操作方法 SnapLock 工作 - FSx 适用于 ONTAP
保留模式SnapLock 管理员SnapLock 审核日志量在 a 中访问您的数据 SnapLock volume

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

操作方法 SnapLock 工作

SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足监管和监管目的。当你创建一个 SnapLock volume,您可以将文件提交为一次写入,多次读取 (WORM) 存储,并为数据设置保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。

重要

您必须指定卷是否将使用 SnapLock 创建时的设置。一个非-SnapLock 无法将音量转换为 SnapLock 创建后的音量。

保留模式

SnapLock 有两种保留模式:合规模式和企业模式。Amazon FSx f NetApp or ONTAP 支持这两者。它们有不同的用例,有些功能也不同,但它们都使用 WORM 模型保护您的数据免遭修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。

SnapLock feature SnapLock Compliance SnapLock 企业
描述 在 Compliance 卷上转换为 WORM 的文件在保留期到期之前无法删除。 在 Enterprise 卷上转换为 WORM 的文件可以由授权用户在保留期到期之前使用特权删除功能删除。
使用案例

  • 满足政府或行业特定要求,例如美国证券交易委员会(SEC)第 17a-4(f)条、金融业管理局(FINRA)第 4511 条和商品期货交易委员会(CFTC)第 1.31 条。

  • 防范勒索软件攻击。

  • 提高组织的数据完整性和内部合规性。

  • 在使用前测试保留期设置 SnapLock 合规。
自动提交 支持
基于事件的保留(EBR)*
依法保留*
特权删除
卷附加模式
SnapLock 审核日志量

* 支持 EBR 和 Legal Hold 操作 ONTAP CLI 和 REST API。

注意

FSx for ONTAP 支持将所有容量池中的数据分层到容量池 SnapLock 音量,不管是多少 SnapLock 。有关更多信息,请参阅 卷数据分层

SnapLock 管理员

您必须具有…… SnapLock 可对其执行某些操作的管理员权限 SnapLock 卷。SnapLock 管理员权限是在vsadmin-snaplock角色中定义的 ONTAP CLI。您必须是集群管理员才能使用创建存储虚拟机 (SVM) 管理员帐户 SnapLock 管理员角色。

您可以使用中的vsadmin-snaplock角色执行以下操作 ONTAP CLI:

  • 管理自己的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除和合法保留

  • 配置网络文件系统(NFS)和服务器消息块(SMB)协议

  • 配置域名系统(DNS)、轻型目录访问协议(LDAP)和网络信息服务(NIS)服务

  • 监控作业

以下过程详细说明了如何创建 SnapLock 管理员在 ONTAP CLI。要执行此任务,您必须以集群管理员的身份通过安全外壳协议(SSH)等安全连接登录。

要在中创建具有 vsadmin-snaplock 角色的 SVM 管理员帐户 ONTAP CLI

  • 运行以下命令。将 SVM_nameSnapLockAdmin 替换为您自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock 审核日志量

A SnapLock 审核日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如当 SnapLock 管理员是在执行特权删除操作或对文件进行合法保留时创建的。这些区域有:SnapLock 审核日志量是不可擦除的事件记录。

你必须创建一个 SnapLock 审核日志量与位于同一 SVM 中 SnapLock 以下操作的音量:

  • 要在上打开或关闭特权删除 SnapLock 企业音量。

  • 对文件中的文件应用法律封存 SnapLock 合规量。

警告

  • 的最短保留期 SnapLock 审核日志量为六个月。在此保留期到期之前,SnapLock 审核日志卷以及与之关联的 SVM 和文件系统即使是在中创建的,也无法将其删除 SnapLock 企业模式。

  • 如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。

你只能有一个处于活动状态 SnapLock SVM 中的审核日志量,但可以由多个 SVM 共享 SnapLock SVM 中的卷。要装载 SnapLock 成功审核日志量,将接合路径设置为/snaplock_audit_log。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。

你可以找到 SnapLock 审计日志位于审计日志卷根/snaplock_log目录下的目录中。特权删除操作记录在 privdel_log 子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/ 中。所有其他日志都存储在 system_log 子目录中。

你可以创建一个 SnapLock 使用亚马逊 FSx 控制台、、亚马逊 FSx API 和 AWS CLIONTAP CLI 和 REST API。

注意

数据保护 (DP) 卷不能用作 SnapLock 审核日志量。

要打开 SnapLock 使用 Amazon FSx API 审核日志量,AuditLogVolumeCreateSnaplockConfiguration。在 Amazon FSx 控制台中,对于 “审核日志量”,选择 “启用”。确保将连接路径设置为 /snaplock_audit_log

在 a 中访问您的数据 SnapLock volume

您可以使用打开文件协议(例如 NFS 和 SMB)来访问您的数据 SnapLock 音量。将数据写入不会对性能产生影响 SnapLock 音量或读取受 WORM 保护的数据。

您可以跨跨复制文件 SnapLock 带有 NFS 和 SMB 的卷,但它们不会在目标上保留其 WORM 属性 SnapLock 音量。您必须将复制的文件重新提交到 WORM,以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到 WORM 状态

你也可以复制 SnapLock 数据与 SnapMirror,但源卷和目标卷必须是 SnapLock 保留模式相同的卷(例如,两者都必须为合规性或企业版)。