Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Funktionsweise von SnapLock
SnapLock kann Ihnen helfen, regulatorische und Governance-Zwecke zu erfüllen, indem verhindert wird, dass Ihre Dateien gelöscht, geändert oder umbenannt werden. Wenn Sie ein SnapLock Volume erstellen, führen Sie ein Commit für Ihre Dateien durch, um einmal zu schreiben, viele (WORM)-Speicher zu lesen und Aufbewahrungszeiträume für die Daten festzulegen. Ihre Dateien können für einen bestimmten Zeitraum oder auf unbestimmte Zeit in einem nicht beschreibbaren, nicht beschreibbaren Status gespeichert werden.
Wichtig
Sie müssen angeben, ob ein Volume zum Zeitpunkt der Erstellung SnapLock Einstellungen verwendet. Ein Nicht-SnapLock--Volume kann nach der Erstellung nicht in ein SnapLock Volume konvertiert werden.
Aufbewahrungsmodi
SnapLock hat zwei Aufbewahrungsmodi: Compliance und Enterprise. Amazon FSx für NetApp ONTAP unterstützt beide. Sie haben unterschiedliche Anwendungsfälle und einige der Funktionen unterscheiden sich, aber beide schützen Ihre Daten mithilfe des WORM-Modells vor Änderung oder Löschung. In der folgenden Tabelle werden einige der Ähnlichkeiten und Unterschiede zwischen diesen Aufbewahrungsmodi erläutert.
SnapLock-Funktion | SnapLock-Compliance | SnapLock Unternehmen |
---|---|---|
Beschreibung | Dateien, die auf einem Compliance-Volume in WORM übertragen werden, können erst gelöscht werden, wenn ihre Aufbewahrungszeiträume abgelaufen sind. | Dateien, die auf einem Enterprise-Volume in WORM übertragen werden, können von autorisierten Benutzern gelöscht werden, bevor ihre Aufbewahrungszeiträume ablaufen, indem sie privilegierte Löschungen verwenden. |
Anwendungsfälle |
|
|
Autocommit | Ja | Ja |
Ereignisbasierte Aufbewahrung (EBR)* | Ja | Ja |
Rechtliche Aufbewahrungsfrist* | Ja | Nein |
Privilegiertes Löschen | Nein | Ja |
Volume-Append-Modus | Ja | Ja |
SnapLock -Auditprotokoll-Volumes | Ja | Ja |
*EBR- und rechtliche Aufbewahrungsfristen werden in der ONTAP CLI und REST API unterstützt.
SnapLock-Administrator
Sie müssen über SnapLock Administratorrechte verfügen, um bestimmte Aktionen auf SnapLock Volumes ausführen zu können. -SnapLockAdministratorrechte sind in der vsadmin-snaplock
Rolle in der ONTAP CLI definiert. Sie müssen ein Cluster-Administrator sein, um ein SVM-Administratorkonto (Storage Virtual Machine) mit der SnapLock Administratorrolle zu erstellen.
Sie können die folgenden Aktionen mit der vsadmin-snaplock
Rolle in der ONTAP CLI ausführen:
-
Verwalten Ihres eigenen Benutzerkontos, Ihres lokalen Passworts und Ihrer Schlüsselinformationen
-
Verwalten von Volumes, außer Verschieben von Volumes
-
Verwalten von Kontingenten, Qtrees, Snapshot-Kopien und Dateien
-
Ausführen von SnapLock Aktionen, einschließlich privilegierter Löschung und gesetzlicher Aufbewahrungsfristen
-
Konfigurieren der Protokolle Network File System (NFS) und Server Message Block (SMB)
-
Konfigurieren von Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) und Network Information Service (NIS)-Services
-
Aufträge überwachen
Im folgenden Verfahren wird beschrieben, wie Sie einen SnapLock Administrator in der ONTAP CLI erstellen. Sie müssen als Cluster-Administrator bei einer sicheren Verbindung angemeldet sein, z. B. Secure Shell Protocol (SSH), um diese Aufgabe ausführen zu können.
So erstellen Sie ein SVM-Administratorkonto mit der Rolle vsadmin-snaplock in der ONTAP CLI
Führen Sie den folgenden Befehl aus. Ersetzen Sie
SVM_name
undSnapLockAdmin
durch Ihre eigenen Informationen.cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock -Auditprotokoll-Volumes
Ein SnapLock Audit-Protokoll-Volume enthält SnapLock Audit-Protokolle, die Zeitstempel von Ereignissen enthalten, z. B. wann ein SnapLock Administrator erstellt wurde, wann privilegierte Löschvorgänge ausgeführt wurden oder wann eine gesetzliche Aufbewahrungsfrist für Dateien festgelegt wurde. Das SnapLock Prüfprotokoll-Volume ist eine nicht löschbare Aufzeichnung von Ereignissen.
Sie müssen ein SnapLock Audit-Protokoll-Volume in derselben SVM wie das SnapLock Volume für die folgenden Aktionen erstellen:
So aktivieren oder deaktivieren Sie das Löschen von Rechten auf einem SnapLock Enterprise-Volume.
So wenden Sie die gesetzliche Aufbewahrungsfrist für eine Datei in einem SnapLock Compliance-Volume an.
Warnung
-
Der Mindestaufbewahrungszeitraum für ein SnapLock Prüfprotokoll-Volume beträgt sechs Monate. Bis zum Ablauf dieses Aufbewahrungszeitraums können das SnapLock Audit-Protokoll-Volume sowie die damit verknüpfte SVM und das Dateisystem nicht gelöscht werden, selbst wenn das Volume im SnapLock Enterprise-Modus erstellt wurde.
-
Wenn eine Datei mit privilegiertem Löschen gelöscht wird und ihr Aufbewahrungszeitraum länger als der Aufbewahrungszeitraum des Volumes ist, erbt das Audit-Protokoll-Volume den Aufbewahrungszeitraum der Datei. Wenn beispielsweise eine Datei mit einem Aufbewahrungszeitraum von 10 Monaten mit privilegiertem Löschen gelöscht wird und der Aufbewahrungszeitraum des Audit-Protokoll-Volumes sechs Monate beträgt, wird der Aufbewahrungszeitraum des Audit-Protokoll-Volumes auf 10 Monate verlängert.
Sie können nur ein aktives SnapLock Audit-Protokoll-Volume in einer SVM haben, aber es kann von mehreren SnapLock Volumes in der SVM gemeinsam genutzt werden. Um ein SnapLock Audit-Protokoll-Volume erfolgreich zu mounten, legen Sie den Verbindungspfad auf fest/snaplock_audit_log
. Es können keine anderen Volumes diesen Verbindungspfad verwenden, auch keine Volumes, bei denen es sich nicht um Audit-Protokoll-Volumes handelt.
Sie finden SnapLock Prüfungsprotokolle im -/snaplock_log
Verzeichnis unter dem Stammverzeichnis des Prüfungsprotokoll-Volumes. Operationen zum privilegierten Löschen werden im privdel_log
Unterverzeichnis protokolliert. Die Start- und Endvorgänge für rechtliche Aufbewahrungsfristen werden in protokolliert/snaplock_log/legal_hold_logs/
. Alle anderen Protokolle werden im system_log
Unterverzeichnis gespeichert.
Sie können ein SnapLock Audit-Protokoll-Volume mit der Amazon-FSx-Konsole, der AWS CLI, der Amazon-FSx-API sowie der ONTAP CLI und REST-API erstellen.
Anmerkung
Ein Data Protection (DP)-Volume kann nicht als SnapLock Audit-Protokoll-Volume verwendet werden.
Im folgenden Verfahren wird erläutert, wie Sie ein SnapLock Audit-Protokoll-Volume in der Amazon-FSx-Konsole erstellen.
So erstellen Sie ein SnapLock Audit-Protokoll-Volume in der Amazon-FSx-Konsole
Öffnen Sie die Amazon-FSx-Konsole unter https://console.aws.amazon.com/fsx/
. -
Folgen Sie den Anweisungen zum Erstellen eines neuen Volumes in Volumen erstellen.
-
Wählen Sie im Abschnitt Erweitert für SnapLock Konfiguration die Option Aktiviert aus.
Aktivieren Sie das Kontrollkästchen, um die Warnung zum Aktivieren von SnapLock auf dem Volume zu bestätigen.
-
Wählen Sie für Audit-Protokoll-Volume die Option Aktiviert aus.
Stellen Sie sicher, dass der Verbindungspfad auf festgelegt ist
/snaplock_audit_log
. -
Folgen Sie den restlichen Schritten zum Erstellen eines neuen Volumes in Volumen erstellen.
Wählen Sie Bestätigen, um das Volume zu erstellen.
Um das SnapLock Audit-Protokoll-Volume mit der Amazon-FSx-API zu aktivieren, verwenden Sie AuditLogVolume
in der CreateSnaplockConfiguration
.
Zugreifen auf Ihre Daten in einem SnapLock Volume
Sie können offene Dateiprotokolle wie NFS und SMB verwenden, um auf Ihre Daten in einem SnapLock Volume zuzugreifen. Es gibt keine Auswirkungen auf die Leistung, wenn Daten auf ein SnapLock Volume geschrieben oder Daten gelesen werden, die durch WORM geschützt sind.
Sie können Dateien mit NFS und SMB über SnapLock Volumes hinweg kopieren, aber sie behalten ihre WORM-Eigenschaften nicht auf dem Ziel-SnapLockVolume bei. Sie müssen die kopierten Dateien erneut in WORM festschreiben, um zu verhindern, dass sie geändert oder gelöscht werden. Weitere Informationen finden Sie unter Übergeben von Dateien in den WORM-Status.
Sie können SnapLock Daten auch mit replizierenSnapMirror, aber die Quell- und Ziel-Volumes müssen SnapLock Volumes mit demselben Aufbewahrungsmodus sein (beide müssen beispielsweise Compliance oder Enterprise sein).