AzureにImmutable Storageがパブリックプレビューとして登場したので、対応規制とAWSとGCPの対応状況を調べてみた

いわさです。

AzureのBlob Storage にて、"immutable storage"という機能がパブリックプレビューで利用できるようになったため、少し触りまして、ユースケースを確認しました。
また、他のパブリッククラウドでの対応状況もあわせて整理したのでまとめてみました。

本機能はパブリックプレビューです

使ってみる

まず、この機能はリージョンがカナダかフランスの場合のみ使えます。
厳密に言うと、以下の４リージョンが対象です。

• Canada Central
• Canada East
• France Central
• France South

今回はCanada Centralにて作成しました。

本機能を利用する前提として、ストレージアカウントのバージョン管理を有効にしておく必要があります。

リージョンを特定リージョンにすることと、バージョン管理を有効にする以外は設定は不要です。

ポリシー設定は新規コンテナー作成時に指定するか、既存コンテナーのアクセスポリシー変更から指定することが可能なようです。
ただし、本来であれば、新規コンテナー作成時にポリシーの設定が可能なように見受けられたのですが、出来ませんでした。

どうして...

しかし、コンテナ作成後のアクセスポリシーからは変更が出来ましたので、本日はこちらで設定していきましょう。

訴訟ホールドと、時間ベースの保持を設定しました。
そして、ファイルをアップロードします。

アップロードしたファイルに対して上書きアップロードと削除をやってみます。

上書きも削除も出来ないことが確認出来ました。

ユースケース

先程試したとおり、WORM（Write Once、Read Many）状態で保存を行い、指定した期間、データの変更または削除が出来ない状態になります。

これは海外の法的コンプライアンスに対応するために用意された機能のようです。

具体的には以下の米国の記録保持規制に準拠する必要がある際に役立ちます。

• SEC Rule 17a-4(f)
• CFTC Rule 1.31(c)-(d)
• FINRA Rule 4511(c)

また、訴訟ホールドが発生した際にも、ストレージをロックさせるために役立ちます。

他社パブリッククラウドの対応状況

実は他社パブリッククラウドのストレージシステムでも類似の機能が既に存在していますので併せて紹介したいと思います。

AWS

AmazonS3には「オブジェクトロック機能」があります。

GCP

Google Cloud Storageには「バケットロック機能」があります。

仕様は上記リンク先のとおりですが、どちらもAzureと同様に WORM（Write Once、Read Many） です。

まとめ

これらは、米国の金融業界などで関連してきますが国内のシステムではあまり馴染みがないかもしれません。
海外の要件としてこういった規制に準拠する必要があるという点と、マルチクラウドで対応が進んでいるという点だけでも覚えておくと良いと思いました。

参考

• Configure immutability policies for blob versions (preview) - Azure Storage | Microsoft Docs