本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# SnapLock 的運作方式
<a name="how-snaplock-works"></a>

SnapLock 可以防止您的檔案遭到刪除、變更或重新命名，協助您達成法規和控管目的。建立SnapLock磁碟區時，您會遞交檔案寫入一次、讀取許多 (WORM) 儲存，並設定資料的保留期間。您的檔案可以存放於指定期間內不可清除、不可寫入的狀態，或無限期儲存。

**重要**  
您必須在建立時指定磁碟區是否將使用SnapLock設定。非SnapLock 磁碟區無法在建立後轉換為SnapLock磁碟區。

## 保留模式
<a name="snaplock-retention-modes"></a>

SnapLock 有兩種保留模式：合規和企業。Amazon FSx for NetApp ONTAP 支援兩者。它們有不同的使用案例，而且有些功能不同，但它們都使用 WORM 模型保護您的資料免於修改或刪除。下表說明這些保留模式之間的一些相似性和差異。


| SnapLock 功能 | [了解SnapLock合規](snaplock-compliance.md) | [了解SnapLock企業](snaplock-enterprise.md) | 
| --- | --- | --- | 
| Description | 在合規磁碟區上轉換為 WORM 的檔案在保留期間到期之前，都無法刪除。 | 企業磁碟區上轉換為 WORM 的檔案，可在其保留期間過期之前，由授權使用者使用特殊權限刪除刪除。 | 
| 使用案例 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/how-snaplock-works.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/how-snaplock-works.html)  | 
| [自動遞交](worm-state.md#worm-state-autocommit) | 是 | 是 | 
| [事件型保留 (EBR)](worm-state.md#worm-state-ebr)1 | 是 | 是 | 
| [法務保存](worm-state.md#worm-state-legal-hold)1 | 是 | 否 | 
| [使用特殊權限刪除](snaplock-enterprise.md#privileged-delete) | 否 | 是 | 
| [磁碟區附加模式](worm-state.md#worm-state-append) | 是 | 是 | 
| [SnapLock 稽核日誌磁碟區](#snaplock-audit-log-volume) | 是 | 是 | 

**注意**  
CLI 和 REST API 支援 1EBR ONTAP 和法務保存操作。

**注意**  
FSx for ONTAP 支援將資料分層到所有SnapLock磁碟區的容量集區，無論SnapLock類型為何。如需詳細資訊，請參閱[磁碟區資料分層](volume-storage-capacity.md#volume-data-tiering)。

## SnapLock 管理員
<a name="snaplock-admin"></a>

您必須具有SnapLock管理員權限才能對SnapLock磁碟區執行特定動作。SnapLock管理員權限是在 CLI ONTAP 中`vsadmin-snaplock`的角色中定義。您必須是叢集管理員，才能使用管理員角色建立儲存虛擬機器 (SVM) SnapLock管理員帳戶。

您可以在 CLI ONTAP 中對 `vsadmin-snaplock`角色執行下列動作：
+ 管理您自己的使用者帳戶、本機密碼和金鑰資訊
+ 管理磁碟區，移動磁碟區除外
+ 管理配額、qtrees、快照複本和檔案
+ 執行SnapLock動作，包括特殊權限刪除和法務保存
+ 設定網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB) 通訊協定 
+ 設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 和網路資訊服務 (NIS) 服務 
+ 監控作業

下列程序詳細說明如何在 CLI ONTAP 中建立SnapLock管理員。您必須以安全連線的叢集管理員身分登入，例如 Secure Shell Protocol (SSH)，才能執行此任務。

**在 CLI 中使用 vsadmin-snaplock 角色建立 SVM ONTAP 管理員帳戶**
+ 執行下列命令。將 *SVM\$1name* 和 *SnapLockAdmin* 取代為您自己的資訊。

  ```
  cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock
  ```

如需詳細資訊，請參閱[ONTAP 角色和使用者](roles-and-users.md)。

## SnapLock 稽核日誌磁碟區
<a name="snaplock-audit-log-volume"></a>

 SnapLock 稽核日誌磁碟區包含SnapLock稽核日誌，其中包含事件的時間戳記，例如建立SnapLock管理員的時間、執行特殊權限刪除操作的時間，或對檔案放置法務保存的時間。SnapLock 稽核日誌磁碟區是不可清除的事件記錄。

您必須在與下列動作的磁碟區相同的 SVM 中建立SnapLock稽核日誌SnapLock磁碟區：
+ 在SnapLock企業磁碟區上開啟或關閉特殊權限刪除。
+ 對SnapLock合規磁碟區中的檔案套用法務保存。

**警告**  
 SnapLock 稽核日誌磁碟區的最短保留期間為六個月。在此保留期間到期之前，即使磁碟區是在SnapLock企業模式中建立，也無法刪除與其相關聯的SnapLock稽核日誌磁碟區以及 SVM 和檔案系統。
如果使用特殊權限刪除來刪除檔案，且其保留期間超過磁碟區的保留期間，則稽核日誌磁碟區會繼承檔案的保留期間。例如，如果使用特殊權限刪除來刪除保留期間為 10 個月的檔案，且稽核日誌磁碟區的保留期間為六個月，則稽核日誌磁碟區的保留期間會延長至 10 個月。

 SVM 中只能有一個作用中的SnapLock稽核日誌磁碟區，但可由 SVM 中的多個SnapLock磁碟區共用。若要成功掛載SnapLock稽核日誌磁碟區，請將連接路徑設定為 `/snaplock_audit_log`。沒有其他磁碟區可以使用此連接路徑，包括非稽核日誌磁碟區的磁碟區。

 您可以在SnapLock稽核日誌磁碟區的根`/snaplock_log`目錄下找到稽核日誌。特殊權限刪除操作會記錄在 `privdel_log`子目錄中。法務保存開始和結束操作會記錄在 中`/snaplock_log/legal_hold_logs/`。所有其他日誌都存放在 `system_log`子目錄中。

您可以使用 Amazon FSx 主控台、 AWS CLI、Amazon FSx API 以及 CLI 和 REST API ONTAP 建立SnapLock稽核日誌磁碟區。

**注意**  
 資料保護 (DP) 磁碟區無法用作SnapLock稽核日誌磁碟區。

若要使用 Amazon FSx API 開啟SnapLock稽核日誌磁碟區，請在 `AuditLogVolume`中使用 [https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html)。在 Amazon FSx 主控台的**稽核日誌磁碟區**中，選擇**已啟用**。確定 **Junction 路徑**設定為 `/snaplock_audit_log`。

## 存取SnapLock磁碟區中的資料
<a name="accessing-snaplock-data"></a>

您可以使用 NFS 和 SMB 等開啟的檔案通訊協定來存取SnapLock磁碟區中的資料。將資料寫入SnapLock磁碟區或讀取受 WORM 保護的資料不會影響效能。

您可以使用 NFS 和 SMB 跨SnapLock磁碟區複製檔案，但它們不會在目的地SnapLock磁碟區上保留其 WORM 屬性。您必須將複製的檔案重新遞交至 WORM，以防止其遭到修改或刪除。如需詳細資訊，請參閱[將檔案遞交至 WORM 狀態](worm-state.md)。

您也可以使用 複寫SnapLock資料SnapMirror，但來源和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 （例如，兩者都必須是合規或企業）。

## SnapLock 和 SSD 容量減少操作
<a name="snaplock-ssd-decrease"></a>

在建立SnapLock磁碟區之前，請考慮以下有關 SSD 減少的要點：
+ Amazon FSx 將拒絕 SSD 容量減少包含SnapLock磁碟區之檔案系統的請求。
+ 您無法在 SSD 容量減少操作期間建立SnapLock磁碟區。

這些限制存在，因為 ONTAP會強制執行SnapLock稽核日誌磁碟區的最短保留期間為 6 個月，如果SnapLock磁碟區作為 SSD 減少操作的一部分移動，則可防止在該期間內刪除檔案系統。

如果您需要在具有磁碟SnapLock區的檔案系統上減少 SSD 容量，則需要將資料遷移至 SSD 容量較小的新檔案系統。如需 SSD 容量減少操作的詳細資訊，包括限制和考量事項，請參閱 [更新檔案系統 SSD 儲存體和 IOPS](storage-capacity-and-IOPS.md#increase-primary-storage)。