All Products
Search

This Product

    Object Storage Service:Replikasi cross-account cross-region

    Document Center

    Object Storage Service:Replikasi cross-account cross-region

    Last Updated:Jun 09, 2026

    Replikasi lintas wilayah (CRR) menyalin objek secara otomatis dan asinkron dari bucket sumber ke bucket tujuan di wilayah berbeda di bawah Akun Alibaba Cloud lain. Anda dapat menggunakan CRR lintas akun untuk pemulihan bencana, membuat backup terisolasi, atau memenuhi persyaratan kepatuhan residensi data.

    Konfigurasi replikasi lintas akun melibatkan tindakan dari akun sumber dan akun tujuan serta mencakup tiga langkah:

    1. Akun sumber: Buat peran RAM untuk replikasi data dan berikan hak istimewa minimal yang diperlukan untuk membaca data dari bucket sumber.

    2. Akun tujuan: Ubah Bucket Policy bucket tujuan untuk memberikan izin tulis kepada peran RAM akun sumber.

    3. Akun sumber: Kembali ke akun sumber untuk membuat aturan replikasi lintas wilayah (CRR) yang menghubungkan bucket sumber dan bucket tujuan serta memulai tugas replikasi.

    Langkah 1: Buat dan otorisasi peran RAM

    1. Buat peran RAM. Buka halaman Create Role. Atur Principal Type ke Cloud Service dan Principal Name ke OSS.

    2. Berikan izin peran RAM untuk mengakses bucket sumber: Buat kebijakan kustom yang hanya mencakup izin yang diperlukan untuk membaca data dari bucket sumber guna replikasi.

      1. Pada halaman Create Policy, klik tab JSON Editor. Tempel kebijakan berikut ke editor kebijakan dan ganti src-bucket dengan nama bucket sumber Anda.

        {
   "Version": "1",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "oss:ReplicateList",
            "oss:ReplicateGet"
         ],
         "Resource": [
            "acs:oss:*:*:src-bucket",
            "acs:oss:*:*:src-bucket/*"
         ]
      }
   ]
}

      2. Setelah membuat kebijakan, buka halaman Roles, temukan peran yang baru saja Anda buat, lalu klik Grant Permission. Pada panel yang muncul, pihak yang berwenang (principal) akan diisi secara otomatis. Untuk kebijakan, pilih kebijakan kustom yang Anda buat pada langkah sebelumnya, lalu klik Confirm Grant.

    3. (Opsional) Berikan izin peran RAM untuk mengakses Key Management Service (KMS). Jika Anda menggunakan KMS untuk mengenkripsi data yang direplikasi di bucket tujuan, berikan akses peran RAM ke KMS.

      Pada halaman Roles, temukan peran yang baru saja Anda buat dan klik Grant Permission. Pada panel yang muncul, pihak yang berwenang (principal) akan diisi secara otomatis. Untuk Policy, pilih AliyunKMSCryptoUserAccess, lalu klik Confirm Grant.

    4. Catat ARN peran tersebut. Pada halaman Roles, temukan peran RAM yang Anda buat, buka halaman Basic Information-nya, lalu salin ARN peran tersebut. Format ARN adalah acs:ram::{source-account-uid}:role/{role-name}.

    Langkah 2: Otorisasi peran RAM dan siapkan sumber daya

    1. Otorisasi peran RAM untuk menulis data ke bucket tujuan: Di akun tujuan, ubah Bucket Policy bucket tujuan untuk memberikan akses tulis kepada peran RAM dari akun sumber.

      1. Login ke akun tujuan dan buka halaman Buckets. Klik bucket tujuan.

      2. Pada panel navigasi kiri, pilih Access Control > Bucket Policy.

      3. Klik tab Add in GUI, lalu klik Receive Objects to Replicate.

      4. Pada panel yang muncul, konfigurasikan parameter berikut:

        • Obtain UID and RAM Role From: Pilih Source RAM role ARN for replication.

        • Source RAM Role ARN for Replication: Masukkan ARN peran RAM dari akun sumber yang telah Anda catat di Langkah 1.

        • Purpose: Pilih Cross-account replication.

      5. Klik Generate Policy, lalu klik Save.

    2. (Opsional) Siapkan kunci KMS di akun tujuan: Untuk mereplikasi objek yang dienkripsi KMS, Anda harus terlebih dahulu membuat kunci KMS di akun tujuan.

      1. Login ke konsol KMS dan buka halaman Instance Management. Di wilayah yang sama dengan bucket sumber, beli dan aktifkan instans KMS. Saat membeli instans KMS, pastikan Access Management Quantity lebih besar dari atau sama dengan 2. Pertahankan pengaturan default untuk parameter lainnya.

        Catatan

        Replikasi lintas akun objek yang dienkripsi KMS bergantung pada KMS. Wilayah yang mendukung fitur ini dibatasi oleh ketersediaan KMS. Untuk informasi lebih lanjut tentang wilayah yang mendukung KMS, lihat Wilayah dan titik akhir yang didukung untuk manajemen kunci perangkat lunak.

      2. Di bawah instans KMS, buat kunci perangkat lunak. Jenis kunci harus berupa kunci non-default (disarankan kunci perangkat lunak). Setelah kunci dibuat, catat ARN kunci dari bagian Basic Information untuk digunakan saat membuat aturan replikasi.

      3. Tetapkan kebijakan kunci untuk kunci yang Anda buat. Saat mengonfigurasi kebijakan, untuk Cross-account User, tentukan ARN peran RAM yang dibuat oleh akun sumber, yaitu ARN peran dari langkah-langkah sebelumnya. Untuk informasi lebih lanjut, lihat Tetapkan kebijakan kunci.

        Secara default, operasi ini memberikan peran izin yang diperlukan, seperti dekripsi (kms:Decrypt) dan pembuatan kunci data (kms:GenerateDataKey), sehingga memungkinkannya menggunakan kunci ini untuk membuat objek terenkripsi di bucket tujuan. Meskipun wizard konsol biasanya menyertakan izin yang diperlukan, jika Anda menetapkan kebijakan kunci kustom menggunakan API, Anda harus memastikan secara manual bahwa izin-izin tersebut ditambahkan dengan benar.

    Langkah 3: Buat aturan replikasi lintas wilayah

    Setelah memberikan izin yang diperlukan, kembali ke konsol akun sumber untuk membuat aturan replikasi dan memulai tugas.

    1. Login ke akun sumber dan buka halaman Buckets. Klik bucket sumber.

    2. Pada panel navigasi kiri, pilih Data Management > Cross-Region Replication.

    3. Klik Cross-Region Replication. Pada kotak dialog yang muncul, konfigurasikan parameter berikut:

      1. Configure Destination Bucket: Pilih Specify a bucket that belongs to another Alibaba Cloud account, pilih wilayah tempat bucket tujuan berada, lalu masukkan namanya.

        • Objects to Replicate: Pilih Synchronize all files atau Objects with Specified Prefix. Objek di bucket sumber yang memiliki awalan tertentu akan direplikasi ke bucket tujuan. Secara default, Anda dapat menambahkan hingga 10 awalan. Untuk meningkatkan batas ini menjadi 100, hubungi .

        • Object Tagging:

          Catatan

          Untuk mengonfigurasi parameter ini, Anda harus memenuhi kondisi berikut:

          • Anda telah mengonfigurasi tag objek.

          • Kotak centang Replicate delete markers dan Replicate permanent deletions of specific versions tidak dipilih.

          Pilih kotak centang Configure Rules untuk mereplikasi objek dengan tag tertentu ke bucket tujuan. Anda dapat menambahkan hingga 10 tag (pasangan kunci-nilai). Setelah menambahkan tag, Anda dapat memilih salah satu kebijakan filter berikut:

          • Include all tags: OSS mereplikasi objek hanya jika semua tag-nya sesuai dengan tag yang ditentukan dalam aturan filter.

          • Include any one tag: OSS mereplikasi objek jika setidaknya satu tag-nya sesuai dengan tag yang ditentukan dalam aturan filter.

        • Replicate KMS Encrypted Objects: Jika objek sumber dienkripsi dengan KMS dan Anda ingin objek tersebut tetap terenkripsi di tujuan, pilih Replicate dan berikan ARN kunci KMS di akun tujuan yang telah Anda siapkan di Langkah 2. Jika Anda memilih Do not replicate, objek yang dienkripsi KMS tidak akan direplikasi ke bucket tujuan.

          Catatan

          Anda dapat mengecek status enkripsi objek sumber dan bucket tujuan dengan memanggil operasi HeadObject dan GetBucketEncryption, masing-masing.

        • RAM Role: Dari daftar drop-down, pilih peran RAM yang dibuat di akun sumber pada Langkah 1.

      2. Configure Replication Policy:

        • Replicate Delete Operations (Opsi ini muncul ketika Pengendalian versi dinonaktifkan untuk bucket sumber): Pilih apakah akan menyinkronkan operasi penghapusan objek di bucket sumber ke bucket tujuan.

          • Yes: Menyinkronkan operasi pembuatan, modifikasi, dan penghapusan agar bucket tujuan konsisten dengan bucket sumber. Opsi ini cocok untuk lingkungan multi-pengguna atau aplikasi yang perlu berbagi dan mengakses dataset yang sama. Namun, dengan kebijakan ini, ketika objek di bucket sumber dihapus secara manual atau otomatis oleh aturan siklus hidup, objek yang sesuai di bucket tujuan juga akan dihapus dan tidak dapat dipulihkan.

          • No: Menyinkronkan objek baru dan yang dimodifikasi. Penghapusan objek di bucket sumber tidak memengaruhi bucket tujuan. Dalam skenario pemulihan bencana, pilih No untuk mencegah penghapusan tidak disengaja di bucket sumber direplikasi ke bucket backup, sehingga meningkatkan keamanan data.

        • Replicate Historical Data: Pilih apakah akan mereplikasi data yang sudah ada di bucket sumber sebelum aturan diterapkan. Operasi ini akan menimpa objek yang memiliki nama sama di bucket tujuan. Untuk mencegah kehilangan data, kami sarankan Anda mengaktifkan Pengendalian versi untuk kedua bucket, baik sumber maupun tujuan.

        • Replicate delete markers (Opsi ini muncul ketika Pengendalian versi diaktifkan untuk bucket sumber): Pilih apakah akan mereplikasi penanda hapus dari bucket sumber ke bucket tujuan.

          • Replicate: Ketika objek dihapus dari bucket sumber tanpa menentukan ID versi, OSS menyinkronkan penanda hapus dari bucket sumber ke bucket tujuan. Ini cocok untuk skenario yang memerlukan berbagi dan akses dataset yang sama guna memastikan konsistensi data antara bucket sumber dan tujuan.

            Penting

            Jika Anda mengonfigurasi kebijakan ini, ketika objek di bucket sumber dihapus secara manual atau otomatis oleh aturan siklus hidup, penanda hapus juga akan disinkronkan ke bucket tujuan, sehingga data menjadi tidak dapat diakses di bucket tujuan.

          • Do not replicate (direkomendasikan untuk skenario pemulihan bencana): Penanda hapus yang dibuat di bucket sumber tidak direplikasi ke bucket tujuan. Hal ini secara efektif mencegah kehilangan data di bucket tujuan akibat penghapusan tidak disengaja atau penghapusan otomatis oleh aturan siklus hidup di bucket sumber.

        • Replicate permanent deletions of specific versions (Opsi ini muncul ketika Pengendalian versi diaktifkan untuk bucket sumber): Pilih apakah akan mereplikasi penghapusan permanen versi objek tertentu dari bucket sumber ke bucket tujuan.

          • Replicate: Ketika Anda menghapus permanen versi tertentu dari objek sumber, termasuk versi saat ini dan versi non-saat ini, OSS juga akan menghapus permanen versi yang sesuai di bucket tujuan. Ini cocok untuk skenario yang memerlukan konsistensi data lengkap antara bucket sumber dan tujuan.

            Penting

            Jika Anda mengonfigurasi kebijakan ini, versi objek yang dihapus permanen dari bucket sumber tidak dapat dipulihkan di bucket tujuan. Gunakan opsi ini dengan hati-hati.

          • Do not replicate (direkomendasikan untuk skenario pemulihan bencana): Menghapus permanen versi tertentu dari objek sumber tidak menyinkronkan penghapusan versi yang sesuai di bucket tujuan. Hal ini mencegah operasi penghapusan permanen di bucket sumber memengaruhi keamanan data di bucket tujuan.

      3. (Opsional) Configure Replication Acceleration:

        • Transfer Acceleration: Jika tugas replikasi melibatkan wilayah baik di dalam maupun di luar Tiongkok daratan, Anda dapat mengaktifkan fitur ini untuk meningkatkan kecepatan transfer data. Fitur ini dikenai biaya tambahan Transfer Acceleration.

        • Replication Time Control (RTC): Saat diaktifkan, RTC menjaga latensi replikasi untuk sebagian besar data inkremental dalam waktu kurang dari 10 menit. Fitur ini hanya didukung antar wilayah tertentu dan dikenai biaya tambahan biaya RTC replikasi lintas wilayah. Untuk informasi lebih lanjut, lihat Ikhtisar RTC.

    Catatan

    Aturan CRR tidak dapat diubah atau dihapus setelah dibuat. Periksa kembali semua konfigurasi sebelum Anda mengklik OK. Untuk menghentikan replikasi, Anda dapat menonaktifkan tugas replikasi agar sinkronisasi data berhenti.

    1. Setelah memastikan semua konfigurasi benar, klik OK lalu Confirm Enable.

      Tugas replikasi dimulai dalam beberapa menit setelah aturan dibuat. Replikasi data merupakan proses asinkron. Waktu yang diperlukan bergantung pada ukuran objek, jumlah objek, dan latensi jaringan lintas wilayah, dan dapat berkisar dari beberapa menit hingga beberapa jam. Anda dapat melihat progres replikasi, termasuk status sinkronisasi data historis dan inkremental, pada tab Cross-Region Replication bucket sumber.

    FAQ

    Mengapa perubahan kelas penyimpanan atau waktu akses tidak direplikasi?

    Replikasi data hanya dipicu oleh perubahan konten objek, seperti membuat, menghapus, atau memodifikasi objek. Perubahan kelas penyimpanan melalui aturan siklus hidup atau operasi CopyObject, serta pembaruan waktu akses terakhir (LastAccessTime), tidak melibatkan penulisan konten objek baru. Oleh karena itu, tindakan ini tidak memicu tugas replikasi baru, dan OSS tidak memperbarui replika objek di bucket tujuan.

    Solusi:

    • Menyinkronkan kelas penyimpanan: Konfigurasikan aturan siklus hidup yang identik pada bucket tujuan untuk memastikan transisi kelas penyimpanan yang sama.

    • Memperbarui LastAccessTime: Untuk memperbarui waktu akses terakhir objek tujuan, akses objek tersebut langsung di bucket tujuan (misalnya, dengan melakukan permintaan GetObject) untuk memicu pembaruan LastAccessTime-nya.

    Apakah objek yang diunggah menggunakan unggah multi-bagian direplikasi?

    Ketika Anda mengunggah objek menggunakan unggah multi-bagian, OSS mereplikasi setiap bagian ke bucket tujuan. Setelah operasi CompleteMultipartUpload menggabungkan bagian-bagian tersebut di bucket sumber, OSS kemudian mereplikasi objek lengkap sebagai satu entitas ke bucket tujuan.

    Otorisasi peran RAM yang disederhanakan

    Ya. Untuk otorisasi cepat, Anda dapat langsung memberikan kebijakan sistem AliyunOSSFullAccess yang disediakan oleh Alibaba Cloud kepada peran RAM yang Anda buat. Namun, kebijakan ini memberikan semua izin untuk semua resource OSS di bawah akun Anda. Karena cakupannya yang luas, kebijakan ini tidak direkomendasikan untuk lingkungan produksi.

    Menggunakan kebijakan JSON untuk izin

    Ya. Pada halaman Bucket Policy bucket tujuan, Anda dapat memilih Add Rule by Syntax untuk konfigurasi yang lebih fleksibel. Perhatikan hal-hal berikut saat menggunakan kebijakan JSON:

    • Kebijakan baru akan menimpa Bucket Policy yang sudah ada. Pastikan kebijakan baru mencakup semua aturan otorisasi yang diperlukan.

    • Bidang Principal dalam kebijakan harus berisi ARN peran RAM dari akun sumber.

    • Jika nama peran berisi huruf kapital, Anda harus mengubahnya menjadi huruf kecil dalam kebijakan. Misalnya, peran AliyunOssDrsRole harus ditulis sebagai aliyunossdrsrole dalam kebijakan.

    • Anda harus memasukkan UID akun sumber, nama bucket tujuan, dan UID akun tujuan secara akurat.

    Kode berikut memberikan contoh kebijakan:

    {
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "oss:ReplicatePut",
                "oss:ReplicateDelete"
            ],
            "Principal": [
                "arn:ram::{source-account-uid}:role/{role-name}"
            ],
            "Resource":[
                "acs:oss:*:{destination-account-uid}:{destination-bucket-name}",
                "acs:oss:*:{destination-account-uid}:{destination-bucket-name}/*"
            ]
        }
    ]
}