Membuat bucket WORM penyimpanan

Halaman ini memandu Anda cara membuat bucket penyimpanan Write Once Read Many (WORM) di lingkungan appliance yang terisolasi dari internet Google Distributed Cloud (GDC). Bagian ini mencakup prasyarat dan langkah-langkah untuk membuat bucket WORM dengan periode retensi yang ditentukan, dan untuk memberikan izin akses menggunakan binding peran. Informasi ini memungkinkan Anda menerapkan praktik retensi data dan keabadian yang ketat, sehingga memberikan penyimpanan data yang kuat dan sesuai untuk catatan dan kasus penggunaan seperti logging audit.

Halaman ini ditujukan untuk audiens seperti administrator IT dalam grup operator infrastruktur atau developer dalam grup operator aplikasi yang mengelola setelan retensi dan kepatuhan data untuk bucket penyimpanan di lingkungan yang terisolasi dari internet GDC.

Sebelum memulai

Namespace project mengelola resource bucket di server Management API. Anda harus memiliki project untuk bekerja dengan bucket dan objek.

Anda juga harus memiliki izin bucket yang sesuai untuk melakukan operasi berikut. Lihat Memberikan akses bucket.

Membuat bucket WORM

Bucket WORM memastikan bahwa tidak ada yang menimpa objek dan objek tersebut dipertahankan selama jangka waktu minimum. Logging audit adalah contoh kasus penggunaan untuk bucket WORM.

Lakukan langkah-langkah berikut untuk membuat bucket WORM:

1. Tetapkan periode retensi saat membuat bucket. Misalnya, bucket contoh berikut memiliki periode retensi 365 hari.

   apiVersion: object.gdc.goog/v1
   kind: Bucket
   metadata:
     name: foo logging-bucket
     namespace: foo-service
   spec:
     description: "Audit logs for foo"
     storageClass: Standard
     bucketPolicy :
       lockingPolicy :
         defaultObjectRetentionDays: 365
   

2. Berikan peran project-bucket-object-viewer kepada semua pengguna yang memerlukan akses baca-saja:

   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
     namespace: foo-service
     name: object-readonly-access
   roleRef:
     kind: Role
     name: project-bucket-object-viewer
     apiGroup: rbac.authorization.k8s.io
   subjects:
   - kind: ServiceAccount
     namespace: foo-service
     name: foo-log-processor
   - kind: User
     name: bob@example.com
     apiGroup: rbac.authorization.k8s.io
   

3. Berikan peran project-bucket-object-admin kepada pengguna yang perlu menulis konten ke bucket:

   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
     namespace: foo-service
     name: object-write-access
   roleRef:
     kind: Role
     name: project-bucket-object-viewer
     apiGroup: rbac.authorization.k8s.io
   subjects:
   - kind: ServiceAccount
     namespace: foo-service
     name: foo-service-account