Jsou situace, kdy potřebujete do storage nahrát nějaké dokumenty a zajistit, že je po určité rozhodné období není možné smazat nebo modifikovat a to ani s největšími administrátorskými právy. Možná jde o uživatelem nahrané dokumenty nebo logy z vašich systémů, které musíte držet například po dobu dvou let pro případ důkazního řízení. Tento režim (WORM) dnes nabízí Azure Blob Storage a vyhovuje předpisům jako je SEC 17a-4(f). Pojďme si to vyzkoušet.
Azure Blob Storage
Blob je nejlevnější storage v Azure a je postavena na objektových principech, tedy přistupuje se k ní přes HTTPS, každý objekt má svou unikátní URL a k dispozici je řada SDK do různých jazyků pro integraci do vašich aplikací.
Immutable politika
Vytvořil jsem Storage Account v2 a v ní jeden kontejner. Pojďme nastavit immutable politiku.
Pro zkoušku nastavím politiku tak, že vyžaduje jednodenní nesmazatelnost a nemodifikovatelnost.
Moje politika je aktuálně v unlocked stavu, takže ještě není aplikována. To změníme.
Do storage nahraji nějaký dokument.
Pokusím se teď dokument smazat.
To se nepodařilo. Je moc brzo, dokument je zamčený.
Počkám tedy jeden den a zkusím to znova. Prošlo.
Auditování přístupů
Pojďme si zapnout logování přístupů.
V storage accountu se vytvoří kontejner $logs, který není normálně vidět, ale ze Storage Explorer desktopové aplikace nebo API se k němu dostanete. Všechny operace se storage jsou tam zaprotokolované včetně co se dělo, s čím, z jaké IP a tak podobně.
Immutable storage je velmi zajímavý způsob jak se vypořádat s nutností ukládat data tak, že je není možné modifikovat ani mazat po určitou rozhodnou dobu. A to nejlepší? Je to zdarma v rámci Azure Blob Storage služby.