Como o SnapLock funciona - FSx para ONTAP
Modos de retençãoAdministrador da SnapLockVolumes de log de auditoria do SnapLockAcessar os dados em um volume do SnapLock

Como o SnapLock funciona

O SnapLock ajuda você a atender às finalidades regulatórias e de governança, impedindo que seus arquivos sejam excluídos, alterados ou renomeados. Ao criar um volume do SnapLock, você disponibiliza seus arquivos para o armazenamento de gravação única e várias leituras (WORM) e define períodos de retenção para os dados. Seus arquivos podem ser armazenados em um estado não apagável e não gravável por um período designado ou indefinidamente.

Importante

Você deve especificar se um volume usará as configurações do SnapLock no momento da criação. Um volume que não pertença ao SnapLock não pode ser convertido em um volume do SnapLock após a criação.

Modos de retenção

O SnapLock tem dois modos de retenção: Compliance e Enterprise. O Amazon FSx para NetApp ONTAP oferece suporte a ambos. Eles têm casos de uso distintos e alguns dos recursos são diferentes, mas ambos protegem seus dados contra modificação ou exclusão usando o modelo WORM. A tabela a seguir explica algumas das semelhanças e diferenças entre esses modos de retenção.

Recurso do SnapLock SnapLock Compatibilidade SnapLock Enterprise
Descrição Os arquivos que recebem a transição para o WORM em um volume Compliance não podem ser excluídos até que seus períodos de retenção expirem. Os arquivos que recebem a transição para o WORM em um volume Enterprise podem ser excluídos por usuários autorizados antes que seus períodos de retenção expirem usando a exclusão privilegiada.
Casos de uso

  • Tratar de exigências governamentais ou específicos do setor, como a Norma 17a-4(f) da SEC, a Norma 4511 da FINRA e a Regulamentação 1.31 da CFTC.

  • Proteger-se contra ataques de ransomware.

  • Promover a integridade dos dados e a conformidade interna de uma organização.

  • Testar as configurações de retenção antes de usar o SnapLock Compliance.

Confirmação automática Sim Sim
Retenção baseada em eventos (EBR)* Sim Sim
Retenções jurídicas* Sim Não
Exclusão privilegiada Não Sim
Modo de acréscimo de volume Sim Sim
Volumes de log de auditoria do SnapLock Sim Sim

*Há suporte para as operações de EBR e retenção jurídica na CLI e na API REST do ONTAP.

nota

O FSx para ONTAP é compatível com a hierarquização de dados para o grupo de capacidade em todos os volumes do SnapLock, independentemente do tipo de SnapLock. Para obter mais informações, consulte Divisão de dados em níveis no volume.

Administrador da SnapLock

É necessário ter privilégios de administrador do SnapLock para realizar determinadas ações em volumes do SnapLock. Os privilégios de administrador do SnapLock são definidos no perfil de vsadmin-snaplock na CLI do ONTAP. É necessário ser administrador de cluster para criar uma conta de administrador na máquina virtual de armazenamento (SVM) com o perfil de administrador do SnapLock.

Você pode realizar as seguintes ações com o perfil de vsadmin-snaplock na CLI do ONTAP:

  • Gerenciar sua própria conta de usuário, senha local e informações importantes

  • Gerenciar volumes, exceto volumes móveis

  • Gerenciar cotas, qtrees, cópias de snapshots e arquivos

  • Executar ações do SnapLock, incluindo exclusão privilegiada e retenção jurídica

  • Configurar os protocolos Network File System (NFS) e Server Message Block (SMB)

  • Configurar os serviços do Sistema de Nomes de Domínio (DNS), do Lightweight Directory Access Protocol (LDAP) e do Network Information Service (NIS)

  • Monitorar trabalhos

O procedimento a seguir detalha como criar um administrador do SnapLock na CLI do ONTAP. É necessário fazer login como administrador de cluster em uma conexão segura, como o protocolo Secure Shell (SSH), para realizar essa tarefa.

Para criar uma conta de administrador na SVM com o perfil de vsadmin-snaplock na CLI do ONTAP

  • Execute o seguinte comando . Substitua SVM_name e SnapLockAdmin por suas próprias informações.

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

Volumes de log de auditoria do SnapLock

Um volume de log de auditoria do SnapLock contém logs de auditoria do SnapLock, contendo timestamps de eventos, como quando um administrador do SnapLock foi criado, quando operações de exclusão privilegiada foram executadas ou quando uma retenção jurídica foi aplicada em arquivos. O volume do log de auditoria do SnapLock é um registro de eventos que não pode ser apagado.

Você deve criar um volume do log de auditoria do SnapLock na mesma SVM do volume do SnapLock para as seguintes ações:

  • Ativar ou desativar a exclusão privilegiada em um volume do SnapLock Enterprise.

  • Para aplicar a retenção jurídica em um arquivo em um volume do SnapLock Compliance.

Atenção

  • O período mínimo de retenção para um volume do log de auditoria do SnapLock é de seis meses. Até que esse período de retenção expire, o volume do log de auditoria do SnapLock, a SVM e o sistema de arquivos associados a ele não poderão ser excluídos, mesmo que o volume tenha sido criado no modo SnapLock Enterprise.

  • Se um arquivo for excluído usando a exclusão privilegiada e seu período de retenção for maior que o período de retenção do volume, o volume do log de auditoria herdará o período de retenção do arquivo. Por exemplo, se um arquivo com um período de retenção de dez meses for excluído usando a exclusão privilegiada e o período de retenção do volume do log de auditoria for de seis meses, o período de retenção do volume do log de auditoria será estendido para dez meses.

Você pode ter somente um volume do log de auditoria do SnapLock ativo em uma SVM, mas ele pode ser compartilhado por vários volumes do SnapLock na SVM. Para montar um volume do log de auditoria do SnapLock com êxito, defina o caminho da junção como /snaplock_audit_log. Nenhum outro volume pode usar esse caminho da junção, incluindo volumes que não sejam do log de auditoria.

Você pode encontrar logs de auditoria do SnapLock no diretório /snaplock_log sob raiz do volume do log de auditoria. As operações de exclusão privilegiadas são registradas em log no subdiretório privdel_log. As operações de início e término da retenção jurídica são registradas em log em /snaplock_log/legal_hold_logs/. Todos os outros log são armazenados no subdiretório system_log.

Você pode criar um volume do log de auditoria do SnapLock com o console do Amazon FSx, a AWS CLI e a API do Amazon FSx, bem como a CLI e a API REST do ONTAP.

nota

Um volume de proteção de dados (DP) não pode ser usado como um volume do log de auditoria do SnapLock.

Para ativar o volume do log de auditoria do SnapLock com a API do Amazon FSx, use AuditLogVolume em CreateSnaplockConfiguration. No console do Amazon FSx, em Volume do log de auditoria, escolha Habilitado. Certifique-se de que o Caminho da junção esteja definido como /snaplock_audit_log.

Acessar os dados em um volume do SnapLock

Você pode usar protocolos de arquivos abertos, como NFS e SMB, para acessar seus dados em um volume do SnapLock. Não há impacto na performance ao gravar dados em um volume do SnapLock ou ler dados protegidos pelo WORM.

Você pode copiar arquivos em volumes do SnapLock com NFS e SMB, mas eles não reterão suas propriedades WORM no volume do SnapLock de destino. Você deve reconfirmar os arquivos copiados para o WORM a fim de evitar que sejam modificados ou excluídos. Para obter mais informações, consulte Confirmar arquivos para o estado WORM.

Você também pode replicar dados do SnapLock com o SnapMirror, mas os volumes de origem e destino devem ser volumes do SnapLock com o mesmo modo de retenção (por exemplo, ambos devem ser de Compliance ou Enterprise).