичных объектов.Immutable storage is supported on hot, cool, and archive blob tiers.

Что произойдет, если не внести оплату, при том что срок интервала периода удержания еще не истек?What happens if I fail to pay and my retention interval has not expired?

В случае неоплаты будут применяться обычные правила хранения данных в соответствии с условиями, указанными в условиях вашего контракта с корпорацией Майкрософт.In the case of non-payment, normal data retention policies will apply as stipulated in the terms and conditions of your contract with Microsoft. Общие сведения см. в разделе Управление данными в корпорации Майкрософт.For general information, see Data management at Microsoft.

Предлагаете ли вы пробный или льготный период, чтобы просто попробовать эту функцию?Do you offer a trial or grace period for just trying out the feature?

Да.Yes. Когда политика хранения на основе времени создается впервые, она находится в незаблокированном состоянии.When a time-based retention policy is first created, it is in an unlocked state. В этом состоянии можно вносить любые нужные изменения, например увеличение или уменьшение, и даже удаление политики.In this state, you can make any desired change to the retention interval, such as increase or decrease and even delete the policy. После блокировки политика остается заблокированной до истечения периода удержания.After the policy is locked, it stays locked until the retention interval expires. Эта политика блокировки предотвращает удаление и изменение интервала хранения.This locked policy prevents deletion and modification to the retention interval. Мы настоятельно рекомендуем использовать разблокированное состояние только для пробных целей и заблокировать политику в течение 24 часов,We strongly recommend that you use the unlocked state only for trial purposes and lock the policy within a 24-hour period. чтобы не подвергать риску соответствие требованиям SEC 17a-4(f) и другим нормам.These practices help you comply with SEC 17a-4(f) and other regulations.

Можно ли использовать обратимое удаление вместе с неизменяемыми политиками больших двоичных объектов?Can I use soft delete alongside Immutable blob policies?

Да, если требования к соответствию требованиям позволяют включить обратимое удаление.Yes, if your compliance requirements allow for soft delete to be enabled. Обратимое удаление для хранилища BLOB-объектов Azure применяется ко всем контейнерам в учетной записи хранения независимо от политики хранения на основе юридических удержаний или времени.Soft delete for Azure Blob storage applies for all containers within a storage account regardless of a legal hold or time-based retention policy. Рекомендуется включить обратимое удаление для дополнительной защиты перед применением и подтверждением политик неизменного червя.We recommend enabling soft delete for additional protection before any immutable WORM policies are applied and confirmed.

Дальнейшие шагиNext steps