스토리지 WORM 버킷 만들기

이 페이지에서는 Google Distributed Cloud (GDC) 에어 갭 어플라이언스 환경에서 Write Once Read Many (WORM) 스토리지 버킷을 만드는 방법을 안내합니다. 여기에서는 정의된 보관 기간이 있는 WORM 버킷을 만들고 역할 바인딩을 사용하여 액세스 권한을 부여하기 위한 기본 요건과 단계를 설명합니다. 이 정보를 사용하면 엄격한 데이터 보관 관행과 불변성을 적용하여 감사 로깅과 같은 기록 및 사용 사례에 대해 강력하고 규정을 준수하는 데이터 스토리지를 제공할 수 있습니다.

이 페이지는 GDC 오프라인 환경에서 스토리지 버킷의 데이터 보관 및 규정 준수 설정을 관리하는 인프라 운영자 그룹의 IT 관리자 또는 애플리케이션 운영자 그룹의 개발자와 같은 사용자를 대상으로 합니다.

시작하기 전에

프로젝트 네임스페이스는 관리 API 서버에서 버킷 리소스를 관리합니다. 버킷 및 객체를 사용하려면 프로젝트가 있어야 합니다.

다음 작업을 수행하려면 적절한 버킷 권한도 있어야 합니다. 버킷 액세스 권한 부여를 참고하세요.

WORM 버킷 만들기

WORM 버킷은 다른 항목이 객체를 덮어쓰지 않도록 하고 최소 기간 동안 객체를 보관합니다. 감사 로깅은 WORM 버킷의 사용 사례입니다.

WORM 버킷을 만들려면 다음 단계를 따르세요.

1. 버킷을 만들 때 보관 기간을 설정합니다. 예를 들어 다음 예시 버킷의 보관 기간은 365일입니다.

   apiVersion: object.gdc.goog/v1
   kind: Bucket
   metadata:
     name: foo logging-bucket
     namespace: foo-service
   spec:
     description: "Audit logs for foo"
     storageClass: Standard
     bucketPolicy :
       lockingPolicy :
         defaultObjectRetentionDays: 365
   

2. 읽기 전용 액세스 권한이 필요한 모든 사용자에게 project-bucket-object-viewer 역할을 부여합니다.

   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
     namespace: foo-service
     name: object-readonly-access
   roleRef:
     kind: Role
     name: project-bucket-object-viewer
     apiGroup: rbac.authorization.k8s.io
   subjects:
   - kind: ServiceAccount
     namespace: foo-service
     name: foo-log-processor
   - kind: User
     name: bob@example.com
     apiGroup: rbac.authorization.k8s.io
   

3. 버킷에 콘텐츠를 작성해야 하는 사용자에게 project-bucket-object-admin 역할을 부여합니다.

   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
     namespace: foo-service
     name: object-write-access
   roleRef:
     kind: Role
     name: project-bucket-object-viewer
     apiGroup: rbac.authorization.k8s.io
   subjects:
   - kind: ServiceAccount
     namespace: foo-service
     name: foo-service-account