Funktionsweise von SnapLock - FSx für ONTAP
AufbewahrungsmodiSnapLock-AdministratorSnapLock -Auditprotokoll-VolumesZugreifen auf Ihre Daten in einem SnapLock Volume

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von SnapLock

SnapLock kann Ihnen helfen, regulatorische und Governance-Zwecke zu erfüllen, indem verhindert wird, dass Ihre Dateien gelöscht, geändert oder umbenannt werden. Wenn Sie ein SnapLock Volume erstellen, führen Sie ein Commit für Ihre Dateien durch, um einmal zu schreiben, viele (WORM)-Speicher zu lesen und Aufbewahrungszeiträume für die Daten festzulegen. Ihre Dateien können für einen bestimmten Zeitraum oder auf unbestimmte Zeit in einem nicht beschreibbaren, nicht beschreibbaren Status gespeichert werden.

Wichtig

Sie müssen angeben, ob ein Volume zum Zeitpunkt der Erstellung SnapLock Einstellungen verwendet. Ein Nicht-SnapLock--Volume kann nach der Erstellung nicht in ein SnapLock Volume konvertiert werden.

Aufbewahrungsmodi

SnapLock hat zwei Aufbewahrungsmodi: Compliance und Enterprise. Amazon FSx für NetApp ONTAP unterstützt beide. Sie haben unterschiedliche Anwendungsfälle und einige der Funktionen unterscheiden sich, aber beide schützen Ihre Daten mithilfe des WORM-Modells vor Änderung oder Löschung. In der folgenden Tabelle werden einige der Ähnlichkeiten und Unterschiede zwischen diesen Aufbewahrungsmodi erläutert.

SnapLock-Funktion SnapLock-Compliance SnapLock Unternehmen
Beschreibung Dateien, die auf einem Compliance-Volume in WORM übertragen werden, können erst gelöscht werden, wenn ihre Aufbewahrungszeiträume abgelaufen sind. Dateien, die auf einem Enterprise-Volume in WORM übertragen werden, können von autorisierten Benutzern gelöscht werden, bevor ihre Aufbewahrungszeiträume ablaufen, indem sie privilegierte Löschungen verwenden.
Anwendungsfälle

  • Um regierungs- oder branchenspezifische Vorgaben wie SEC Rule 17a-4(f), FINRA Rule 4511 und CFTC Rule 1.31 zu erfüllen.

  • Zum Schutz vor Ransomware-Angriffen.

  • Um die Datenintegrität und interne Compliance einer Organisation zu fördern.

  • So testen Sie die Aufbewahrungseinstellungen, bevor Sie SnapLock Compliance verwenden.

Autocommit Ja Ja
Ereignisbasierte Aufbewahrung (EBR)* Ja Ja
Rechtliche Aufbewahrungsfrist* Ja Nein
Privilegiertes Löschen Nein Ja
Volume-Append-Modus Ja Ja
SnapLock -Auditprotokoll-Volumes Ja Ja

*EBR- und rechtliche Aufbewahrungsfristen werden in der ONTAP CLI und REST API unterstützt.

SnapLock-Administrator

Sie müssen über SnapLock Administratorrechte verfügen, um bestimmte Aktionen auf SnapLock Volumes ausführen zu können. -SnapLockAdministratorrechte sind in der vsadmin-snaplock Rolle in der ONTAP CLI definiert. Sie müssen ein Cluster-Administrator sein, um ein SVM-Administratorkonto (Storage Virtual Machine) mit der SnapLock Administratorrolle zu erstellen.

Sie können die folgenden Aktionen mit der vsadmin-snaplock Rolle in der ONTAP CLI ausführen:

  • Verwalten Ihres eigenen Benutzerkontos, Ihres lokalen Passworts und Ihrer Schlüsselinformationen

  • Verwalten von Volumes, außer Verschieben von Volumes

  • Verwalten von Kontingenten, Qtrees, Snapshot-Kopien und Dateien

  • Ausführen von SnapLock Aktionen, einschließlich privilegierter Löschung und gesetzlicher Aufbewahrungsfristen

  • Konfigurieren der Protokolle Network File System (NFS) und Server Message Block (SMB)

  • Konfigurieren von Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) und Network Information Service (NIS)-Services

  • Aufträge überwachen

Im folgenden Verfahren wird beschrieben, wie Sie einen SnapLock Administrator in der ONTAP CLI erstellen. Sie müssen als Cluster-Administrator bei einer sicheren Verbindung angemeldet sein, z. B. Secure Shell Protocol (SSH), um diese Aufgabe ausführen zu können.

So erstellen Sie ein SVM-Administratorkonto mit der Rolle vsadmin-snaplock in der ONTAP CLI

  • Führen Sie den folgenden Befehl aus. Ersetzen Sie SVM_name und SnapLockAdmin durch Ihre eigenen Informationen.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock -Auditprotokoll-Volumes

Ein SnapLock Audit-Protokoll-Volume enthält SnapLock Audit-Protokolle, die Zeitstempel von Ereignissen enthalten, z. B. wann ein SnapLock Administrator erstellt wurde, wann privilegierte Löschvorgänge ausgeführt wurden oder wann eine gesetzliche Aufbewahrungsfrist für Dateien festgelegt wurde. Das SnapLock Prüfprotokoll-Volume ist eine nicht löschbare Aufzeichnung von Ereignissen.

Sie müssen ein SnapLock Audit-Protokoll-Volume in derselben SVM wie das SnapLock Volume für die folgenden Aktionen erstellen:

  • So aktivieren oder deaktivieren Sie das Löschen von Rechten auf einem SnapLock Enterprise-Volume.

  • So wenden Sie die gesetzliche Aufbewahrungsfrist für eine Datei in einem SnapLock Compliance-Volume an.

Warnung

  • Der Mindestaufbewahrungszeitraum für ein SnapLock Prüfprotokoll-Volume beträgt sechs Monate. Bis zum Ablauf dieses Aufbewahrungszeitraums können das SnapLock Audit-Protokoll-Volume sowie die damit verknüpfte SVM und das Dateisystem nicht gelöscht werden, selbst wenn das Volume im SnapLock Enterprise-Modus erstellt wurde.

  • Wenn eine Datei mit privilegiertem Löschen gelöscht wird und ihr Aufbewahrungszeitraum länger als der Aufbewahrungszeitraum des Volumes ist, erbt das Audit-Protokoll-Volume den Aufbewahrungszeitraum der Datei. Wenn beispielsweise eine Datei mit einem Aufbewahrungszeitraum von 10 Monaten mit privilegiertem Löschen gelöscht wird und der Aufbewahrungszeitraum des Audit-Protokoll-Volumes sechs Monate beträgt, wird der Aufbewahrungszeitraum des Audit-Protokoll-Volumes auf 10 Monate verlängert.

Sie können nur ein aktives SnapLock Audit-Protokoll-Volume in einer SVM haben, aber es kann von mehreren SnapLock Volumes in der SVM gemeinsam genutzt werden. Um ein SnapLock Audit-Protokoll-Volume erfolgreich zu mounten, legen Sie den Verbindungspfad auf fest/snaplock_audit_log. Es können keine anderen Volumes diesen Verbindungspfad verwenden, auch keine Volumes, bei denen es sich nicht um Audit-Protokoll-Volumes handelt.

Sie finden SnapLock Prüfungsprotokolle im -/snaplock_logVerzeichnis unter dem Stammverzeichnis des Prüfungsprotokoll-Volumes. Operationen zum privilegierten Löschen werden im privdel_log Unterverzeichnis protokolliert. Die Start- und Endvorgänge für rechtliche Aufbewahrungsfristen werden in protokolliert/snaplock_log/legal_hold_logs/. Alle anderen Protokolle werden im system_log Unterverzeichnis gespeichert.

Sie können ein SnapLock Audit-Protokoll-Volume mit der Amazon-FSx-Konsole, der AWS CLI, der Amazon-FSx-API sowie der ONTAP CLI und REST-API erstellen.

Anmerkung

Ein Data Protection (DP)-Volume kann nicht als SnapLock Audit-Protokoll-Volume verwendet werden.

Im folgenden Verfahren wird erläutert, wie Sie ein SnapLock Audit-Protokoll-Volume in der Amazon-FSx-Konsole erstellen.

So erstellen Sie ein SnapLock Audit-Protokoll-Volume in der Amazon-FSx-Konsole

  1. Öffnen Sie die Amazon-FSx-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Folgen Sie den Anweisungen zum Erstellen eines neuen Volumes in Volumen erstellen.

  3. Wählen Sie im Abschnitt Erweitert für SnapLock Konfiguration die Option Aktiviert aus.

    Aktivieren Sie das Kontrollkästchen, um die Warnung zum Aktivieren von SnapLock auf dem Volume zu bestätigen.

  4. Wählen Sie für Audit-Protokoll-Volume die Option Aktiviert aus.

    Stellen Sie sicher, dass der Verbindungspfad auf festgelegt ist/snaplock_audit_log.

  5. Folgen Sie den restlichen Schritten zum Erstellen eines neuen Volumes in Volumen erstellen.

  6. Wählen Sie Bestätigen, um das Volume zu erstellen.

Um das SnapLock Audit-Protokoll-Volume mit der Amazon-FSx-API zu aktivieren, verwenden Sie AuditLogVolume in der CreateSnaplockConfiguration.

Zugreifen auf Ihre Daten in einem SnapLock Volume

Sie können offene Dateiprotokolle wie NFS und SMB verwenden, um auf Ihre Daten in einem SnapLock Volume zuzugreifen. Es gibt keine Auswirkungen auf die Leistung, wenn Daten auf ein SnapLock Volume geschrieben oder Daten gelesen werden, die durch WORM geschützt sind.

Sie können Dateien mit NFS und SMB über SnapLock Volumes hinweg kopieren, aber sie behalten ihre WORM-Eigenschaften nicht auf dem Ziel-SnapLockVolume bei. Sie müssen die kopierten Dateien erneut in WORM festschreiben, um zu verhindern, dass sie geändert oder gelöscht werden. Weitere Informationen finden Sie unter Übergeben von Dateien in den WORM-Status.

Sie können SnapLock Daten auch mit replizierenSnapMirror, aber die Quell- und Ziel-Volumes müssen SnapLock Volumes mit demselben Aufbewahrungsmodus sein (beide müssen beispielsweise Compliance oder Enterprise sein).