SnapLock 的運作方式 - FSx for OnTAP
保留模式SnapLock 管理員SnapLock稽核記錄磁碟區存取SnapLock磁碟區中的資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SnapLock 的運作方式

SnapLock可防止檔案遭到刪除、變更或重新命名,協助您符合法規與管理目的。當您建立SnapLock磁碟區時,您會認可檔案寫入一次、讀取多個 (WORM) 儲存空間,並設定資料的保留期限。您的文件可以在指定的時間段內以不可擦除,不可寫入的狀態存儲,也可以無限期地存儲。

重要

您必須指定磁碟區是否要在建立時使用SnapLock設定。非SnapLock磁碟區在建立之後無法轉換為SnapLock磁碟區。

保留模式

SnapLock具有兩種保留模式:合規性和企業。適用於 NetApp ONTAP 的 Amazon FSx 支持它們。它們具有不同的使用案例,並且某些功能不同,但它們都可以使用 WORM 模型保護您的資料不被修改或刪除。下表說明這些保留模式之間的一些相似性和差異。

SnapLock 功能 SnapLock 合規 SnapLock企業
描述 在合規性磁碟區上轉換為 WORM 的檔案,直到其保留期過期才能刪除。 授權使用者可以使用授權刪除功能,在其保留期到期之前刪除企業磁碟區上轉換為 WORM 的檔案。
使用案例

  • 為了解決政府或行業特定的要求,例如美國證券交易委員會規則 17a-4 (f)、《美國國家財務委員會規則》第 4511 條以及美國商品期貨交易委員會

  • 為了防止勒索軟件攻擊。

  • 為了提高組織的數據完整性和內部合規性。

  • 在使用「SnapLock符合性」之前測試保留設定。
自動提交
事件型保留 (EBR)*
合法持有*
特權刪除
卷追加模式
SnapLock稽核記錄磁碟區

* ONTAP CLI 和 REST API 支援 EBR 和法律保留作業。

SnapLock 管理員

您必須擁有SnapLock管理員權限才能對SnapLock磁碟區執行某些動作。 SnapLock管理員權限是在 ONTAP CLI 中的vsadmin-snaplock角色中定義的。您必須是叢集管理員,才能建立具有管理員角色的儲存區虛擬機器 (SVM) 管SnapLock理員帳戶。

您可以使用 ONTAP CLI 中的vsadmin-snaplock角色執行下列動作:

  • 管理您自己的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,移動磁碟區除外

  • 管理配額、Q 樹狀結構、快照複本和檔案

  • 執行SnapLock動作,包括特權刪除和法律保留

  • 設定網路檔案系統 (NFS) 和伺服器訊息區 (SMB) 通訊協定

  • 設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 及網路資訊服務 (NIS) 服務

  • 監控作業

下列程序詳細說明如何在 ONTAP CLI 中建立SnapLock系統管理員。您必須以叢集管理員身分登入安全連線,例如安全殼層通訊協定 (SSH),才能執行此工作。

在 CLI 中使用 vsadmin 快照鎖定角色建立 SVM 管理員帳戶 ONTAP

  • 執行下列命令。替換 SVM_nameSnapLockAdmin用您自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock稽核記錄磁碟區

SnapLock稽核記錄磁碟區包含SnapLock稽核記錄,其中包含事件的時間戳記,例如建立SnapLock系統管理員的時間、執行授權刪除作業的時間,或在檔案上設定「合法保留」時。SnapLock稽核記錄磁碟區是不可清除的事件記錄。

您必須在與磁碟區相同的 SVM 中建立SnapLock稽核記錄SnapLock磁碟區,才能執行下列動作:

  • 開啟或關閉SnapLock企業磁碟區上的授權刪除。

  • 對SnapLock合規性磁碟區中的檔案套用「法律保留」。

警告

  • SnapLock稽核記錄磁碟區的最短保留期限為六個月。在此保留期到期之前,即使磁碟區是在 SnapLock Enterprise 模式下建立,也無法刪除SnapLock稽核記錄磁碟區以及與其相關聯的 SVM 和檔案系統。

  • 如果使用授權刪除檔案刪除,且其保留期間超過磁碟區的保留期限,則稽核記錄磁碟區會繼承檔案的保留期間。例如,如果使用授權刪除保留期為 10 個月的檔案,而稽核記錄磁碟區的保留期限為六個月,則稽核記錄磁碟區的保留期會延長至 10 個月。

SVM 中只能有一個使用中的SnapLock稽核記錄磁碟區,但 SVM 中的多個SnapLock磁碟區可共用該磁碟區。若要成功掛接SnapLock稽核記錄磁碟區,請將結合路徑設定為/snaplock_audit_log。沒有其他磁碟區可以使用此結合路徑,包括不是稽核記錄磁碟區的磁碟區。

您可以在SnapLock稽核記錄磁碟區根/snaplock_log目錄下的目錄中找到稽核記錄。有權限的刪除作業會記錄在privdel_log子目錄中。會登入「合法保留」開始與結束作業/snaplock_log/legal_hold_logs/。所有其他記錄檔都儲存在system_log子目錄中。

您可以使用 Amazon FSx 主控台、Amazon FSx API 以及 ONTAP CLI 和 REST API 建立SnapLock稽核日誌磁碟區。AWS CLI

注意

資料保護 (DP) 磁碟區無法做為SnapLock稽核記錄磁碟區使用。

下列程序說明如何在 Amazon FSx 主控台上建立SnapLock稽核日誌磁碟區。

若要建立SnapLock稽核日誌磁碟區,請使用 Amazon FSx 主控台

  1. 開啟 Amazon FSx 主控台,網址為 https://console.aws.amazon.com/fsx/

  2. 請遵循中建立新磁碟區的程序建立磁碟區

  3. 在「進」段落中,對於「SnapLock 組態」,選擇啟用

    選取此核取方塊以確認有關在磁碟區SnapLock上啟用的警告。

  4. 針對 [稽核記錄檔量],選擇 [啟用]

    請確定「結合」路徑已設定為/snaplock_audit_log

  5. 請遵循中建立新磁碟區的程序的其餘步驟建立磁碟區

  6. 選擇 [確認] 以建立磁碟區。

若要使用 Amazon FSx API 開啟SnapLock稽核日誌磁碟區,請AuditLogVolume在中使用. CreateSnaplockConfiguration

存取SnapLock磁碟區中的資料

您可以使用開放式檔案通訊協定 (例如 NFS 和 SMB) 來存取SnapLock磁碟區中的資料。將資料寫入SnapLock磁碟區或讀取受 WORM 保護的資料不會造成效能影響。

您可以在具有 NFS 和 SMB 的SnapLock磁碟區之間複製檔案,但它們不會在目的磁SnapLock碟區上保留其 WORM 屬性。您必須將複製的檔案重新提交至 WORM,以防止它們遭到修改或刪除。如需詳細資訊,請參閱 將檔案提交至 WORM 狀態

您也可以使用複寫SnapLock資料SnapMirror,但來源磁碟區和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 (例如,兩者都必須為 [相容性] 或 [企業])。