本頁面將逐步說明如何在 Google Distributed Cloud (GDC) 氣隙裝置環境中,建立一次寫入多次讀取 (WORM) 儲存空間值區。本文將說明建立具有定義保留期限的 WORM bucket,以及使用角色繫結授予存取權限的先決條件和步驟。這項資訊可協助您強制執行嚴格的資料保留做法和不可變更性,為記錄和稽核記錄等用途提供符合規範的強大資料儲存空間。
本頁面適用於基礎架構營運商群組的 IT 管理員,或應用程式營運商群組的開發人員,他們負責管理 GDC 氣隙環境中儲存空間的資料保留和法規遵循設定。
事前準備
專案命名空間可管理 Management API 伺服器中的 bucket 資源。您必須擁有專案,才能使用值區和物件。
您也必須具備適當的 bucket 權限,才能執行下列作業。請參閱「授予 bucket 存取權」。
建立 WORM 值區
WORM 值區可確保物件不會遭到覆寫,並保留至少一段時間。稽核記錄是 WORM 值區的用途範例。
如要建立 WORM 值區,請按照下列步驟操作:
建立 bucket 時,請設定保留期限。舉例來說,下列範例 bucket 的保留期限為 365 天。
apiVersion: object.gdc.goog/v1 kind: Bucket metadata: name: foo logging-bucket namespace: foo-service spec: description: "Audit logs for foo" storageClass: Standard bucketPolicy : lockingPolicy : defaultObjectRetentionDays: 365將「
project-bucket-object-viewer」角色授予所有需要唯讀存取權的使用者:apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-readonly-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-log-processor - kind: User name: bob@example.com apiGroup: rbac.authorization.k8s.io將
project-bucket-object-admin角色授予需要將內容寫入值區的使用者:apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-write-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-service-account