Configurar políticas de imutabilidade para versões de blobs

Para permitir o suporte à imutabilidade ao nível de versão ao criar uma conta de armazenamento no portal do Azure, siga estes passos:

1. Navegue até à página Contas de Armazenamento no portal Azure.

2. Selecione o botão Criar para criar uma nova conta.

3. Preencha o separador Noções Básicas.

4. Na guia Proteção de dados, em Controle de acesso, selecione Habilitar suporte à imutabilidade no nível da versão. Quando você marca essa caixa, a caixa Habilitar controle de versão para blobs também é marcada automaticamente.

5. Selecione Rever + Criar para verificar os parâmetros da sua conta e criar a conta de armazenamento.

   

Depois que a conta de armazenamento for criada, você poderá configurar uma política de nível de versão padrão para a conta. Para obter mais informações, consulte Configurar uma política de retenção baseada em tempo padrão.

N/A

Para permitir o suporte à imutabilidade ao nível da versão ao criar uma conta de armazenamento com CLI do Azure, chame ao comando az storage account create com o parâmetro --enable-alw especificado. Opcionalmente, você pode especificar uma política padrão para a conta de armazenamento ao mesmo tempo, conforme mostrado no exemplo a seguir. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --enable-alw \
    --immutability-period-in-days 90 \
    --immutability-state unlocked \
    --allow-protected-append-writes true

Para criar um contentor que suporte a imutabilidade ao nível da versão no portal Azure, siga estes passos:

1. Navegue até à página Containers da sua conta de armazenamento no portal Azure e selecione Adicionar.

2. Na caixa de diálogo Novo contêiner, forneça um nome para o contêiner e expanda a seção Avançado.

3. Selecione Ativar suporte de imutabilidade no nível da versão para habilitar a imutabilidade no nível da versão para o contêiner.

   

Para criar um contêiner que ofereça suporte à imutabilidade em nível de versão com o PowerShell, primeiro instale o módulo Az.Storage, versão 3.12.0 ou posterior.

Em seguida, chame o comando New-AzRmStorageContainer com o -EnableImmutableStorageWithVersioning parâmetro, conforme mostrado no exemplo a seguir. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

# Create a container with version-level immutability support.
$container = New-AzRmStorageContainer -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account> `
    -Name <container> `
    -EnableImmutableStorageWithVersioning

# Verify that version-level immutability support is enabled for the container
$container.ImmutableStorageWithVersioning

Para criar um contentor que suporte imutabilidade ao nível de versão com o CLI do Azure, instale primeiro a versão 2.27 ou posterior do CLI do Azure. Para mais informações sobre como instalar CLI do Azure, veja Como instalar o CLI do Azure.

Em seguida, chame o comando az storage container-rm create, especificando o --enable-vlw parâmetro. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

# Create a container with version-level immutability support.
az storage container-rm create \
    --name <container> \
    --storage-account <storage-account> \
    --resource-group <resource-group> \
    --enable-vlw

# Verify that version-level immutability support is enabled for the container
az storage container-rm show \
    --storage-account <storage-account> \
    --name <container> \
    --query '[immutableStorageWithVersioning.enabled]' \
    --output tsv

Para migrar um contentor para suportar políticas de imutabilidade ao nível de versão no portal Azure, siga estes passos:

1. Navegue até o contêiner desejado.

2. No menu de contexto do contêiner e, em seguida, selecione Política de acesso.

3. Em Armazenamento de Blobs Imutáveis, selecione Adicionar política.

4. Para o campo Tipo de política , escolha Retenção baseada em tempo e especifique o intervalo de retenção.

5. Selecione Ativar imutabilidade no nível da versão.

6. Selecione OK para criar uma política no nível do contêiner com o intervalo de retenção especificado e inicie a migração para o suporte à imutabilidade no nível da versão.

   

Enquanto a operação de migração está em andamento, o escopo da política no contêiner é exibido como Contêiner. Quaisquer operações relacionadas ao gerenciamento de políticas de imutabilidade no nível da versão não são permitidas enquanto a migração do contêiner estiver em andamento. Outras operações em dados de blob prosseguirão normalmente durante a migração.

Após a conclusão da migração, o escopo da política no contêiner é exibido como Versão. A política mostrada é uma política padrão no contêiner que se aplica automaticamente a todas as versões de blob criadas posteriormente no contêiner. A política padrão pode ser substituída em qualquer versão, especificando uma política personalizada para essa versão.

Caso a migração falhe, o escopo da política no contêiner continuará a ser exibido como Contêiner e as informações em andamento também serão redefinidas. Para verificar se a migração falhou, você pode exibir o registro de atividades da conta de armazenamento para localizar a operação Gravar migração e verificar o status.

Você pode reiniciar uma migração com falha repetindo as etapas anteriores. Antes de iniciar o processo novamente, é recomendável verificar se não há concessões ativas em nenhum blob. A maneira mais fácil de fazer isso é usando o Inventário de Blobs. As migrações podem falhar por vários motivos, sendo o mais comum a existência de leases ativas em qualquer blob.

Para migrar um contêiner para dar suporte ao armazenamento imutável no nível da versão com o PowerShell, primeiro verifique se existe uma política de retenção baseada no tempo no nível do contêiner para o contêiner. Para criar um, chame Set-AzRmStorageContainerImmutabilityPolicy.

Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
   -StorageAccountName <storage-account> `
   -ContainerName <container> `
   -ImmutabilityPeriod <retention-interval-in-days>

Em seguida, chame o comando Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration para migrar o contêiner. Inclua o -AsJob parâmetro para executar o comando de forma assíncrona. Recomenda-se executar a operação de forma assíncrona, pois a migração pode levar algum tempo para ser concluída.

$migrationOperation = Invoke-AzRmStorageContainerImmutableStorageWithVersioningMigration `
    -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account> `
    -Name <container> `
    -AsJob

Para verificar o status da operação de longa duração, leia a propriedade JobStateInfo.State da operação.

$migrationOperation.JobStateInfo.State

Se o contêiner não tiver uma política de retenção baseada em tempo existente quando você tentar migrar para a imutabilidade no nível da versão, a operação falhará. O exemplo a seguir verifica o valor da propriedade JobStateInfo.State e exibe a mensagem de erro se a operação falhou porque a diretiva de nível de contêiner não existe.

if ($migrationOperation.JobStateInfo.State -eq "Failed") {
Write-Host $migrationOperation.Error
}
The container <container-name> must have an immutability policy set as a default policy
before initiating container migration to support object level immutability with versioning.

Após a conclusão da migração, verifique a propriedade Output da operação para ver se o suporte para imutabilidade no nível da versão está habilitado.

$migrationOperation.Output

Para mais informações sobre tarefas PowerShell, consulte Executar Azure PowerShell cmdlets em PowerShell Jobs.

Para migrar um contentor para suportar armazenamento imutável ao nível da versão com CLI do Azure, certifique-se primeiro de que existe uma política de retenção temporal ao nível do contentor para o contentor. Para criar um, chame az storage container immutability-policy create.

az storage container immutability-policy create \
    --resource-group <resource-group> \
    --account-name <storage-account> \
    --container-name <container> \
    --period <retention-interval-in-days>

Em seguida, execute o comando az storage container-rm migrate-vlw para migrar o contentor. Inclua o --no-wait parâmetro para executar o comando de forma assíncrona. Recomenda-se executar a operação de forma assíncrona, pois a migração pode levar algum tempo para ser concluída.

az storage container-rm migrate-vlw \
    --resource-group <resource-group> \
    --storage-account <storage-account> \
    --name <container> \
    --no-wait

Para verificar o estado da operação de longa duração, leia o valor da propriedade de migrationState.

az storage container-rm show \
    --storage-account <storage-account> \
    --name <container> \
    --query '[immutableStorageWithVersioning.migrationState]' \
    --output tsv

Para configurar uma política de imutabilidade ao nível de versão padrão para uma conta de armazenamento no portal Azure, siga estes passos:

1. No portal Azure, navegue até à sua conta de armazenamento.

2. Em Gerenciamento de dados, selecione Proteção de dados.

3. Na página Proteção de dados , localize a seção Controle de acesso . Se a conta de armazenamento tiver sido criada com suporte para imutabilidade no nível da versão, o botão Gerenciar política será exibido na seção Controle de acesso .

   

4. Selecione o botão Gerir política para exibir a caixa de diálogo Gerir política de imutabilidade ao nível da versão.

5. Adicione uma política de retenção baseada no tempo padrão para a conta de armazenamento.

   

Para configurar uma política de imutabilidade padrão ao nível de versão para um contentor no portal Azure, siga estes passos:

1. No portal Azure, navegue até à página Containers e localize o contentor ao qual pretende aplicar a política.

2. No menu de contexto do contêiner e escolha Política de acesso.

3. Na caixa de diálogo Política de acesso, na secção Armazenamento de blob imutável, escolha Adicionar política.

4. Selecione Política de retenção baseada no tempo e especifique o intervalo de retenção.

5. Escolha se deseja permitir gravações de acréscimo protegidas.

   A opção Acrescentar blobs permite que cargas de trabalho adicionem novos blocos de dados ao final de um blob de acréscimo utilizando a operação Acrescentar bloco.

   A opção Bloquear e acrescentar blobs estende esse suporte adicionando a capacidade de escrever novos blocos em um blob de bloco. A API Armazenamento de Blobs não fornece uma forma para as aplicações fazerem isto diretamente. No entanto, as aplicações podem conseguir isto utilizando métodos de adição e limpeza disponíveis na API do Data Lake Storage. Além disso, esta propriedade permite que aplicações da Microsoft, como o Azure Data Factory, adicionem blocos de dados utilizando APIs internas. Se suas cargas de trabalho dependem de qualquer uma dessas ferramentas, você pode usar essa propriedade para evitar erros que podem aparecer quando essas ferramentas tentam acrescentar dados a blobs.

   Para saber mais sobre estas opções, consulte Permitir escritas de blobs de acréscimo protegidas.

   

Para configurar uma política de imutabilidade em nível de versão padrão para um contêiner com PowerShell, chame o comando Set-AzRmStorageContainerImmutabilityPolicy .

Set-AzRmStorageContainerImmutabilityPolicy -ResourceGroupName <resource-group> `
   -StorageAccountName <storage-account> `
   -ContainerName <container> `
   -ImmutabilityPeriod <retention-interval-in-days> `
   -AllowProtectedAppendWrite $true

Para configurar uma política de imutabilidade ao nível de versão por defeito para um contentor com CLI do Azure, chame o comando de imutabilidade do contentor az create.

az storage container immutability-policy create \
    --account-name <storage-account> \
    --container-name <container> \
    --period <retention-interval-in-days> \
    --allow-protected-append-writes true

O portal Azure exibe uma lista de blobs quando navega para um container. Cada blob exibido representa a versão atual do blob. Você pode acessar uma lista de versões anteriores abrindo o menu de contexto do blob e escolhendo Exibir versões anteriores.

Configurar uma política de retenção na versão atual de um blob

Para configurar uma política de retenção baseada em tempo na versão atual de um blob, siga estas etapas:

1. Navegue até o contêiner que contém o blob de destino.

2. No menu de contexto do blob e escolha Política de acesso. Se uma política de retenção baseada no tempo já tiver sido configurada para a versão anterior, ela aparecerá na caixa de diálogo Política de acesso .

3. Na caixa de diálogo Política de acesso, na seção Versões de blob imutáveis, escolha Adicionar política.

4. Selecione Política de retenção baseada no tempo e especifique o intervalo de retenção.

5. Selecione OK para aplicar a política à versão atual do blob.

   

Você pode exibir as propriedades de um blob para ver se uma política está habilitada na versão atual. Selecione o blob, depois navegue até ao separador Visão geral e localize a propriedade Política de Imutabilidade ao Nível da Versão. Se uma política estiver habilitada, a propriedade Período de retenção exibirá a data e a hora de expiração da política. Lembre-se de que uma política pode ser configurada para a versão atual ou pode ser herdada do contêiner pai do blob se uma política padrão estiver em vigor.

Configurar uma política de retenção em uma versão anterior de um blob

Você também pode configurar uma política de retenção baseada em tempo em uma versão anterior de um blob. Uma versão anterior é sempre imutável, na medida em que não pode ser modificada. No entanto, uma versão anterior pode ser excluída. Uma política de retenção baseada no tempo protege contra a exclusão enquanto estiver em vigor.

Para configurar uma política de retenção baseada em tempo em uma versão anterior de um blob, siga estas etapas:

1. Navegue até o contêiner que contém o blob de destino.

2. Selecione o blob, depois navegue até o separador Versões.

3. Localize a versão de destino e, em seguida, no menu de contexto da versão, escolha Política de acesso. Se uma política de retenção baseada no tempo já tiver sido configurada para a versão anterior, ela aparecerá na caixa de diálogo Política de acesso .

4. Na caixa de diálogo Política de acesso, na seção Versões de blob imutáveis, escolha Adicionar política.

5. Selecione Política de retenção baseada no tempo e especifique o intervalo de retenção.

6. Selecione OK para aplicar a política à versão atual do blob.

   

Para configurar uma política de retenção baseada em tempo em uma versão de um blob com o PowerShell, utilize o comando Set-AzStorageBlobImmutabilityPolicy.

O exemplo a seguir mostra como configurar uma política desbloqueada na versão atual de um blob. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

# Get the storage account context
$ctx = (Get-AzStorageAccount `
        -ResourceGroupName <resource-group> `
        -Name <storage-account>).Context

Set-AzStorageBlobImmutabilityPolicy -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -ExpiresOn "2021-09-01T12:00:00Z" `
    -PolicyMode Unlocked

Para configurar uma política de retenção baseada em tempo numa versão de blob com CLI do Azure, instale primeiro a CLI do Azure, versão 2.29.0 ou posterior.

Em seguida, execute o comando az storage blob immutability-policy set para configurar a política de retenção baseada em tempo. O exemplo a seguir mostra como configurar uma política desbloqueada na versão atual de um blob. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

az storage blob immutability-policy set \
    --expiry-time 2021-09-20T08:00:00Z \
    --policy-mode Unlocked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Para modificar uma política de retenção baseada no tempo desbloqueado no portal Azure, siga estes passos:

1. Localize o contêiner ou a versão de destino. No menu de contexto do contêiner ou versão, escolha Política de acesso.

2. Localize a política de imutabilidade desbloqueada existente. Selecione Editar a partir do menu de contexto.

   

3. Forneça a nova data e hora para a expiração da política.

Para excluir a política desbloqueada, selecione Excluir no menu de contexto.

Para modificar uma política de retenção baseada em tempo desbloqueada com o PowerShell, chame o comando Set-AzStorageBlobImmutabilityPolicy na versão do blob com a nova data e hora para a expiração da política. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

$containerName = "<container>"
$blobName = "<blob>"

# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
    -Blob $blobName `
    -VersionId "2021-08-31T00:26:41.2273852Z" `
    -Context $ctx

# Extend the retention interval by five days.
$blobVersion = $blobVersion |
    Set-AzStorageBlobImmutabilityPolicy -ExpiresOn (Get-Date).AddDays(5) `

# View the new policy parameters.
$blobVersion.BlobProperties.ImmutabilityPolicy

Para eliminar uma política de retenção desbloqueada, utilize o comando Remove-AzStorageBlobImmutabilityPolicy.

$blobVersion = $blobVersion | Remove-AzStorageBlobImmutabilityPolicy

Para modificar uma política de retenção baseada em tempo desbloqueada com o PowerShell, chame o comando az storage blob immutability-policy set na versão do blob com a nova data e hora para a expiração da política. Lembre-se de substituir os espaços reservados entre colchetes angulares pelos seus próprios valores:

az storage blob immutability-policy set \
    --expiry-time 2021-10-0T18:00:00Z \
    --policy-mode Unlocked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Para eliminar uma política de retenção desbloqueada, utilize o comando az storage blob immutability-policy delete.

az storage blob immutability-policy delete \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Para bloquear uma política no portal Azure, siga estes passos:

1. Localize o contêiner ou a versão de destino. No menu de contexto do contêiner ou versão, escolha Política de acesso.

2. Na secção Versões de blobs imutáveis, localize a política existente que está desbloqueada. Selecione Bloquear política no menu de contexto.

3. Confirme que deseja bloquear a política.

   

Para bloquear uma política com o PowerShell, chame o comando Set-AzStorageBlobImmutabilityPolicy e defina o parâmetro PolicyMode como Locked.

O exemplo a seguir mostra como bloquear uma política especificando o mesmo intervalo de retenção que estava em vigor para a política desbloqueada. Você também pode alterar a expiração no momento em que bloquear a política.

# Get the previous blob version.
$blobVersion = Get-AzStorageBlob -Container $containerName `
    -Blob $blobName `
    -VersionId "2021-08-31T00:26:41.2273852Z" `
    -Context $ctx

$blobVersion = $blobVersion |
    Set-AzStorageBlobImmutabilityPolicy `
        -ExpiresOn $blobVersion.BlobProperties.ImmutabilityPolicy.ExpiresOn `
        -PolicyMode Locked

Para bloquear uma política com o PowerShell, chame o comando az storage blob immutability-policy set e defina o --policy-mode parâmetro como Locked. Você também pode alterar a expiração no momento em que bloquear a política.

az storage blob immutability-policy set \
    --expiry-time 2021-10-0T18:00:00Z \
    --policy-mode Locked \
    --container <container> \
    --name <blob-version> \
    --account-name <storage-account> \
    --auth-mode login

Para configurar uma retenção legal numa versão de blob com o Portal do Azure, siga estas etapas:

1. Localize a versão de destino, que pode ser a versão atual ou uma versão anterior de um blob. No menu de contexto da versão de destino, escolha Política de acesso.

2. Na secção Versões de blob imutáveis, selecione Adicionar política.

3. Escolha Retenção legal como o tipo de política e selecione OK para aplicá-la.

A seguinte imagem mostra uma versão atual de um blob com política de retenção baseada no tempo e retenção legal configuradas.

Para remover uma retenção legal, navegue até à caixa de diálogo Política de acesso e, no menu de contexto, escolha Eliminar.

Para configurar ou excluir uma retenção legal em uma versão de um blob com PowerShell, chame o comando Set-AzStorageBlobLegalHold.

# Set a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -EnableLegalHold

# Clear a legal hold
Set-AzStorageBlobLegalHold -Container <container> `
    -Blob <blob-version> `
    -Context $ctx `
    -DisableLegalHold

Para configurar ou eliminar uma retenção legal numa versão de blob com CLI do Azure, chame o comando az storage blob set-legal-hold.

# Set a legal hold
az storage blob set-legal-hold \
    --legal-hold \
    --container <container> \
    --name <blob-version> \
    --account-name <account-name> \
    --auth-mode login

# Clear a legal hold
az storage blob set-legal-hold \
    --legal-hold false \
    --container <container> \
    --name <blob-version> \
    --account-name <account-name> \
    --auth-mode login