이 페이지에서는 Google Distributed Cloud (GDC) 오프라인 환경에서 Write Once Read Many (WORM) 스토리지 버킷을 만드는 방법을 안내합니다. 여기에서는 정의된 보관 기간이 있는 WORM 버킷을 만들고 역할 바인딩을 사용하여 액세스 권한을 부여하기 위한 기본 요건과 단계를 설명합니다. 이 정보를 사용하면 엄격한 데이터 보관 관행과 불변성을 적용하여 감사 로깅과 같은 기록 및 사용 사례에 대해 강력하고 규정을 준수하는 데이터 스토리지를 제공할 수 있습니다.
이 페이지는 GDC 오프라인 환경에서 스토리지 버킷의 데이터 보관 및 규정 준수 설정을 관리하는 인프라 운영자 그룹의 IT 관리자 또는 애플리케이션 운영자 그룹의 개발자와 같은 사용자를 대상으로 합니다. 자세한 내용은 GDC 오프라인 문서 대상을 참고하세요.
시작하기 전에
프로젝트 네임스페이스는 관리 API 서버에서 버킷 리소스를 관리합니다. 버킷 및 객체로 작업하려면 프로젝트가 있어야 합니다.
다음 작업을 수행하려면 적절한 버킷 권한도 있어야 합니다. 버킷 액세스 권한 부여를 참고하세요.
WORM 버킷 만들기
WORM 버킷은 다른 항목이 객체를 덮어쓰지 않도록 하고 최소 기간 동안 객체를 보관합니다. 감사 로깅은 WORM 버킷의 사용 사례입니다.
WORM 버킷을 만들려면 다음 단계를 따르세요.
버킷을 만들 때 보관 기간을 설정합니다. 예를 들어 다음 예시 버킷의 보관 기간은 365일입니다.
apiVersion: object.gdc.goog/v1 kind: Bucket metadata: name: foo logging-bucket namespace: foo-service spec: description: "Audit logs for foo" storageClass: Standard bucketPolicy: lockingPolicy: defaultObjectRetentionDays: 365읽기 전용 액세스 권한이 필요한 모든 사용자에게
project-bucket-object-viewer역할을 부여합니다.apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-readonly-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-log-processor - kind: User name: bob@example.com apiGroup: rbac.authorization.k8s.io버킷에 콘텐츠를 작성해야 하는 사용자에게
project-bucket-object-admin역할을 부여합니다.apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-write-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-service-account