方法 SnapLock 運作方式 - FSx for OnTAP
保留模式SnapLock 管理員SnapLock 稽核日誌磁碟區在 中存取您的資料 SnapLock 磁碟區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

方法 SnapLock 運作方式

SnapLock 可以防止您的檔案遭到刪除、變更或重新命名,藉此協助您達成法規和控管目的。當您建立 SnapLock 磁碟區,您會遞交檔案寫入一次、讀取許多 (WORM) 儲存體,並設定資料的保留期間。您的檔案可以存放於指定期間內不可清除、不可寫入的狀態,或無限期儲存。

重要

您必須指定磁碟區是否會使用 SnapLock 建立時的 設定。非SnapLock 磁碟區無法轉換為 SnapLock 磁碟區。

保留模式

SnapLock 有兩種保留模式:合規和企業。Amazon FSx for NetApp ONTAP 支援這兩種功能。它們有不同的使用案例,而且某些功能不同,但它們都使用WORM模型保護您的資料免於修改或刪除。下表說明這些保留模式之間的一些相似性和差異。

SnapLock 功能 SnapLock 合規 SnapLock Enterprise
描述 在合規磁碟區WORM上轉換至 的檔案,在保留期間到期之前,都無法刪除。 在企業磁碟區WORM上轉換到 的檔案,可由授權使用者在保留期間到期之前,使用特殊權限刪除來刪除。
使用案例

  • 處理政府或產業特定的命令,例如SEC規則 17a-4(f)、FINRA規則 4511 和CFTC規則 1.31。

  • 防範勒索軟體攻擊。

  • 提升組織的資料完整性和內部合規。

  • 使用 之前測試保留設定 SnapLock 合規。
自動遞交
事件型保留 (EBR)*
法務保存*
特殊權限刪除
磁碟區附加模式
SnapLock 稽核日誌磁碟區

*EBR 和法務保存操作在 中受支援 ONTAP CLI 和 REST API。

注意

FSx for ONTAP支援將資料分層到所有 上的容量集區 SnapLock 磁碟區,無論 SnapLock 。如需詳細資訊,請參閱磁碟區資料分層

SnapLock 管理員

您必須有...SnapLock 在 上執行特定動作的管理員權限 SnapLock 磁碟區。SnapLock 管理員權限是在 中vsadmin-snaplock的角色中定義 ONTAP CLI。 您必須是叢集管理員,才能使用 建立儲存虛擬機器 (SVM) 管理員帳戶 SnapLock 管理員角色。

您可以使用 中的 vsadmin-snaplock角色執行下列動作 ONTAP CLI:

  • 管理您自己的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,移動磁碟區除外

  • 管理配額、qtrees、快照複本和檔案

  • 執行 SnapLock 動作,包括特殊權限刪除和法務保存

  • 設定網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB) 通訊協定

  • 設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 和網路資訊服務 (NIS) 服務

  • 監控作業

下列程序詳細說明如何建立 SnapLock 中的管理員 ONTAP CLI。 您必須以叢集管理員身分登入安全連線,例如 Secure Shell Protocol (SSH) 來執行此任務。

在 中使用 vsadmin-snaplock 角色建立SVM管理員帳戶 ONTAP CLI

  • 執行下列命令。SnapLockAdmin 使用您自己的資訊取代 SVM_name和 。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock 稽核日誌磁碟區

A SnapLock 稽核日誌磁碟區包含 SnapLock 稽核日誌,其中包含事件的時間戳記,例如當 SnapLock 管理員已建立、執行特殊權限刪除操作時,或將法務保存置於檔案時。所以此 SnapLock 稽核日誌磁碟區是不可清除的事件記錄。

您必須建立 SnapLock 稽核日誌磁碟區與 SVM相同 SnapLock 磁碟區,用於下列動作:

  • 在 上開啟或關閉特殊權限刪除 SnapLock 企業磁碟區。

  • 對 中的檔案套用法務保存 SnapLock 合規磁碟區。

警告

  • 的最短保留期間 SnapLock 稽核日誌磁碟區為六個月。在此保留期間到期之前,SnapLock 稽核日誌磁碟區以及與其相關聯的 SVM和 檔案系統,即使磁碟區是在 中建立,也無法刪除 SnapLock 企業模式。

  • 如果使用特殊權限刪除來刪除檔案,且其保留期間長於磁碟區的保留期間,則稽核日誌磁碟區會繼承檔案的保留期間。例如,如果使用特殊權限刪除來刪除保留期間為 10 個月的檔案,且稽核日誌磁碟區的保留期間為六個月,則稽核日誌磁碟區的保留期間會延長為 10 個月。

您只能有一個作用中 SnapLock 中的稽核日誌磁碟區SVM,但可由多個 共用 SnapLock 中的 磁碟區SVM。掛載 SnapLock 稽核日誌磁碟區成功,請將 接合路徑設定為 /snaplock_audit_log。沒有其他磁碟區可以使用此接合路徑,包括非稽核日誌磁碟區的磁碟區。

您可以找到 SnapLock 稽核日誌磁碟區根/snaplock_log目錄下的稽核日誌。特殊權限刪除操作會記錄在 privdel_log 子目錄中。法務保存開始和結束操作會記錄在 中/snaplock_log/legal_hold_logs/。所有其他日誌都存放在 system_log子目錄中。

您可以建立 SnapLock 使用 Amazon FSx主控台、 AWS CLI、Amazon FSx API和 稽核日誌磁碟區 ONTAP CLI 和 REST API。

注意

資料保護 (DP) 磁碟區無法用作 SnapLock 稽核日誌磁碟區。

開啟 SnapLock 搭配 Amazon FSx 使用 稽核日誌磁碟區API,在 AuditLogVolume中使用 CreateSnaplockConfiguration。在 Amazon FSx主控台的稽核日誌磁碟區中,選擇已啟用。確定 Junction 路徑設定為 /snaplock_audit_log

在 中存取您的資料 SnapLock 磁碟區

您可以使用開啟的檔案通訊協定,例如 NFS和 SMB 來存取 中的資料 SnapLock 磁碟區。將資料寫入 不會影響效能 SnapLock 磁碟區或讀取受 保護的資料WORM。

您可以將檔案複製至 SnapLock 具有 NFS和 的磁碟區SMB,但它們不會將其WORM屬性保留在目的地 SnapLock 磁碟區。您必須將複製的檔案重新遞交至 WORM ,以防止其遭到修改或刪除。如需詳細資訊,請參閱將檔案遞交至 WORM 狀態

您也可以複寫 SnapLock 使用 的資料 SnapMirror,但來源和目的地磁碟區必須 SnapLock 具有相同保留模式的磁碟區 (例如,兩者都必須是合規或企業)。