Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

プロジェクトのストレージバケットを作成する

このページでは、Google Distributed Cloud（GDC）エアギャップストレージバケットを作成する方法について説明します。

始める前に

プロジェクト名前空間は、Management API サーバーのバケットリソースを管理します。バケットとオブジェクトを操作するには、プロジェクトが必要です。

次の操作を行うには、適切なバケット権限も必要です。バケットへのアクセス権を付与するをご覧ください。

ストレージバケットの命名ガイドライン

バケット名は次の命名規則に準拠する必要があります。

プロジェクト内で一意であること。Management API サーバーは、バケットの完全修飾名に一意の接頭辞を付加して、組織内で競合が発生しないようにします。組織間で接頭辞とバケット名が競合する可能性は低いですが、その場合は「bucket name in use」エラーでバケットの作成が失敗します。
個人を特定できる情報（PII）を含めないでください。
DNS に準拠していること。
1 文字以上 55 文字以下であること。
先頭は文字で、文字、数字、ハイフンのみを使用すること。

バケットの作成

コンソール

ナビゲーションメニューで [オブジェクトストレージ] をクリックします。
プロジェクトセレクタで、バケットを作成するプロジェクトを選択します。
[バケットを作成] をクリックします。
バケット作成フローで、プロジェクト内のすべてのバケットで一意の名前を割り当てます。
内容を入力してください。
省略可: toggle_off 切り替えをクリックして保持ポリシーを設定し、希望する日数を入力します。保持ポリシーの上限を超える必要がある場合は、IO にお問い合わせください。
[作成] をクリックします。成功メッセージが表示され、[バケット] ページに戻ります。

新しいバケットが正常に作成されたことを確認するには、数分後に [バケット] ページを更新し、バケットの状態が Not ready から Ready に更新されていることを確認します。

CLI

バケットを作成するには、バケット仕様をプロジェクト名前空間に適用します。

kubectl apply -f bucket.yaml

バケット仕様の例を次に示します。

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

暗号化バージョンが v1 のバケット仕様の例を次に示します。

apiVersion: object.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: NAMESPACE_NAME
  labels:
    object.gdc.goog/encryption-version: v1
spec:
  description: DESCRIPTION
  storageClass: Standard
  bucketPolicy:
    lockingPolicy:
      defaultObjectRetentionDays: RETENTION_DAY_COUNT

詳細については、バケット API リファレンスをご覧ください。

org-admin グローバル API のデュアルゾーンバケットの例を次に示します。

apiVersion: object.global.gdc.goog/v1
kind: Bucket
metadata:
  name: BUCKET_NAME
  namespace: PROJECT_NAME
spec:
  location: LOCATION_NAME
  description: Sample DZ Bucket
  storageClass: Standard

デュアルゾーンバケットでは V2 暗号化のみがサポートされており、デュアルゾーンバケットリソースの作成、更新、削除のすべてのオペレーションはグローバル API サーバーに対して実行する必要があります。

gdcloud

gdcloud でバケットを作成するには、gdcloud storage buckets create をご覧ください。

バケットと関連リソースの作成を確認する

バケットが作成されたら、次のコマンドを実行してバケットの詳細を確認できます。

kubectl describe buckets BUCKET_NAME -n PROJECT_NAMESPACE

[ステータス] セクションには、[暗号化]（暗号化の詳細）と [完全修飾名]（FULLY_QUALIFIED_BUCKET_NAME を含む）の 2 つの重要なフィールドがあります。

暗号化 v1

この情報は、obj-FULLY_QUALIFIED_BUCKET_NAME という名前の AEADKey に関するものです。これは、バケットに保存されているオブジェクトの暗号化に使用される暗号鍵への参照として機能します。以下に例を示します。

Status:
  Encryption:
    Key Ref:
      Kind: AEADKey
      Name: obj-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: PROJECT_NAMESPACE
    Type: CMEK

暗号化 v2

この情報は、kek-ref-FULLY_QUALIFIED_BUCKET_NAME という名前の Secret に関連しています。これは、アクティブなデフォルトの AEADKey の参照として機能します。特定の AEADKey が指定されていない場合、アクティブなデフォルトの AEADKey はランダムに選択され、バケットにアップロードされたオブジェクトを暗号化します。

以下に例を示します。

Status:
  Encryption:
    Key Ref:
      Kind: Secret
      Name: kek-ref-FULLY_QUALIFIED_BUCKET_NAME
      Namespace: PROJECT_NAMESPACE
    Type: CMEK

次のコマンドを実行して、必要な AEADKey が作成されていることを確認することもできます。

kubectl get aeadkeys -n PROJECT_NAMESPACE -l  cmek.security.gdc.goog/resource-name=FULLY_QUALIFIED_BUCKET_NAME