Object Storage Service:Replikasi cross-account dalam wilayah yang sama

Konfigurasi SRR cross-account mencakup tiga langkah yang memerlukan tindakan di kedua akun—sumber dan tujuan:

1. Akun sumber: Buat peran RAM khusus untuk replikasi data dan berikan izin minimum yang diperlukan untuk membaca data dari bucket sumber.

2. Akun tujuan: Ubah kebijakan bucket tujuan agar mengizinkan peran RAM yang dibuat di akun sumber menulis data ke bucket tersebut.

3. Kembali ke akun sumber: Buat aturan SRR untuk mengaitkan bucket sumber dan tujuan, yang akan memulai task replikasi.

Langkah 1: Membuat dan mengotorisasi peran RAM

1. Buat peran RAM. Buka halaman Create RAM Role. Untuk Principal Type, pilih Cloud Service. Untuk Principal Name, pilih OSS.

2. Berikan izin kepada peran RAM untuk mengakses bucket sumber. Buat kebijakan kustom yang hanya mencakup izin yang diperlukan untuk membaca data dari bucket sumber dan memulai task replikasi.

   1. Di halaman Create Policy, klik tab Script. Tempel konten kebijakan berikut ke editor kebijakan, lalu ganti src-bucket dengan nama bucket sumber yang sebenarnya.

      {
         "Version": "1",
         "Statement": [
            {
               "Effect": "Allow",
               "Action": [
                  "oss:ReplicateList",
                  "oss:ReplicateGet"
               ],
               "Resource": [
                  "acs:oss:*:*:src-bucket",
                  "acs:oss:*:*:src-bucket/*"
               ]
            }
         ]
      }

   2. Setelah membuat kebijakan, buka halaman Roles. Di daftar tersebut, temukan peran yang baru saja Anda buat dan klik Add Permissions. Di panel yang muncul, principal akan diisi secara otomatis. Pilih kebijakan kustom yang Anda buat pada langkah sebelumnya, lalu klik OK.

3. (Opsional) Jika Anda berencana mereplikasi objek yang dienkripsi oleh KMS, Anda juga harus memberikan izin kepada peran RAM untuk mengakses KMS.

   1. Di halaman Roles, temukan peran yang baru saja Anda buat dan klik Add Permissions.

   2. Di panel Add Authorization, principal sudah diisi secara otomatis. Untuk Policy, pilih AliyunKMSCryptoUserAccess, lalu klik Confirm Add Authorization.

4. Catat ARN peran tersebut. Di halaman Roles, temukan peran RAM yang telah dibuat, buka halaman Basic Information, lalu salin ARN peran tersebut untuk digunakan nanti. Format ARN adalah sebagai berikut: acs:ram::{Source Account ID}:role/{Role Name}.

Langkah 2: Mengotorisasi peran RAM dan menyiapkan resource

1. Di akun tujuan, ubah kebijakan bucket tujuan agar mengizinkan peran RAM dari akun sumber menulis data ke bucket tersebut.

   1. Di akun tujuan, navigasikan ke halaman Buckets dan klik bucket tujuan.

   2. Di panel navigasi kiri, pilih Permission Control > Bucket Policy.

   3. Klik tab Add by GUI, lalu klik Receive Objects to Replicate.

   4. Di panel yang muncul, konfigurasikan parameter berikut:

      • Obtain UID and RAM Role From: Pilih Source RAM Role ARN for Replication.

      • Source RAM Role ARN for Replication: Masukkan ARN peran RAM dari akun sumber yang telah Anda catat di Langkah 1.

      • Purpose: Pilih Cross-account replication.

   5. Klik Generate Policy, lalu klik Save.

2. (Opsional) Langkah ini diperlukan untuk mereplikasi objek yang dienkripsi oleh KMS.

   1. Login ke konsol KMS dan buka halaman Instances. Di wilayah yang sama dengan bucket sumber, beli dan aktifkan instans KMS. Saat membeli instans KMS, pastikan bahwa Access Management Quantity bernilai 2 atau lebih, dan pertahankan pengaturan default untuk parameter lainnya.

      Catatan

      Replikasi cross-account objek yang dienkripsi oleh KMS bergantung pada KMS, dan wilayah yang didukung dibatasi oleh ketersediaan KMS. Untuk informasi lebih lanjut tentang wilayah yang mendukung KMS, lihat Wilayah dan titik akhir yang didukung untuk manajemen kunci perangkat lunak.

   2. Di instans KMS, buat kunci perangkat lunak. Jenis kunci harus berupa kunci non-default (disarankan menggunakan kunci perangkat lunak). Setelah kunci dibuat, catat ARN kunci tersebut dari bagian Basic Information untuk digunakan nanti saat membuat aturan replikasi.

   3. Tetapkan kebijakan kunci untuk kunci yang telah dibuat. Saat menetapkan kebijakan kunci, tambahkan ARN peran RAM dari akun sumber sebagai Cross-account User dan tentukan ARN peran yang dibuat di langkah sebelumnya. Untuk langkah-langkah detail, lihat Menetapkan kebijakan kunci.

      Secara default, operasi ini memberikan izin yang diperlukan kepada peran, seperti untuk dekripsi (kms:Decrypt) dan pembuatan kunci data (kms:GenerateDataKey). Hal ini memungkinkan peran menggunakan kunci ini untuk membuat objek terenkripsi di bucket tujuan. Konfigurasi yang dilakukan melalui wizard konsol biasanya sudah mencakup izin yang diperlukan secara default, tetapi jika Anda menetapkan kebijakan kunci kustom melalui OpenAPI, Anda harus memverifikasi secara manual bahwa izin-izin tersebut telah ditambahkan dengan benar.

Langkah 3: Membuat aturan SRR

Setelah otorisasi selesai, kembali ke konsol akun sumber untuk membuat aturan replikasi dan memulai task tersebut.

1. Di akun sumber, navigasikan ke halaman Buckets dan klik bucket sumber.

2. Di panel navigasi kiri, pilih Data Management > SRR.

3. Klik SRR. Di kotak dialog yang muncul, konfigurasikan parameter berikut:

   1. Configure destination bucket: Pilih Specify a bucket that belongs to another Alibaba Cloud account, pilih wilayah bucket tujuan, lalu masukkan namanya.

   2. Configure replication policy:

      • Objects to replicate: Pilih Synchronize all files atau Objects with specified prefix. Objek di bucket sumber yang sesuai dengan awalan yang ditentukan akan direplikasi ke bucket tujuan. Secara default, Anda dapat menambahkan hingga 10 awalan. Untuk meningkatkan batas ini menjadi 100, hubungi untuk mengajukan penyesuaian.

      • Object Tagging:

        Catatan

        Untuk mengonfigurasi parameter ini, kondisi berikut harus dipenuhi:

        • Tag harus sudah ditetapkan pada objek.

        • Opsi "Replicate Delete Markers" maupun "Replicate Delete Operations" tidak dipilih.

        Setelah mencentang kotak Configure Rules, Anda dapat mereplikasi objek dengan tag tertentu ke bucket tujuan. Anda dapat menambahkan hingga 10 tag (pasangan kunci-nilai). Setelah tag ditambahkan, Anda dapat memilih salah satu Tag filtering policy berikut:

        • Include all tags: Objek hanya direplikasi jika semua tag yang didefinisikan dalam aturan filter ada pada objek tersebut.

        • Include any one tag: Objek direplikasi jika setidaknya satu tag yang didefinisikan dalam aturan filter ada pada objek tersebut.

          Catatan

          Filtering tag saat ini tidak didukung di wilayah berikut: China (Zhangjiakou), China (Zhongwei), dan Mexico.

      • Replicate delete operations: Pilih apakah akan mereplikasi operasi penghapusan objek dari bucket sumber ke bucket tujuan. Dalam skenario disaster recovery, pilih No untuk mencegah penghapusan tidak disengaja di bucket sumber ikut direplikasi ke bucket backup, sehingga meningkatkan keamanan data.

        Catatan

        Setelah aturan replikasi data dibuat, perubahan kelas penyimpanan objek yang disebabkan oleh aturan lifecycle atau operasi CopyObject, serta perubahan atribut waktu akses terakhir objek (x-oss-last-access-time) di bucket sumber, tidak direplikasi ke bucket tujuan.

        • No: Mereplikasi objek baru dan yang dimodifikasi. Menghapus objek di bucket sumber tidak memengaruhi bucket tujuan. Hal ini mencegah kehilangan data di bucket tujuan akibat penghapusan manual atau penghapusan otomatis melalui aturan lifecycle di bucket sumber.

          Catatan

          Jika Pengendalian versi diaktifkan untuk bucket sumber, menghapus objek dari bucket sumber tanpa menentukan ID versi akan membuat penanda hapus di bucket sumber. OSS kemudian mereplikasi penanda hapus ini ke bucket tujuan.

        • Yes: Mereplikasi operasi pembuatan, modifikasi, dan penghapusan agar bucket tujuan tetap konsisten dengan bucket sumber. Ini menjamin konsistensi data dan cocok untuk lingkungan tempat beberapa pengguna atau aplikasi perlu berbagi dan mengakses dataset yang sama. Namun, dengan kebijakan ini, ketika suatu objek dihapus dari bucket sumber baik secara manual maupun melalui aturan lifecycle, objek yang sesuai di bucket tujuan juga akan dihapus dan tidak dapat dipulihkan.

        Jika suatu objek diunggah ke bucket sumber menggunakan unggah multi-bagian, unggahan setiap bagian direplikasi ke bucket tujuan. Objek yang dibuat setelah operasi CompleteMultipartUpload dipanggil untuk semua bagian juga direplikasi ke bucket tujuan. Untuk informasi lebih lanjut tentang perilaku replikasi SRR dengan Pengendalian versi, lihat SRR dengan Pengendalian versi.

      • Replicate historical data: Pilih apakah akan mereplikasi objek yang sudah ada di bucket sumber sebelum aturan diterapkan. Operasi ini akan menimpa objek dengan nama yang sama di bucket tujuan. Untuk mencegah kehilangan data, kami menyarankan Anda mengaktifkan Pengendalian versi untuk kedua bucket sumber dan tujuan.

      • Replicate KMS encrypted objects: Jika objek sumber dienkripsi menggunakan KMS dan Anda ingin objek tersebut tetap terenkripsi di tujuan, pilih Yes dan berikan kunci KMS tujuan yang telah disiapkan di Langkah 2. Jika Anda memilih No, objek yang dienkripsi oleh KMS tidak akan direplikasi ke bucket tujuan.

        Catatan

        Anda dapat menggunakan operasi HeadObject dan GetBucketEncryption untuk mengecek status enkripsi objek sumber dan bucket tujuan, masing-masing.

      • RAM role: Dari daftar drop-down, pilih peran RAM yang telah Anda buat di akun sumber pada Langkah 1.

   Catatan

   Aturan SRR tidak dapat diubah atau dihapus setelah dibuat. Tinjau semua pengaturan dengan cermat sebelum mengklik OK. Untuk menghentikan replikasi, hentikan sinkronisasi data dengan menonaktifkan task replikasi.

4. Setelah memastikan semua pengaturan sudah benar, klik OK lalu Confirm.

   Task replikasi dimulai 3 hingga 5 menit setelah Anda mengonfigurasi aturan SRR. Anda dapat memantau progres replikasi di tab SRR bucket sumber. Karena SRR bersifat asinkron (nyaris real-time), waktu yang dibutuhkan untuk mereplikasi data ke bucket tujuan bergantung pada ukuran data dan biasanya berkisar antara beberapa menit hingga beberapa jam.

FAQ

Mengonfigurasi izin dengan kebijakan JSON

Ya. Di halaman kebijakan bucket tujuan, Anda dapat memilih Add by Syntax untuk konfigurasi yang lebih fleksibel. Perhatikan hal berikut saat menggunakan kebijakan JSON:

• Kebijakan baru akan menimpa kebijakan bucket yang sudah ada. Pastikan kebijakan baru mencakup semua aturan otorisasi yang diperlukan.

• Field Principal dalam kebijakan harus diatur ke ARN peran RAM di akun sumber.

• Jika nama peran mengandung huruf kapital, nama tersebut harus diubah menjadi huruf kecil saat ditentukan dalam kebijakan. Misalnya, peran AliyunOssDrsRole harus ditulis sebagai aliyunossdrsrole.

• Anda harus secara akurat menentukan UID akun sumber, nama bucket tujuan, dan UID akun tujuan.

Berikut contoh kebijakan:

{
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "oss:ReplicateList",
                "oss:ReplicateGet",
                "oss:ReplicatePut",
                "oss:ReplicateDelete"
            ],
            "Principal": [
                "arn:sts::{Source Account UID}:assumed-role/{Role Name}/*"
            ],
            "Resource":[
                "acs:oss:*:{Destination Account UID}:{Destination Bucket Name}",
                "acs:oss:*:{Destination Account UID}:{Destination Bucket Name}/*"
            ]
        }
    ]
}

Topik terkait

• SRR

• SRR within the same account

• Replication behavior in specific scenarios

• FAQ about data replication