Penguncian snapshot menyediakan kemampuan Write Once, Read Many (WORM) yang mencegah data dihapus atau dimodifikasi. Saat dikunci, snapshot tidak dapat dihapus oleh siapa pun. Untuk menghapusnya, Anda harus membuka kuncinya terlebih dahulu atau menunggu hingga masa kunci berakhir. Fitur ini melindungi data dari penghapusan tidak disengaja dan aktivitas berbahaya. Snapshot yang dikunci dapat digunakan sebagaimana snapshot biasa.
Konsep inti
Durasi kunci
Anda dapat mengatur durasi kunci antara 1 hingga 36.500 hari. Kunci harus berakhir pada atau sebelum periode retensi snapshot berakhir. Jika diperlukan, Anda dapat terlebih dahulu memperpanjang periode retensi snapshot, lalu mengunci snapshot tersebut. Snapshot akan secara otomatis dibuka kuncinya ketika durasi kunci berakhir.
Periode pendinginan
Periode pendinginan adalah penyangga opsional sebelum kunci snapshot aktif. Durasi periode ini dapat diatur antara 0 hingga 72 jam. Periode pendinginan termasuk dalam total durasi kunci dan tidak boleh melebihi durasi tersebut. Selama periode pendinginan, pengguna dengan izin tertentu dapat membuka kunci snapshot atau memodifikasi pengaturan kunci, termasuk periode pendinginan dan durasi kunci. Setelah periode pendinginan berakhir, snapshot menjadi terkunci. Pada titik tersebut, Anda hanya dapat memperpanjang durasi kunci. Tidak ada pengguna yang dapat menghapus atau membuka kunci snapshot hingga masa kunci berakhir.
Status kunci
compliance-cooloff: Snapshot sedang dalam periode pendinginan. Pengguna dengan izin tertentu dapat membuka kuncinya.
compliance: Kunci aktif. Snapshot tidak dapat dibuka kuncinya atau dihapus. Hanya pengguna dengan izin tertentu yang dapat memperpanjang durasi kunci.
expired: Kunci sebelumnya pada snapshot telah berakhir. Snapshot saat ini tidak terkunci dan dapat dihapus.
Catatan penggunaan
Setelah periode pendinginan berakhir, kunci menjadi aktif. Tidak ada pengguna yang dapat menghapus atau membuka kunci snapshot. Hal ini mencakup skenario berikut:
Penghapusan manual: Tidak ada pengguna, apa pun izinnya, yang dapat menghapus atau membuka kunci snapshot yang terkunci secara manual.
Rilis disk (jika Anda memilih untuk merilis automatic snapshots bersama disk): Snapshot yang terkunci tidak dihapus saat disk dirilis.
Penghapusan custom image: Snapshot terkait yang terkunci tidak dihapus saat custom image dihapus.
Batas automatic snapshot tercapai: Saat automatic snapshot baru dibuat, snapshot yang terkunci dilewati. Sistem menghapus snapshot unlocked tertua. Jika semua automatic snapshot terkunci, automatic snapshot baru tidak dapat dibuat.
Jika akun Anda memiliki pembayaran tertunda, proses standar ECS untuk pembayaran tertunda tetap berlaku. Snapshot yang terkunci masih dapat dihapus jika akun Anda memiliki pembayaran tertunda dalam jangka waktu lama.
Anda dapat menyalin snapshot yang terkunci, tetapi snapshot baru tidak mewarisi atribut kunci tersebut.
Anda dapat mengarsipkan snapshot yang terkunci, tetapi periode retensi untuk lapisan arsip harus lebih besar dari atau sama dengan waktu kedaluwarsa kunci.
Cakupan
Sumber snapshot: Anda tidak dapat mengunci snapshot Cloud Backup atau snapshot yang dibagikan dari akun lain.
Status snapshot: Anda hanya dapat mengunci snapshot yang berada dalam status Available.
Kontrol akses
Hanya pengguna dengan izin tertentu yang dapat memodifikasi, melihat, dan membuka kunci snapshot.
Masuk ke Resource Access Management (RAM) console menggunakan Akun Alibaba Cloud atau RAM user yang memiliki izin administratif (
AliyunRAMFullAccess).Di panel navigasi, pilih . Klik Create Policy. Di tab Script Editor, tambahkan konten kebijakan.
Buat kebijakan kustom untuk operasi berbeda dan berikan izin tersebut kepada pengguna. Ganti
<regionId>,<accountId>, dan<snapshotId>dalam kebijakan dengan nilai aktual Anda.Kunci snapshot atau modifikasi kunci selama periode pendinginan
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:LockSnapshot", "Resource": "acs:ecs:<regionId>:<accountId>:snapshot/<snapshotId>" } ], "Version": "1" }Buka kunci snapshot selama periode pendinginan
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:UnlockSnapshot", "Resource": "acs:ecs:<regionId>:<accountId>:snapshot/<snapshotId>" } ], "Version": "1" }Lihat konfigurasi kunci snapshot
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:DescribeLockedSnapshots", "Resource": "acs:ecs:<regionId>:<accountId>:snapshot/<snapshotId>" } ], "Version": "1" }
Di panel navigasi kiri, pilih . Klik nama login pengguna target untuk membuka halaman detail pengguna. Di tab . Pilih kebijakan yang telah Anda buat, lalu klik Confirm.
Kunci snapshot
Buka halaman ECS console - Snapshots. Di pojok kiri atas, pilih kelompok sumber daya dan wilayah dari resource target.
Di tab Disk Snapshots, temukan snapshot target. Di kolom Actions, pilih
> Lock Snapshot.Di kotak dialog Lock Snapshot, atur parameter. Lalu, centang kotak konfirmasi informasi kunci dan klik OK.
Parameter
Deskripsi
Lock Duration
Nilainya berkisar antara 1 hingga 36.500 hari. Ini mencakup periode pendinginan. Setelah periode pendinginan, kunci menjadi aktif, dan tidak ada pengguna yang dapat menghapus snapshot.
Cooling-off Period
Nilainya berkisar antara 0 hingga 72 jam. Selama periode pendinginan, pengguna dengan izin tertentu dapat membuka kunci atau memodifikasi kunci.
PentingJika Anda mengatur nilai ini ke 0, kunci snapshot langsung berlaku. Tidak ada pengguna yang dapat menghapus atau membuka kunci snapshot hingga masa kunci berakhir.
Kembali ke tab Disk Snapshots. Di kolom Attributes untuk snapshot target, lihat status kunci saat ini.
Lock Cooling-off Period: Snapshot sedang dalam periode pendinginan kunci. Arahkan kursor ke status ini untuk melihat waktu efektif dan waktu kedaluwarsa kunci.
Locked: Kunci sedang aktif. Arahkan kursor ke status ini untuk melihat waktu kedaluwarsa kunci.
Buka kunci snapshot
Anda hanya dapat membuka kunci snapshot selama periode pendinginan. Anda tidak dapat membuka kunci snapshot setelah masuk ke status Locked.
Buka halaman ECS console - Snapshots. Di pojok kiri atas, pilih kelompok sumber daya dan wilayah untuk resource target.
Di tab Disk Snapshots, temukan snapshot target. Di kolom Actions, pilih
> Unlock Snapshot.Di kotak dialog Unlock Snapshot, verifikasi informasi snapshot, lalu klik OK.
PentingSetelah snapshot dibuka kuncinya, snapshot tersebut tidak lagi dilindungi oleh kunci dan dapat dihapus secara tidak sengaja. Evaluasi risiko sebelum melanjutkan.
Kunci Modifikasi
Selama periode pendinginan
Anda dapat memodifikasi kunci dengan mengatur ulang konfigurasi kunci.
Buka halaman ECS console - Snapshots. Di pojok kiri atas, pilih kelompok sumber daya dan wilayah untuk resource target.
Di tab Disk Snapshots, temukan snapshot target. Di kolom Actions, pilih
> Modify Lock.Di kotak dialog Modify Lock, atur parameter. Lalu, centang kotak konfirmasi informasi kunci dan klik OK.
Waktu kedaluwarsa kunci dan periode pendinginan dihitung ulang berdasarkan pengaturan baru dan waktu saat ini.
Selama periode kunci
Selama periode kunci, Anda hanya dapat memperpanjang durasi kunci.
Buka halaman ECS console - Snapshots. Di pojok kiri atas, pilih kelompok sumber daya dan wilayah untuk resource target.
Di tab Disk Snapshots, temukan snapshot target. Di kolom Actions, pilih
> Modify Lock.Di kotak dialog Modify Lock, atur ulang kunci. Lalu, centang kotak konfirmasi informasi kunci dan klik OK.
Waktu kedaluwarsa kunci dihitung ulang berdasarkan durasi kunci yang ditentukan dan waktu saat ini.
Referensi
Panggil operasi API LockSnapshot untuk mengunci snapshot atau memodifikasi kunci selama periode pendinginan.
Panggil operasi API UnlockSnapshot untuk membuka kunci snapshot selama periode pendinginan.
Panggil operasi API DescribeLockedSnapshots untuk melihat konfigurasi kunci snapshot.