為容器設定不變性原則

  • 發行項

Azure Blob 儲存體的不變性儲存體可讓使用者以 WORM (一次寫入,多次讀取) 狀態儲存商務關鍵性資料。 在 WORM 狀態下,您無法在使用者指定的間隔內修改或刪除資料。 您可設定 Blob 資料的永久性原則,以免資料遭覆寫和刪除。 不變性原則包含限時保留原則和合法保存。 如需 Blob 儲存體不變性原則的詳細資訊,請參閱使用不可變儲存體儲存商務關鍵性 Blob 資料

不變性原則的範圍可能是個別 Blob 版本或容器。 本文說明如何設定容器層級的不變性原則。 若要了解如何設定版本層級不變性原則,請參閱 設定 Blob 版本的不變性原則

注意

在已啟用網路檔案系統 (NFS) 3.0 通訊協定或 SSH 檔案傳輸通訊協定 (SFTP) 的帳戶中,不支援不變性原則。

設定容器的保留原則

若要在容器上設定限時保留原則,請使用 Azure 入口網站、PowerShell 或 Azure CLI。 您可以設定介於 1 到 146000 天的容器層級保留原則。

若要使用 Azure 入口網站在容器上設定限時保留原則,請遵循下列步驟:

  1. 瀏覽至所需的容器。

  2. 選取右側的 [更多] 按鈕,然後選取 [存取原則]

  3. 在 [不可變的 Blob 儲存體] 區段中,選取 [新增原則]

  4. 在 [原則類型] 欄位中,選取 [限時保留],並指定保留期間 (以天為單位)。

  5. 若要建立具有容器範圍的原則,請不要核取 [啟用版本層級不變性] 核取方塊。

  6. 選擇是否允許受保護的附加寫入。

    [附加 Blob] 選項可讓您的工作負載使用 [附加區塊] 作業,將新的資料區塊新增至附加 Blob 的結尾。

    [區塊和附加 Blob] 選項提供與 [附加 Blob] 選項相同的權限,但新增了將新區塊寫入至區塊 Blob 的能力。 Blob 儲存體 API 不提供讓應用程式直接執行此動作的途徑。 不過,應用程式可以使用 Data Lake Storage Gen2 API 中提供的附加和排清方法來達成此目的。 此外,有些 Microsoft 應用程式會使用內部 API 建立區塊 Blob,然後附加於其上。 如果您的工作負載相依於上述任何工具,您可以使用此屬性,以避免在這些工具嘗試將區塊附加至區塊 Blob 時出現錯誤。

    若要深入了解這些選項,請參閱允許受保護的附加 Blob 寫入

    顯示如何設定範圍為容器的不變性原則的螢幕快照

設定不變性原則之後,您會看到其範圍設定為容器:

顯示範圍為容器之現有不變性原則的螢幕快照

修改解除鎖定的保留原則

您可以修改解除鎖定的限時保留原則,以縮短或延長保留間隔,並允許額外的寫入在容器中附加 Blob。 您也可以刪除解除鎖定的原則。

若要在 Azure 入口網站中修改解除鎖定的限時保留原則,請遵循下列步驟:

  1. 瀏覽至所需的容器。

  2. 選取 [更多] 按鈕,然後選擇 [存取原則]

  3. 在 [不可變的 Blob 版本] 區段下,找出現有的已解除鎖定原則。 選取 [更多] 按鈕,然後從功能表選取 [編輯]

  4. 為原則提供新的保留間隔。 您也可以選取 [允許附加其他受保護的項目],以允許寫入受保護的附加 Blob。

    顯示如何修改解除鎖定時間型保留原則的螢幕快照

若要刪除解除鎖定的原則,請選取 [更多] 按鈕,然後選取 [刪除]

注意

您可以選取 [啟用版本層級不變性] 核取方塊,以啟用版本層級不變性原則。 如需有關啟用版本層級不變性原則的詳細資訊,請參閱設定 Blob 版本的不變性原則

鎖定限時保留原則

當您完成測試限時保留原則時,您可以鎖定原則。 鎖定的原則符合 SEC 17a-4(f) 和其他法規合規性。 您可以將鎖定原則的保留間隔延長最多五倍,但是無法縮短。

鎖定原則之後,您就無法將其刪除。 不過,您可以在保留間隔到期之後刪除 Blob。

若要使用 Azure 入口網站來鎖定原則,請遵循下列步驟:

  1. 瀏覽至具有已解除鎖定原則的容器。
  2. 在 [不可變的 Blob 版本] 區段下,找出現有的已解除鎖定原則。 選取 [更多] 按鈕,然後從功能表選取 [鎖定原則]
  3. 確認您想要鎖定原則。

顯示如何在 Azure 入口網站 中鎖定以時間為基礎的保留原則的螢幕快照

合法保存會儲存不可變的資料,直到明確清除合法保存為止。 若要深入了解合法保存原則,請參閱不可變 Blob 資料的合法保存

若要使用 Azure 入口網站設定容器的合法保存,請遵循下列步驟:

  1. 瀏覽至所需的容器。

  2. 選取 [更多] 按鈕,然後選擇 [存取原則]

  3. 在 [不可變的 Blob 版本] 區段下,選取 [新增原則]

  4. 選擇 [合法保存] 作為原則類型。

  5. 新增一或多個合法保留標籤。

  6. 選擇是否允許受保護的附加寫入,然後選取 [儲存]

    [附加 Blob] 選項可讓您的工作負載使用 [附加區塊] 作業,將新的資料區塊新增至附加 Blob 的結尾。

    此設定也會新增將新區塊寫入區塊 Blob 的功能。 Blob 儲存體 API 不提供讓應用程式直接執行此動作的途徑。 不過,應用程式可以使用 Data Lake Storage Gen2 API 中提供的附加和排清方法來達成此目的。 此外,此屬性可讓 Microsoft 應用程式 (例如 Azure Data Factory) 使用內部 API 來附加資料區塊。 如果您的工作負載相依於上述任何工具,您可以使用此屬性,以避免在這些工具嘗試將資料附加至 Blob 時出現錯誤。

    若要深入了解這些選項,請參閱允許受保護的附加 Blob 寫入

    顯示如何設定範圍為容器的法律保留原則的螢幕快照。

設定不變性原則之後,您會看到其範圍設定為容器:

下圖顯示已設定限時保留原則和合法保存的容器。

顯示已設定以時間為基礎的保留原則和合法保留的容器螢幕快照

若要清除合法保存,請瀏覽至 [存取原則] 對話方塊,選取 [更多] 按鈕,然後選擇 [刪除]

下一步