Halaman ini menunjukkan cara membuat bucket WORM penyimpanan air-gapped Google Distributed Cloud (GDC).
Sebelum memulai
Namespace project mengelola resource bucket di server Management API. Anda harus memiliki project untuk menggunakan bucket dan objek.
Anda juga harus memiliki izin bucket yang sesuai untuk melakukan operasi berikut. Lihat Memberikan akses bucket.
Membuat bucket WORM
Bucket WORM memastikan bahwa tidak ada yang menimpa objek dan objek tersebut dipertahankan selama jangka waktu minimum. Logging audit adalah contoh kasus penggunaan untuk bucket WORM.
Lakukan langkah-langkah berikut untuk membuat bucket WORM:
Tetapkan periode retensi saat membuat bucket. Misalnya, bucket contoh berikut memiliki periode retensi 365 hari.
apiVersion: object.gdc.goog/v1 kind: Bucket metadata: name: foo logging-bucket namespace: foo-service spec: description: "Audit logs for foo" storageClass: Standard bucketPolicy: lockingPolicy: defaultObjectRetentionDays: 365Berikan peran
project-bucket-object-viewerkepada semua pengguna yang memerlukan akses baca-saja:apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-readonly-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-log-processor - kind: User name: bob@example.com apiGroup: rbac.authorization.k8s.ioBerikan peran
project-bucket-object-adminkepada pengguna yang perlu menulis konten ke bucket:apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: foo-service name: object-write-access roleRef: kind: Role name: project-bucket-object-viewer apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceAccount namespace: foo-service name: foo-service-account