为容器配置不可变性策略

Azure Blob 存储的不可变存储使用户能够以 WORM(一次写入,多次读取)状态存储业务关键的数据。 在 WORM 状态下,在用户指定的间隔内无法修改或删除数据。 为 Blob 数据配置不可变性策略可以防范数据被覆盖和删除。 不可变性策略包括基于时间的保留策略和法定保留。 有关 Blob 存储的不可变性策略的详细信息,请参阅使用不可变存储来存储业务关键型 Blob 数据

不可变性策略的范围可以限定为单个 Blob 版本或容器。 本文介绍如何配置容器级不可变性策略。 若要了解如何配置版本级不可变性策略,请参阅为 Blob 版本配置不可变性策略

注意

启用了网络文件系统 (NFS) 3.0 协议或 SSH 文件传输协议 (SFTP) 的帐户不支持不可变性策略。

在容器上配置保留策略

若要在容器上配置基于时间的保留策略,请使用 Azure 门户、PowerShell 或 Azure CLI。 可以将容器级别的保留策略配置为介于 1 到 146000 天之间。

若要使用 Azure 门户在容器上配置基于时间的保留策略,请执行以下步骤:

  1. 导航到所需的容器。

  2. 选择右侧的“更多”按钮,然后选择“访问策略” 。

  3. 在“不可变 blob 存储”部分,选择“添加策略” 。

  4. 对于“策略类型”字段,请选择“基于时间的保留”并指定保留天数 。

  5. 若要创建容器范围的策略,请勿选中“启用版本级不可变性”复选框

  6. 选择是否允许受保护的追加写入。

    “追加 Blob”选项使工作负荷能够使用追加块操作将新的数据块添加到追加 Blob 的末尾。

    若要详细了解这些选项,请参阅允许受保护的追加 Blob 写入

    显示如何配置容器范围的不可变性策略的屏幕截图

配置不可变性策略后,你会看到它的范围限定为容器:

显示范围限定为容器的不可变性策略的屏幕截图

修改已解锁的保留策略

你可以修改已解锁的基于时间的保留策略,以缩短或延长保留间隔,并允许在容器中额外写入追加 blob。 还可删除已解锁的策略。

若要在 Azure 门户中修改已解锁的基于时间的保留策略,请执行以下步骤:

  1. 导航到所需的容器。

  2. 依次选择“更多”按钮和“访问策略” 。

  3. 在“不可变 Blob 版本”部分下,找到现有的已解锁策略。 选择“更多”按钮,然后从菜单中选择“编辑” 。

  4. 为策略提供新的保留间隔。 还可选择“允许其他受保护的追加”,以允许写入受保护的追加 blob。

    显示如何修改已解锁的基于时间的保留策略的屏幕截图

若要删除已解锁的策略,请选择“更多”按钮,然后选择“删除” 。

注意

可通过选中“启用版本级不可变性”复选框,启用版本级不可变性策略。 若要了解如何配置版本级不可变性保留策略,请参阅为 Blob 版本配置不可变性策略

锁定基于时间的保留策略

测试完基于时间的保留策略后,可以锁定该策略。 已锁定的策略符合 SEC 17a-4(f) 和其他法规标准。 最多可将已锁定策略的保留间隔延长五倍,但不能缩短保留间隔。

锁定策略后,无法删除该策略。 但是,可以在保留间隔过期后删除 blob。

若要使用 Azure 门户锁定策略,请执行以下步骤:

  1. 导航到具有已解锁策略的容器。
  2. 在“不可变 blob 版本”部分下,找到现有的已解锁策略。 选择“更多”按钮,然后从菜单中选择“锁定策略” 。
  3. 确认要锁定该策略。

显示如何在 Azure 门户中锁定基于时间的保留策略的屏幕截图

在显式清除法定保留之前,该法定保留会一直存储不可变数据。 若要详细了解法定保留策略,请参阅不可变 Blob 数据的法定保留

若要使用 Azure 门户配置容器上的法定保留,请执行以下步骤:

  1. 导航到所需的容器。

  2. 依次选择“更多”按钮和“访问策略” 。

  3. 在“不可变 Blob 版本”部分下,选择“添加策略” 。

  4. 选择“法定保留”作为策略类型。

  5. 添加一个或多个法定保留标记。

    屏幕截图显示如何配置容器范围的法定保留策略。

配置不可变性策略后,你会看到它的范围限定为容器:

下图显示了一个配置了基于时间的保留策略和法定保留的容器。

显示配置了基于时间的保留策略和法定保留的容器的屏幕截图

若要清除法定保留,请导航到“访问策略”对话,在策略的上下文菜单中选择“编辑”。 然后,删除策略的所有标记以清除保留。

后续步骤