SnapLock 的運作方式 - FSx for OnTAP
保留模式SnapLock 管理員SnapLock 稽核日誌磁碟區存取SnapLock磁碟區中的資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SnapLock 的運作方式

SnapLock 可以防止您的檔案遭到刪除、變更或重新命名,藉此協助您符合法規和控管目的。建立SnapLock磁碟區時,您會遞交檔案寫入一次、讀取許多 (WORM) 儲存體,並設定資料的保留期間。您的檔案可以存放於指定期間內不可清除、不可寫入的狀態,或無限期儲存。

重要

您必須指定磁碟區在建立時是否將使用SnapLock設定。非SnapLock 磁碟區無法在建立後轉換為磁碟SnapLock區。

保留模式

SnapLock 有兩種保留模式:合規和企業。Amazon FSx for NetApp ONTAP 支援這兩種功能。它們有不同的使用案例,而其中一些功能不同,但它們都使用 WORM 模型來保護您的資料免於修改或刪除。下表說明這些保留模式之間的一些相似性和差異。

SnapLock 功能 SnapLock 合規 SnapLock 企業
描述 在合規磁碟區上轉換至 WORM 的檔案,在保留期間到期之前,都無法刪除。 在保留期到期之前,授權使用者可以使用特殊權限刪除刪除在企業磁碟區上轉換到 WORM 的檔案。
使用案例

  • 處理政府或產業特定的命令,例如 SEC 規則 17a-4(f)、FINRA 規則 4511 和 CFTC 規則 1.31。

  • 防止勒索軟體攻擊。

  • 提升組織的資料完整性和內部合規。

  • 在使用SnapLock合規之前測試保留設定。
自動遞交
事件型保留 (EBR)*
法務保存*
權限刪除
磁碟區附加模式
SnapLock 稽核日誌磁碟區

*CLI 和 REST API 支援 EBR ONTAP 和法務保存操作。

注意

FSx for ONTAP 支援將資料分層到所有SnapLock磁碟區的容量集區,無論SnapLock類型為何。如需詳細資訊,請參閱磁碟區資料分層

SnapLock 管理員

您必須具有SnapLock管理員權限才能對SnapLock磁碟區執行特定動作。SnapLock管理員權限是在 CLI ONTAP 中vsadmin-snaplock的角色中定義。您必須是叢集管理員,才能使用管理員角色建立儲存虛擬機器 (SVM) SnapLock管理員帳戶。

您可以使用 CLI ONTAP 中的 vsadmin-snaplock角色執行下列動作:

  • 管理您自己的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,移動磁碟區除外

  • 管理配額、qtrees、快照複本和檔案

  • 執行SnapLock動作,包括特殊權限刪除和法務保存

  • 設定網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB) 通訊協定

  • 設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 和網路資訊服務 (NIS) 服務

  • 監控作業

下列程序詳細說明如何在 CLI ONTAP 中建立SnapLock管理員。您必須以叢集管理員身分登入安全連線,例如 Secure Shell Protocol (SSH) 來執行此任務。

在 CLI 中建立具有 vsadmin-snaplock 角色的 SVM ONTAP 管理員帳戶

  • 執行下列命令。將 SVM_nameSnapLockAdmin 取代為您自己的資訊。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

SnapLock 稽核日誌磁碟區

SnapLock 稽核日誌磁碟區包含SnapLock稽核日誌,其中包含事件的時間戳記,例如建立SnapLock管理員的時間、執行特殊權限刪除操作的時間,或將法務保存置於檔案的時間。SnapLock 稽核日誌磁碟區是不可清除的事件記錄。

您必須在與下列動作的磁碟區相同的 SVM 中建立SnapLock稽核日誌SnapLock磁碟區:

  • 在SnapLock企業磁碟區上開啟或關閉特殊權限刪除。

  • 對SnapLock合規磁碟區中的檔案套用法務保存。

警告

  • SnapLock 稽核日誌磁碟區的最短保留期間為六個月。在此保留期間到期之前,即使磁碟區是在SnapLock企業模式下建立,也無法刪除與其相關聯的SnapLock稽核日誌磁碟區和 SVM 和檔案系統。

  • 如果使用特殊權限刪除來刪除檔案,且其保留期間長於磁碟區的保留期間,則稽核日誌磁碟區會繼承檔案的保留期間。例如,如果使用特殊權限刪除來刪除保留期間為 10 個月的檔案,且稽核日誌磁碟區的保留期間為六個月,則稽核日誌磁碟區的保留期間會延長為 10 個月。

SVM 中只能有一個作用中的SnapLock稽核日誌磁碟區,但 SVM 中的多個SnapLock磁碟區可以共用。若要成功掛載SnapLock稽核日誌磁碟區,請將連接路徑設定為 /snaplock_audit_log。沒有其他磁碟區可以使用此連接路徑,包括非稽核日誌磁碟區的磁碟區。

您可以在SnapLock稽核日誌磁碟區的根/snaplock_log目錄下找到稽核日誌。特殊權限刪除操作會記錄在privdel_log子目錄中。法務保存開始和結束操作會記錄在 中/snaplock_log/legal_hold_logs/。所有其他日誌都存放在 system_log子目錄中。

您可以使用 Amazon FSx 主控台、 AWS CLI、Amazon FSx API 以及 ONTAP CLI 和 REST API 建立SnapLock稽核日誌磁碟區。

注意

資料保護 (DP) 磁碟區無法用作SnapLock稽核日誌磁碟區。

若要使用 Amazon FSx API 開啟SnapLock稽核日誌磁碟區,請在 AuditLogVolume中使用 CreateSnaplockConfiguration。在 Amazon FSx 主控台中,針對稽核日誌磁碟區,選擇已啟用。確定 Junction 路徑設定為 /snaplock_audit_log

存取SnapLock磁碟區中的資料

您可以使用 NFS 和 SMB 等開啟的檔案通訊協定來存取磁碟SnapLock區中的資料。將資料寫入SnapLock磁碟區或讀取 WORM 保護的資料,不會影響效能。

您可以使用 NFS 和 SMB 跨SnapLock磁碟區複製檔案,但它們不會在目的地SnapLock磁碟區上保留其 WORM 屬性。您必須將複製的檔案重新遞交給 WORM,以防止修改或刪除這些檔案。如需詳細資訊,請參閱將檔案遞交至 WORM 狀態

您也可以使用 複寫SnapLock資料SnapMirror,但來源和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 (例如,兩者都必須是合規或企業)。