本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SnapLock 的運作方式
SnapLock 可以防止您的檔案遭到刪除、變更或重新命名,藉此協助您符合法規和控管目的。建立SnapLock磁碟區時,您會遞交檔案寫入一次、讀取許多 (WORM) 儲存體,並設定資料的保留期間。您的檔案可以存放於指定期間內不可清除、不可寫入的狀態,或無限期儲存。
重要
您必須指定磁碟區在建立時是否將使用SnapLock設定。非SnapLock 磁碟區無法在建立後轉換為磁碟SnapLock區。
保留模式
SnapLock 有兩種保留模式:合規和企業。Amazon FSx for NetApp ONTAP 支援這兩種功能。它們有不同的使用案例,而其中一些功能不同,但它們都使用 WORM 模型來保護您的資料免於修改或刪除。下表說明這些保留模式之間的一些相似性和差異。
SnapLock 功能 | SnapLock 合規 | SnapLock 企業 |
---|---|---|
描述 | 在合規磁碟區上轉換至 WORM 的檔案,在保留期間到期之前,都無法刪除。 | 在保留期到期之前,授權使用者可以使用特殊權限刪除刪除在企業磁碟區上轉換到 WORM 的檔案。 |
使用案例 |
|
|
自動遞交 | 是 | 是 |
事件型保留 (EBR)* | 是 | 是 |
法務保存* | 是 | 否 |
權限刪除 | 否 | 是 |
磁碟區附加模式 | 是 | 是 |
SnapLock 稽核日誌磁碟區 | 是 | 是 |
*CLI 和 REST API 支援 EBR ONTAP 和法務保存操作。
注意
FSx for ONTAP 支援將資料分層到所有SnapLock磁碟區的容量集區,無論SnapLock類型為何。如需詳細資訊,請參閱磁碟區資料分層。
SnapLock 管理員
您必須具有SnapLock管理員權限才能對SnapLock磁碟區執行特定動作。SnapLock管理員權限是在 CLI ONTAP 中vsadmin-snaplock
的角色中定義。您必須是叢集管理員,才能使用管理員角色建立儲存虛擬機器 (SVM) SnapLock管理員帳戶。
您可以使用 CLI ONTAP 中的 vsadmin-snaplock
角色執行下列動作:
-
管理您自己的使用者帳戶、本機密碼和金鑰資訊
-
管理磁碟區,移動磁碟區除外
-
管理配額、qtrees、快照複本和檔案
-
執行SnapLock動作,包括特殊權限刪除和法務保存
-
設定網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB) 通訊協定
-
設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 和網路資訊服務 (NIS) 服務
-
監控作業
下列程序詳細說明如何在 CLI ONTAP 中建立SnapLock管理員。您必須以叢集管理員身分登入安全連線,例如 Secure Shell Protocol (SSH) 來執行此任務。
在 CLI 中建立具有 vsadmin-snaplock 角色的 SVM ONTAP 管理員帳戶
執行下列命令。將
SVM_name
和SnapLockAdmin
取代為您自己的資訊。cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock 稽核日誌磁碟區
SnapLock 稽核日誌磁碟區包含SnapLock稽核日誌,其中包含事件的時間戳記,例如建立SnapLock管理員的時間、執行特殊權限刪除操作的時間,或將法務保存置於檔案的時間。SnapLock 稽核日誌磁碟區是不可清除的事件記錄。
您必須在與下列動作的磁碟區相同的 SVM 中建立SnapLock稽核日誌SnapLock磁碟區:
在SnapLock企業磁碟區上開啟或關閉特殊權限刪除。
對SnapLock合規磁碟區中的檔案套用法務保存。
警告
-
SnapLock 稽核日誌磁碟區的最短保留期間為六個月。在此保留期間到期之前,即使磁碟區是在SnapLock企業模式下建立,也無法刪除與其相關聯的SnapLock稽核日誌磁碟區和 SVM 和檔案系統。
-
如果使用特殊權限刪除來刪除檔案,且其保留期間長於磁碟區的保留期間,則稽核日誌磁碟區會繼承檔案的保留期間。例如,如果使用特殊權限刪除來刪除保留期間為 10 個月的檔案,且稽核日誌磁碟區的保留期間為六個月,則稽核日誌磁碟區的保留期間會延長為 10 個月。
SVM 中只能有一個作用中的SnapLock稽核日誌磁碟區,但 SVM 中的多個SnapLock磁碟區可以共用。若要成功掛載SnapLock稽核日誌磁碟區,請將連接路徑設定為 /snaplock_audit_log
。沒有其他磁碟區可以使用此連接路徑,包括非稽核日誌磁碟區的磁碟區。
您可以在SnapLock稽核日誌磁碟區的根/snaplock_log
目錄下找到稽核日誌。特殊權限刪除操作會記錄在privdel_log
子目錄中。法務保存開始和結束操作會記錄在 中/snaplock_log/legal_hold_logs/
。所有其他日誌都存放在 system_log
子目錄中。
您可以使用 Amazon FSx 主控台、 AWS CLI、Amazon FSx API 以及 ONTAP CLI 和 REST API 建立SnapLock稽核日誌磁碟區。
注意
資料保護 (DP) 磁碟區無法用作SnapLock稽核日誌磁碟區。
若要使用 Amazon FSx API 開啟SnapLock稽核日誌磁碟區,請在 AuditLogVolume
中使用 CreateSnaplockConfiguration
。在 Amazon FSx 主控台中,針對稽核日誌磁碟區,選擇已啟用。確定 Junction 路徑設定為 /snaplock_audit_log
。
存取SnapLock磁碟區中的資料
您可以使用 NFS 和 SMB 等開啟的檔案通訊協定來存取磁碟SnapLock區中的資料。將資料寫入SnapLock磁碟區或讀取 WORM 保護的資料,不會影響效能。
您可以使用 NFS 和 SMB 跨SnapLock磁碟區複製檔案,但它們不會在目的地SnapLock磁碟區上保留其 WORM 屬性。您必須將複製的檔案重新遞交給 WORM,以防止修改或刪除這些檔案。如需詳細資訊,請參閱將檔案遞交至 WORM 狀態。
您也可以使用 複寫SnapLock資料SnapMirror,但來源和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 (例如,兩者都必須是合規或企業)。