Fonctionnement d’SnapLock - FSx pour ONTAP
Modes de conservationadministrateur SnapLockSnapLockvolumes des journaux d'auditAccès à vos données dans un SnapLock volume

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement d’SnapLock

SnapLockpeut vous aider à respecter les objectifs réglementaires et de gouvernance en empêchant la suppression, la modification ou le changement de nom de vos fichiers. Lorsque vous créez un SnapLock volume, vous engagez vos fichiers à écrire une seule fois, à lire plusieurs (WORM) et à définir des périodes de conservation pour les données. Vos fichiers peuvent être stockés dans un état non effaçable et non inscriptible pendant une période déterminée ou indéfiniment.

Important

Vous devez indiquer si un volume utilisera SnapLock les paramètres au moment de sa création. Un SnapLock non-volume ne peut pas être converti en SnapLock volume après sa création.

Modes de conservation

SnapLockpropose deux modes de rétention : Compliance et Enterprise. Amazon FSx for NetApp ONTAP prend en charge les deux. Ils ont des cas d'utilisation différents et certaines fonctionnalités diffèrent, mais ils protègent tous deux vos données contre toute modification ou suppression à l'aide du WORM modèle. Le tableau suivant explique certaines des similitudes et des différences entre ces modes de rétention.

Fonctionnalité SnapLock Conformité d'SnapLock SnapLockEntreprise
Description Les fichiers transférés vers un volume WORM de conformité ne peuvent pas être supprimés avant l'expiration de leur période de conservation. Les fichiers transférés vers WORM un volume Enterprise peuvent être supprimés par les utilisateurs autorisés avant l'expiration de leur période de conservation à l'aide de la suppression privilégiée.
Cas d’utilisation

  • Pour répondre à des mandats spécifiques au gouvernement ou à l'industrie tels que la SEC règle 17a-4 (f), la FINRA règle 4511 et le règlement 1.31. CFTC

  • Pour vous protéger contre les attaques de rançongiciels.

  • Pour améliorer l'intégrité des données et la conformité interne d'une entreprise.

  • Pour tester les paramètres de rétention avant d'utiliser SnapLock Compliance.

Commission automatique Oui Oui
Rétention basée sur les événements () EBR* Oui Oui
Maintien légal* Oui Non
Suppression privilégiée Non Oui
Mode d'ajout de volumes Oui Oui
SnapLockvolumes des journaux d'audit Oui Oui

* EBR et les opérations Legal Hold sont prises en charge dans le ONTAP CLI et RESTAPI.

Note

FSxfor ONTAP permet de hiérarchiser les données en fonction du pool de capacités sur tous les SnapLock volumes, quel qu'en soit le SnapLock type. Pour de plus amples informations, veuillez consulter Hiérarchisation des données de volume.

administrateur SnapLock

Vous devez disposer de privilèges d'SnapLockadministrateur pour effectuer certaines actions sur les SnapLock volumes. SnapLockles privilèges d'administrateur sont définis dans le vsadmin-snaplock rôle du ONTAPCLI. Vous devez être administrateur de cluster pour créer un compte d'administrateur de machine virtuelle de stockage (SVM) doté du rôle SnapLock d'administrateur.

Vous pouvez effectuer les actions suivantes avec le vsadmin-snaplock rôle dans ONTAP CLI :

  • Gérez votre propre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérez les volumes, à l'exception des volumes mobiles

  • Gérez les quotas, les qtrees, les copies instantanées et les fichiers

  • Réaliser SnapLock des actions, notamment la suppression privilégiée et la conservation légale

  • Configuration des protocoles Network File System (NFS) et Server Message Block (SMB)

  • Configurer les services Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) et Network Information Service (NIS)

  • Surveillance des tâches

La procédure suivante explique comment créer un SnapLock administrateur dans le ONTAPCLI. Vous devez être connecté en tant qu'administrateur de cluster sur une connexion sécurisée, telle que le protocole Secure Shell (SSH) pour effectuer cette tâche.

Pour créer un compte SVM administrateur avec le rôle vsadmin-snaplock dans ONTAP CLI

  • Exécutez la commande suivante. Remplacez SVM_name and SnapLockAdmin avec vos propres informations.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLockvolumes des journaux d'audit

Un volume de journaux SnapLock d'audit contient des journaux SnapLock d'audit, qui contiennent les horodatages d'événements tels que le moment où un SnapLock administrateur a été créé, le moment où des opérations de suppression privilégiées ont été exécutées ou le moment où un blocage légal a été placé sur des fichiers. Le volume du journal SnapLock d'audit est un enregistrement non effaçable des événements.

Vous devez créer un volume de journal d'SnapLockaudit SVM identique au SnapLock volume pour les actions suivantes :

  • Pour activer ou désactiver la suppression privilégiée sur un volume SnapLock Enterprise.

  • Appliquer la suspension légale à un fichier d'un volume de SnapLock conformité.

Avertissement

  • La période de conservation minimale d'un volume de journal SnapLock d'audit est de six mois. Jusqu'à l'expiration de cette période de conservation, le volume du journal d'SnapLockaudit SVM et le système de fichiers qui y sont associés ne peuvent pas être supprimés, même si le volume a été créé en mode SnapLock Enterprise.

  • Si un fichier est supprimé à l'aide de la suppression privilégiée et que sa durée de conservation est supérieure à celle du volume, le volume du journal d'audit hérite de la période de conservation du fichier. Par exemple, si un fichier dont la durée de conservation est de 10 mois est supprimé à l'aide de la suppression privilégiée et que la période de conservation du volume du journal d'audit est de six mois, la période de conservation du volume du journal d'audit est prolongée à 10 mois.

Vous ne pouvez avoir qu'un seul volume de journal d'SnapLockaudit actif dans unSVM, mais il peut être partagé par plusieurs SnapLock volumes dans leSVM. Pour monter un volume de journal SnapLock d'audit avec succès, définissez le chemin de jonction sur/snaplock_audit_log. Aucun autre volume ne peut utiliser ce chemin de jonction, y compris les volumes qui ne sont pas des volumes de journaux d'audit.

Les journaux SnapLock d'audit se trouvent dans le /snaplock_log répertoire situé à la racine du volume des journaux d'audit. Les opérations de suppression privilégiées sont enregistrées dans le privdel_log sous-répertoire. Les opérations de début et de fin de Legal Hold sont enregistrées/snaplock_log/legal_hold_logs/. Tous les autres journaux sont stockés dans le system_log sous-répertoire.

Vous pouvez créer un volume de journal SnapLock d'audit à l'aide de la FSx console Amazon AWS CLI, de l'Amazon FSx API et du ONTAP CLI and RESTAPI.

Note

Un volume de protection des données (DP) ne peut pas être utilisé comme volume de journal d'SnapLockaudit.

Pour activer le volume du journal SnapLock d'audit auprès d'Amazon FSxAPI, utilisez AuditLogVolume dans le CreateSnaplockConfiguration. Dans la FSx console Amazon, pour Audit log Volume, sélectionnez Enabled. Assurez-vous que le chemin de jonction est défini sur/snaplock_audit_log.

Accès à vos données dans un SnapLock volume

Vous pouvez utiliser des protocoles de fichiers ouverts tels que NFS et SMB pour accéder à vos données dans un SnapLock volume. L'écriture de données sur un SnapLock volume ou la lecture de données protégées parWORM.

Vous pouvez copier des fichiers d'un SnapLock volume à l'autre avec NFS etSMB, mais ils ne conserveront pas leurs WORM propriétés sur le SnapLock volume de destination. Vous devez réengager les fichiers copiés pour WORM éviter qu'ils ne soient modifiés ou supprimés. Pour de plus amples informations, veuillez consulter Validation des fichiers dans WORM l'état.

Vous pouvez également répliquer SnapLock des données avecSnapMirror, mais les volumes source et de destination doivent être des SnapLock volumes dotés du même mode de conservation (par exemple, les deux doivent être Compliance ou Enterprise).