Les stockages immutables de blob

Le stockage immutable de blob permet d’enregistrer des données dans un état dit WORM, c’est à dire non réinscriptibles.

Les données sont alors non effaçables et immutables pour une durée spécifiée durant laquelle il est possible de les lire ou d’en créer de nouvelles, mais pas les altérer ou les supprimer.

Ce mécanisme peut être important à utiliser pour des raisons réglementaires ou légales par exemple.

Préparons l’environnement

C’est très simple, nous avons besoin d’un compte de stockage Azure et d’un conteneur BLOB. On devra également choisir accès Private (pas anonyme).

Démo

En pratique il s’agit d’une Access Policy appliquée au niveau du conteneur, par conséquent, la première chose à faire est de se rendre dans le panneau du conteneur et cliquer sur le menu Access Policy:

On peut déclarer deux types de policy:

  1. Une stratégie d’accès aux données
    Elle apporte un niveau de contrôle supplémentaire aux signature d’accès partagées (SAP). C’est également un moyen de révoquer un jeton
  2. Stockage immutable de blob
    C’est le sujet de cet article

Lorsque l’on clique sur ADD POLICY une popin s’ouvre:

Le champ important est Policy Type car il détermine les propriétés de la policy. On dispose de deux options:

  1. Legal Hold
    Durée de rétention non connue. On souhaite pouvoir lever le verrou à tout moment.
  2. Time-based Retention
    Durée de rétention connue. On peut supprimer (sous certaines conditions) le verrou sans attendre la date de fin de rétention

Nous allons tester les deux. 

Notez tout de suite qu’elles peuvent se cumuler.

Legal Hold

Legal Hold (ou conservation Juridique) est une conservation temporaire associée à une ou plusieurs balise. Elle est typiquement utilisées pour des conservations judiciaires comme le nom le suggère.

La popin associée, nous l’avons déjà vue:

On saisit dans le champ TAG les noms des tags que l’on souhaite apposer aux documents. Aucun nom n’est demandé car on ne peut créer qu’une seule policy de chaque type.

 

Il suffit de faire OK pour l’enregistrer.

IMPORTANT: On clique ensuite sur SAVE en haut à gauche de l’écran.

Il ne reste plus qu’à tester. Pour cela je charge un document dans le conteneur, puis je tente de le supprimer. La suppression échoue et ce petit message s’affiche:

Le document est protégé.

Contrairement à l’autre option que nous verrons plus loin, on peut supprimer un document protégé à tout moment. Pour rendre le document à nouveau supprimable il suffit d’éditer la stratégie et supprimer les tags. On Edite la stratégie en cliquant sur le menu 3 petits point à sa droite.

Et vous vérifierez que la suppression devient possible. On remarquera que la Policy a également disparue.

Time-based Retention

Cette fois la popin est un peu différente:

On choisit une durée de rétention sur 400 jours. Disons 1 par exemple.

La suite est identique à ce que nous avons vu précédemment en ce qui concerne le comportement lors de la suppression du document.

Ouvrons le menu à points, il est différent:

Nous avons toujours le menu EDIT qui permet d’éditer jusqu’à 5 fois la Policy. Le menu AUDIT donne l’historique des modifications de la Policy. Deux menus vont nous intéresser:

  1. DELETE
  2. LOCK POLICY

DELETE supprime la policy ce qui a pour effet de rendre immédiatement supprimable le document.

Le menu LOCK apporte une sécurité supplémentaire:

 

Une fois activé, nous n’avons plus d’autres choix que d’attendre la fin de la période de rétention pour supprimer le document.

ATTENTION: tant qu’un document est verrouillé, il n’est plus possible de supprimer le conteneur ou le compte de stockage. Donc soyez prudents avec vos tests!!!

Bibliographie

Cet article a été publié dans Azure. Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s