Cara kerja SnapLock - fsX untuk ONTAP
Mode retensiSnapLockadministratorSnapLockvolume log auditMengakses data Anda dalam volume SnapLock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja SnapLock

SnapLockdapat membantu Anda memenuhi tujuan peraturan dan tata kelola dengan mencegah file Anda dihapus, diubah, atau diganti namanya. Ketika Anda membuat SnapLock volume, Anda mengkomit file Anda untuk menulis sekali, membaca banyak penyimpanan (WORM) dan mengatur periode retensi untuk data. File Anda dapat disimpan dalam keadaan yang tidak dapat dihapus, tidak dapat ditulis untuk jangka waktu yang ditentukan, atau tanpa batas waktu.

penting

Anda harus menentukan apakah volume akan menggunakan SnapLock pengaturan pada saat pembuatan. SnapLockNon-volume tidak dapat dikonversi ke SnapLock volume setelah pembuatan.

Mode retensi

SnapLockmemiliki dua mode retensi: Kepatuhan dan Perusahaan. Amazon FSx untuk NetApp ONTAP mendukung keduanya. Mereka memiliki kasus penggunaan yang berbeda dan beberapa fitur berbeda, tetapi keduanya melindungi data Anda dari modifikasi atau penghapusan menggunakan model WORM. Tabel berikut menjelaskan beberapa persamaan dan perbedaan antara mode retensi ini.

SnapLockfitur Kepatuhan SnapLock SnapLockPerusahaan
Deskripsi File yang dialihkan ke WORM pada volume Kepatuhan tidak dapat dihapus hingga periode retensi berakhir. File yang dialihkan ke WORM pada volume Perusahaan dapat dihapus oleh pengguna yang berwenang sebelum periode retensi mereka kedaluwarsa menggunakan penghapusan hak istimewa.
Kasus penggunaan

  • Untuk mengatasi mandat khusus pemerintah atau industri seperti Aturan SEC 17a-4 (f), Aturan FINRA 4511, dan Peraturan CFTC 1.31.

  • Untuk melindungi dari serangan ransomware.

  • Untuk memajukan integritas data organisasi dan kepatuhan internal.

  • Untuk menguji setelan retensi sebelum menggunakan SnapLock Kepatuhan.

Komit otomatis Ya Ya
Retensi berbasis peristiwa (EBR)* Ya Ya
Penahanan Hukum* Ya Tidak
Menghapus dengan hak istimewa Tidak Ya
Mode Volume-append Ya Ya
SnapLockvolume log audit Ya Ya

* Operasi EBR dan Legal Hold didukung di ONTAP CLI dan REST API.

SnapLockadministrator

Anda harus memiliki hak SnapLock administrator untuk melakukan tindakan tertentu pada SnapLock volume. SnapLockhak administrator didefinisikan dalam vsadmin-snaplock peran dalam ONTAP CLI. Anda harus menjadi administrator cluster untuk membuat akun administrator mesin virtual penyimpanan (SVM) dengan peran SnapLock administrator.

Anda dapat melakukan tindakan berikut dengan vsadmin-snaplock peran dalam ONTAP CLI:

  • Kelola akun pengguna, kata sandi lokal, dan informasi kunci Anda sendiri

  • Kelola volume, kecuali volume bergerak

  • Mengelola kuota, qtrees, salinan snapshot, dan file

  • Melakukan SnapLock tindakan, termasuk penghapusan hak istimewa dan Penahanan Hukum

  • Konfigurasikan protokol Network File System (NFS) dan Server Message Block (SMB)

  • Konfigurasikan layanan Sistem Nama Domain (DNS), Protokol Akses Direktori Ringan (LDAP), dan Layanan Informasi Jaringan (NIS)

  • Pantau pekerjaan

Prosedur berikut merinci cara membuat SnapLock administrator di ONTAP CLI. Anda harus masuk sebagai administrator klaster pada koneksi aman, seperti Secure Shell Protocol (SSH) untuk melakukan tugas ini.

Untuk membuat akun administrator SVM dengan peran vsadmin-snaplock di CLI ONTAP

  • Jalankan perintah berikut. Ganti SVM_name dan SnapLockAdmindengan informasi Anda sendiri.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLockvolume log audit

Volume log SnapLock audit berisi log SnapLock audit, yang berisi cap waktu peristiwa seperti ketika SnapLock administrator dibuat, ketika operasi penghapusan hak istimewa dijalankan, atau ketika Penahanan Hukum ditempatkan pada file. Volume log SnapLock audit adalah catatan peristiwa yang tidak dapat dihapus.

Anda harus membuat volume log SnapLock audit dalam SVM yang sama dengan SnapLock volume untuk tindakan berikut:

  • Untuk mengaktifkan atau menonaktifkan penghapusan hak istimewa pada volume SnapLock Perusahaan.

  • Untuk menerapkan Penahanan Hukum pada file dalam volume SnapLock Kepatuhan.

Awas

  • Periode retensi minimum untuk volume log SnapLock audit adalah enam bulan. Sampai periode retensi ini berakhir, volume log SnapLock audit dan SVM serta sistem file yang terkait dengannya tidak dapat dihapus meskipun volume dibuat dalam mode SnapLock Enterprise.

  • Jika file dihapus menggunakan penghapusan hak istimewa dan periode retensi lebih lama dari periode penyimpanan volume, maka volume log audit mewarisi periode penyimpanan file. Misalnya, jika file yang memiliki periode retensi 10 bulan dihapus menggunakan penghapusan hak istimewa dan periode retensi volume log audit adalah enam bulan, periode retensi volume log audit diperpanjang hingga 10 bulan.

Anda hanya dapat memiliki satu volume log SnapLock audit aktif di SVM, tetapi dapat dibagikan oleh beberapa SnapLock volume di SVM. Untuk berhasil memasang volume log SnapLock audit, atur jalur persimpangan ke/snaplock_audit_log. Tidak ada volume lain yang dapat menggunakan jalur persimpangan ini, termasuk volume yang bukan volume log audit.

Anda dapat menemukan log SnapLock audit di /snaplock_log direktori di bawah akar volume log audit. Operasi penghapusan hak istimewa dicatat di privdel_log subdirektori. Penahanan Hukum mulai dan operasi akhir masuk/snaplock_log/legal_hold_logs/. Semua log lainnya disimpan di system_log subdirektori.

Anda dapat membuat volume log SnapLock audit dengan konsol Amazon FSx, API Amazon fsXAWS CLI, dan CLI ONTAP dan REST API.

catatan

Volume perlindungan data (DP) tidak dapat digunakan sebagai volume log SnapLock audit.

Prosedur berikut menjelaskan cara membuat volume log SnapLock audit di konsol Amazon FSx.

Untuk membuat volume log SnapLock audit konsol Amazon FSx

  1. Buka konsol Amazon FSx di https://console.aws.amazon.com/fsx/.

  2. Ikuti prosedur untuk membuat volume baru diMembuat volume.

  3. Di bagian Advanced, untuk SnapLock Configuration, pilih Enabled.

    Pilih kotak centang untuk mengakui peringatan SnapLock tentang mengaktifkan volume.

  4. Untuk volume log Audit, pilih Diaktifkan.

    Pastikan bahwa jalur Junction diatur ke/snaplock_audit_log.

  5. Ikuti sisa prosedur untuk membuat volume baru diMembuat volume.

  6. Pilih Konfirmasi untuk membuat volume.

Untuk mengaktifkan volume log SnapLock audit dengan Amazon FSx API, gunakan AuditLogVolume di file. CreateSnaplockConfiguration

Mengakses data Anda dalam volume SnapLock

Anda dapat menggunakan protokol file terbuka seperti NFS dan SMB untuk mengakses data Anda dalam volume. SnapLock Tidak ada dampak kinerja dari menulis data ke SnapLock volume atau dari membaca data yang dilindungi oleh WORM.

Anda dapat menyalin file di seluruh SnapLock volume dengan NFS dan SMB, tetapi mereka tidak akan mempertahankan properti WORM mereka pada volume tujuanSnapLock. Anda harus mengkomit ulang file yang disalin ke WORM untuk mencegahnya dimodifikasi atau dihapus. Untuk informasi selengkapnya, lihat Mengkomit file ke status WORM.

Anda juga dapat mereplikasi SnapLock data denganSnapMirror, tetapi volume sumber dan tujuan harus SnapLock volume dengan mode retensi yang sama (misalnya, keduanya harus Kepatuhan atau Perusahaan).