Funktionsweise von SnapLock - FSx für ONTAP
AufbewahrungsmodiSnapLock-AdministratorSnapLockVolumen der Audit-LogsGreifen Sie auf Ihre Daten in einem SnapLock Volume zu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von SnapLock

SnapLockkann Ihnen helfen, gesetzliche und behördliche Auflagen zu erfüllen, indem verhindert wird, dass Ihre Dateien gelöscht, geändert oder umbenannt werden. Wenn Sie ein SnapLock Volume erstellen, legen Sie fest, dass Ihre Dateien einmal geschrieben, viele (WORM) Speicher gelesen und Aufbewahrungsfristen für die Daten festgelegt werden. Ihre Dateien können für einen bestimmten Zeitraum oder auf unbestimmte Zeit in einem nicht löschbaren, nicht beschreibbaren Zustand gespeichert werden.

Wichtig

Sie müssen angeben, ob ein Volume die SnapLock Einstellungen zum Zeitpunkt der Erstellung verwendet. Ein SnapLock Nicht-Volume kann nach der Erstellung nicht in ein SnapLock Volume umgewandelt werden.

Aufbewahrungsmodi

SnapLockhat zwei Aufbewahrungsmodi: Compliance und Enterprise. Amazon FSx for NetApp ONTAP unterstützt beide. Sie haben unterschiedliche Anwendungsfälle und einige der Funktionen unterscheiden sich, aber beide schützen Ihre Daten mithilfe des WORM Modells vor Änderung oder Löschung. In der folgenden Tabelle werden einige Gemeinsamkeiten und Unterschiede zwischen diesen Aufbewahrungsmodi erläutert.

SnapLock-Feature SnapLock-Compliance SnapLockUnternehmen
Beschreibung Dateien, WORM auf die ein Compliance-Volume übertragen wurde, können erst gelöscht werden, wenn ihre Aufbewahrungsfristen abgelaufen sind. Dateien, die WORM auf ein Enterprise-Volume übertragen wurden, können von autorisierten Benutzern mithilfe von Privileged Delete vor Ablauf ihrer Aufbewahrungsfristen gelöscht werden.
Anwendungsfälle

  • Um behördliche oder branchenspezifische Vorschriften wie SEC Regel 17a-4 (f), Regel 4511 und FINRA Regel 1.31 zu erfüllen. CFTC

  • Zum Schutz vor Ransomware-Angriffen.

  • Um die Datenintegrität und interne Compliance eines Unternehmens zu verbessern.

  • Um die Aufbewahrungseinstellungen zu testen, bevor Sie SnapLock Compliance verwenden.

Autocommit Ja Ja
Ereignisbasierte Aufbewahrung () EBR* Ja Ja
Rechtliche Sperre* Ja Nein
Privilegiertes Löschen Nein Ja
Modus zum Anhängen von Volumen Ja Ja
SnapLockVolumen der Audit-Logs Ja Ja

* EBR und Legal Hold-Operationen werden im ONTAP CLI und unterstützt RESTAPI.

Anmerkung

FSxfor ONTAP unterstützt die Zuordnung von Daten zum Kapazitätspool auf allen SnapLock Volumes, unabhängig vom SnapLock Typ. Weitere Informationen finden Sie unter Einstufung von Volumendaten.

SnapLock-Administrator

Sie benötigen SnapLock Administratorrechte, um bestimmte Aktionen auf SnapLock Volumes ausführen zu können. SnapLockAdministratorrechte sind in der vsadmin-snaplock Rolle in definiert ONTAPCLI. Sie müssen Clusteradministrator sein, um ein Administratorkonto für virtuelle Speichermaschinen (SVM) mit der SnapLock Administratorrolle erstellen zu können.

Sie können die folgenden Aktionen mit der vsadmin-snaplock Rolle in der ausführen ONTAPCLI:

  • Verwalte dein eigenes Benutzerkonto, dein lokales Passwort und wichtige Informationen

  • Volumes verwalten, außer Volumen verschieben

  • Verwalten Sie Kontingente, QTrees, Snapshot-Kopien und Dateien

  • Führen Sie SnapLock Aktionen wie privilegiertes Löschen und Legal Hold durch

  • Konfigurieren Sie die Protokolle Network File System (NFS) und Server Message Block (SMB)

  • Konfigurieren Sie die Dienste Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) und Network Information Service (NIS)

  • Aufträge überwachen

Das folgende Verfahren beschreibt, wie Sie einen SnapLock Administrator in der erstellen ONTAPCLI. Sie müssen als Clusteradministrator bei einer sicheren Verbindung wie dem Secure Shell Protocol (SSH) angemeldet sein, um diese Aufgabe ausführen zu können.

Um ein SVM Administratorkonto mit der Rolle vsadmin-snaplock in der ONTAP CLI

  • Führen Sie den folgenden Befehl aus. Ersetzen SVM_name and SnapLockAdmin mit Ihren eigenen Informationen.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLockVolumen der Audit-Logs

Ein SnapLock Audit-Log-Volume enthält SnapLock Audit-Logs, die Zeitstempel von Ereignissen enthalten, z. B. wann ein SnapLock Administrator erstellt wurde, wann privilegierte Löschvorgänge ausgeführt wurden oder wann Dateien gesetzlich geschützt wurden. Das SnapLock Audit-Log-Volume ist eine nicht löschbare Aufzeichnung von Ereignissen.

Für die folgenden Aktionen müssen Sie ein SnapLock Audit-Log-Volume auf demselben SnapLock Volume SVM wie das Volume erstellen:

  • Um privilegiertes Löschen auf einem SnapLock Enterprise-Volume ein- oder auszuschalten.

  • Um Legal Hold auf eine Datei in einem SnapLock Compliance-Volume anzuwenden.

Warnung

  • Die Mindestaufbewahrungsdauer für ein SnapLock Audit-Log-Volumen beträgt sechs Monate. Bis zum Ablauf dieser Aufbewahrungsfrist können das SnapLock Audit-Log-Volume SVM und das zugehörige Dateisystem nicht gelöscht werden, selbst wenn das Volume im SnapLock Unternehmensmodus erstellt wurde.

  • Wenn eine Datei mithilfe von Privileged Delete gelöscht wird und ihr Aufbewahrungszeitraum länger ist als der Aufbewahrungszeitraum des Volumes, erbt das Audit-Log-Volume den Aufbewahrungszeitraum der Datei. Wenn beispielsweise eine Datei mit einer Aufbewahrungsdauer von 10 Monaten mithilfe von Privileged Delete gelöscht wird und die Aufbewahrungsdauer des Audit-Log-Volumes sechs Monate beträgt, wird die Aufbewahrungsdauer des Audit-Log-Volumes auf 10 Monate verlängert.

Sie können nur ein aktives SnapLock Audit-Log-Volume in einem habenSVM, aber es kann von mehreren SnapLock Volumes in dem gemeinsam genutzt werdenSVM. Um ein SnapLock Audit-Log-Volume erfolgreich zu mounten, legen Sie den Verbindungspfad auf fest/snaplock_audit_log. Dieser Verbindungspfad kann nicht von anderen Volumes verwendet werden, auch nicht von Volumes, die keine Audit-Log-Volumes sind.

Sie finden die SnapLock Audit-Logs im /snaplock_log Verzeichnis unter dem Stammverzeichnis des Audit-Log-Volumes. Privilegierte Löschvorgänge werden im privdel_log Unterverzeichnis protokolliert. Start- und Endvorgänge mit Legal Hold werden protokolliert. /snaplock_log/legal_hold_logs/ Alle anderen Protokolle werden im system_log Unterverzeichnis gespeichert.

Sie können ein SnapLock Audit-Log-Volume mit der FSx Amazon-Konsole AWS CLI, dem, dem Amazon FSx API und dem ONTAP CLI und erstellen RESTAPI.

Anmerkung

Ein Datenschutz-Volume (DP) kann nicht als SnapLock Audit-Log-Volume verwendet werden.

Um das SnapLock Audit-Log-Volume bei Amazon einzuschalten FSxAPI, verwenden Sie AuditLogVolume in CreateSnaplockConfiguration. Wählen Sie in der FSx Amazon-Konsole für Audit-Log-Volume die Option Enabled aus. Stellen Sie sicher, dass der Verbindungspfad auf eingestellt ist/snaplock_audit_log.

Greifen Sie auf Ihre Daten in einem SnapLock Volume zu

Sie können offene Dateiprotokolle wie NFS und verwendenSMB, um auf Ihre Daten in einem SnapLock Volume zuzugreifen. Das Schreiben von Daten auf ein SnapLock Volume oder das Lesen von Daten, die durch geschützt sind, hat keine Auswirkungen auf die LeistungWORM.

Sie können Dateien mit NFS und zwischen SnapLock Volumes kopierenSMB, sie behalten jedoch nicht ihre WORM Eigenschaften auf dem SnapLock Zielvolume. Sie müssen die kopierten Dateien erneut festschreiben, um WORM zu verhindern, dass sie geändert oder gelöscht werden. Weitere Informationen finden Sie unter Dateien werden an den Status übergeben WORM.

Sie können SnapLock Daten auch mit replizierenSnapMirror, aber das Quell- und das Zielvolume müssen SnapLock Volumes mit demselben Aufbewahrungsmodus sein (z. B. müssen beide Volumes Compliance oder Enterprise sein).