操作方法 SnapLock 工作 - FSx 适用于 ONTAP
保留模式SnapLock 管理员SnapLock 审核日志量在 a 中访问您的数据 SnapLock volume
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

操作方法 SnapLock 工作

SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足监管和监管目的。当你创建一个 SnapLock volume,您可以将文件提交为一次写入,多次读取 (WORM) 存储,并为数据设置保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。

重要

您必须指定卷是否将使用 SnapLock 创建时的设置。一个非-SnapLock 无法将音量转换为 SnapLock 创建后的音量。

保留模式

SnapLock 有两种保留模式:合规模式和企业模式。Amazon FSx f NetApp or ONTAP 支持这两者。它们有不同的用例,有些功能也不同,但它们都使用 WORM 模型保护您的数据免遭修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。

SnapLock feature 了解 SnapLock 合规 了解 SnapLock 企业
描述 在 Compliance 卷上转换为 WORM 的文件在保留期到期之前无法删除。 在 Enterprise 卷上转换为 WORM 的文件可以由授权用户在保留期到期之前使用特权删除功能删除。
使用案例

  • 满足政府或行业特定要求,例如美国证券交易委员会(SEC)第 17a-4(f)条、金融业管理局(FINRA)第 4511 条和商品期货交易委员会(CFTC)第 1.31 条。

  • 防范勒索软件攻击。

  • 提高组织的数据完整性和内部合规性。

  • 在使用前测试保留期设置 SnapLock 合规。
自动提交 支持
基于事件的保留(EBR)1
依法保留1
使用特权删除
卷附加模式
SnapLock 审核日志量
注意

1 中支持 EBR 和 Legal Hold 操作 ONTAP CLI 和 REST API。

注意

FSx for ONTAP 支持将所有容量池中的数据分层到容量池 SnapLock 音量,不管是多少 SnapLock 。有关更多信息,请参阅 卷数据分层

SnapLock 管理员

您必须具有…… SnapLock 可对其执行某些操作的管理员权限 SnapLock 卷。SnapLock 管理员权限是在vsadmin-snaplock角色中定义的 ONTAP CLI。您必须是集群管理员才能使用创建存储虚拟机 (SVM) 管理员帐户 SnapLock 管理员角色。

您可以使用中的vsadmin-snaplock角色执行以下操作 ONTAP CLI:

  • 管理自己的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除和合法保留

  • 配置网络文件系统(NFS)和服务器消息块(SMB)协议

  • 配置域名系统(DNS)、轻型目录访问协议(LDAP)和网络信息服务(NIS)服务

  • 监控作业

以下过程详细说明了如何创建 SnapLock 管理员在 ONTAP CLI。要执行此任务,您必须以集群管理员的身份通过安全外壳协议(SSH)等安全连接登录。

要在中创建具有 vsadmin-snaplock 角色的 SVM 管理员帐户 ONTAP CLI

  • 运行以下命令。将 SVM_nameSnapLockAdmin 替换为您自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

有关更多信息,请参阅 ONTAP 角色和用户

SnapLock 审核日志量

A SnapLock 审核日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如当 SnapLock 管理员是在执行特权删除操作或对文件进行合法保留时创建的。这些区域有:SnapLock 审核日志量是不可擦除的事件记录。

你必须创建一个 SnapLock 审核日志量与位于同一 SVM 中 SnapLock 以下操作的音量:

  • 要在上打开或关闭特权删除 SnapLock 企业音量。

  • 对文件中的文件应用法律封存 SnapLock 合规量。

警告

  • 的最短保留期 SnapLock 审核日志量为六个月。在此保留期到期之前,SnapLock 审核日志卷以及与之关联的 SVM 和文件系统即使是在中创建的,也无法将其删除 SnapLock 企业模式。

  • 如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。

您只能激活一个 SnapLock SVM 中的审核日志量,但可以由多个 SVM 共享 SnapLock SVM 中的卷。要装载 SnapLock 成功审核日志量,请将接合路径设置为/snaplock_audit_log。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。

你可以找到 SnapLock 审计日志位于审计日志卷根/snaplock_log目录下的目录中。特权删除操作记录在 privdel_log 子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/ 中。所有其他日志都存储在 system_log 子目录中。

你可以创建一个 SnapLock 使用亚马逊 FSx 控制台、、亚马逊 FSx API 和 Amazon CLIONTAP CLI 和 REST API。

注意

数据保护 (DP) 卷不能用作 SnapLock 审核日志量。

要打开 SnapLock 使用 Amazon FSx API 审核日志量,AuditLogVolumeCreateSnaplockConfiguration。在 Amazon FSx 控制台中,对于 “审核日志量”,选择 “启用”。确保将连接路径设置为 /snaplock_audit_log

在 a 中访问您的数据 SnapLock volume

您可以使用打开文件协议(例如 NFS 和 SMB)来访问您的数据 SnapLock 音量。将数据写入不会对性能产生影响 SnapLock 音量或读取受 WORM 保护的数据。

您可以跨跨复制文件 SnapLock 带有 NFS 和 SMB 的卷,但它们不会在目标上保留其 WORM 属性 SnapLock 音量。您必须将复制的文件重新提交到 WORM,以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到 WORM 状态

你也可以复制 SnapLock 数据与 SnapMirror,但源卷和目标卷必须是 SnapLock 保留模式相同的卷(例如,两者都必须为合规性或企业版)。