All Products
Search

This Product

    Object Storage Service:Replikasi cross-account dan cross-region

    Document Center

    Object Storage Service:Replikasi cross-account dan cross-region

    Last Updated:Mar 28, 2026

    Fitur replikasi cross-region memungkinkan Anda mereplikasi objek secara otomatis dan asinkron dari bucket sumber ke bucket tujuan di wilayah berbeda di bawah Akun Alibaba Cloud lain. Fitur ini dapat digunakan untuk pemulihan bencana, membuat backup terisolasi lintas akun, atau memenuhi persyaratan kepatuhan residensi data.

    Konfigurasi replikasi cross-account mencakup tindakan pada akun sumber dan akun tujuan serta melibatkan tiga langkah utama:

    1. Akun sumber: Buat peran RAM khusus untuk replikasi data dan berikan izin minimum yang diperlukan untuk membaca objek dari bucket sumber.

    2. Akun tujuan: Ubah kebijakan bucket tujuan agar mengizinkan peran RAM yang dibuat oleh akun sumber menulis objek ke dalamnya.

    3. Kembali ke akun sumber: Buat aturan replikasi cross-region untuk mengaitkan bucket sumber dan bucket tujuan, yang akan memulai tugas replikasi.

    Langkah 1: Akun sumber: Buat dan otorisasi peran RAM

    1. Buat peran RAM: Buka halaman Create RAM role. Untuk Trusted Entity Type, pilih Cloud Service, dan untuk Trusted Entity Name, pilih Object Storage.

    2. Berikan izin akses peran RAM ke bucket sumber: Buat kebijakan izin kustom yang hanya berisi izin yang diperlukan untuk membaca objek dari bucket sumber dan memulai tugas replikasi:

      1. Pada halaman Create Permission Policy, klik tab Script Editor. Tempel konten kebijakan berikut ke editor kebijakan, lalu ganti src-bucket dengan nama bucket sumber yang sebenarnya.

        {
   "Version": "1",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "oss:ReplicateList",
            "oss:ReplicateGet"
         ],
         "Resource": [
            "acs:oss:*:*:src-bucket",
            "acs:oss:*:*:src-bucket/*"
         ]
      }
   ]
}

      2. Setelah membuat kebijakan, buka halaman Roles, temukan peran yang baru saja Anda buat, lalu klik Add Permissions. Di panel Add Permissions, principal diisi secara otomatis. Untuk Permission Policy, pilih kebijakan kustom yang Anda buat pada langkah sebelumnya, lalu klik Confirm Add Permission.

    3. (Opsional) Berikan izin akses peran RAM ke KMS: Jika data yang direplikasi ke bucket tujuan akan dienkripsi dengan KMS, Anda harus memberikan izin akses peran RAM ke KMS.

      Pada halaman Roles, temukan peran yang baru saja Anda buat dalam daftar, lalu klik Add Permission. Di panel Add Permission, principal diisi secara otomatis. Untuk Permission Policy, pilih AliyunKMSCryptoUserAccess, lalu klik Confirm Add Permission.

    4. Catat ARN peran: Pada halaman Roles, temukan peran RAM yang Anda buat, buka halaman Basic Information, lalu salin ARN peran tersebut untuk digunakan nanti. Formatnya adalah acs:ram::{Source account UID}:role/{Role name}.

    Langkah 2: Akun tujuan: Otorisasi peran RAM dan siapkan resource

    1. Otorisasi peran RAM untuk menulis ke bucket tujuan: Di akun tujuan, ubah kebijakan bucket tujuan agar mengizinkan peran RAM dari akun sumber menulis objek ke dalamnya.

      1. Di akun tujuan, buka halaman Bucket List lalu klik bucket tujuan.

      2. Di panel navigasi kiri, pilih Permissions > bucket policy.

      3. Klik tab Visual Editor, lalu klik Receive Replicated Objects.

      4. Di panel yang muncul, konfigurasikan pengaturan berikut:

        • Method to obtain UID and RAM role ARN: Pilih From Source RAM Role ARN.

        • Source RAM role ARN: Masukkan ARN peran RAM dari akun sumber yang telah Anda catat di Langkah 1.

        • Authorization purpose: Pilih Cross-Account Replication.

      5. Klik Generate Policy, lalu klik Save.

    2. (Opsional) Siapkan kunci KMS di akun tujuan: Untuk mereplikasi objek yang dienkripsi KMS, Anda harus menyiapkan kunci KMS di akun tujuan.

      1. Masuk ke halaman Instance Management di konsol KMS, lalu beli dan aktifkan instans KMS di wilayah yang sama dengan bucket tujuan. Saat membeli instans KMS, pastikan bahwa Number of Access Controls bernilai lebih besar dari atau sama dengan 2 dan biarkan parameter lain tetap pada pengaturan default.

        Catatan

        Replikasi objek yang dienkripsi KMS lintas akun hanya didukung di wilayah tempat KMS tersedia. Untuk informasi selengkapnya tentang wilayah yang didukung, lihat Supported regions and endpoints for software key management.

      2. Di instans KMS Anda, buat kunci software. Jenis kunci harus berupa kunci non-default (disarankan menggunakan kunci software). Setelah kunci dibuat, catat ARN kunci dari bagian Basic Information untuk digunakan saat membuat aturan replikasi nanti.

      3. Tetapkan kebijakan kunci untuk kunci yang Anda buat. Tambahkan ARN peran RAM yang dibuat oleh akun sumber sebagai Other Account User, lalu tentukan ARN peran yang Anda buat pada langkah-langkah sebelumnya. Untuk informasi selengkapnya, lihat Set a key policy.

        Tindakan ini memberikan izin yang diperlukan kepada peran RAM, seperti decrypt (kms:Decrypt) dan generate data key (kms:GenerateDataKey), untuk menggunakan kunci ini dalam mengenkripsi objek di bucket tujuan. Wizard konsol menyertakan izin ini secara default, tetapi jika Anda mengonfigurasi kebijakan kunci kustom secara programatik, Anda harus memastikan izin ini disertakan.

    Langkah 3: Akun sumber: Buat aturan replikasi

    Setelah menyelesaikan langkah otorisasi, kembali ke konsol akun sumber untuk membuat aturan replikasi dan memulai tugas.

    1. Di akun sumber, buka halaman Bucket List lalu klik bucket sumber.

    2. Di panel navigasi kiri, pilih Data Management > Cross-region replication.

    3. Klik Cross-region replication dan konfigurasikan parameter berikut di kotak dialog:

      1. Configure destination bucket: Pilih Specify a bucket in another account, pilih wilayah bucket tujuan, lalu masukkan namanya.

        • Objects to Replicate: Pilih Synchronize all files atau Replicate objects with specified prefixes. Objek di bucket sumber dengan awalan yang ditentukan akan direplikasi ke bucket tujuan. Secara default, Anda dapat menambahkan maksimal 10 awalan. Untuk menambah jumlah awalan, hubungi untuk meminta penyesuaian. Batas maksimum dapat ditingkatkan hingga 100.

        • Object Tag:

          Catatan

          Untuk mengonfigurasi parameter ini, kondisi berikut harus dipenuhi:

          Setelah Anda memilih kotak centang Set Rules, Anda dapat mereplikasi objek dengan tag tertentu ke bucket tujuan. Anda dapat menambahkan hingga 10 tag (pasangan kunci-nilai). Setelah menambahkan tag, Anda dapat memilih salah satu kebijakan penyaringan tag berikut:

          • Match all tags: Jika semua tag suatu objek termasuk dalam set tag yang ditentukan dalam aturan filter, objek tersebut akan direplikasi.

          • Match any tag: Objek akan direplikasi jika memiliki tag yang sesuai dengan salah satu tag dalam aturan filter.

            Catatan

            Saat ini, penyaringan berbasis tag tidak didukung di wilayah China (Zhangjiakou), China (Zhongwei), dan Meksiko.

        • Replicate KMS-encrypted objects: Jika objek sumber dienkripsi dengan KMS, pilih Replicate agar tetap terenkripsi di bucket tujuan. Masukkan ARN kunci KMS tujuan yang telah Anda siapkan di Langkah 2. Jika Anda memilih Do Not Replicate, objek yang dienkripsi KMS tidak akan direplikasi ke bucket tujuan.

          Catatan

          Anda dapat memeriksa status enkripsi objek sumber dan bucket tujuan masing-masing menggunakan operasi HeadObject dan GetBucketEncryption.

        • Authorization role: Dari daftar drop-down, pilih peran RAM yang Anda buat di akun sumber pada Langkah 1.

      2. Configure replication policy:

        • Replicate existing objects: Pilih apakah akan mereplikasi objek yang sudah ada di bucket sumber yang dibuat sebelum aturan diaktifkan. Tindakan ini akan menimpa objek dengan nama yang sama di bucket tujuan. Untuk mencegah kehilangan data, kami menyarankan mengaktifkan Pengendalian versi untuk bucket sumber maupun bucket tujuan.

        • Replicate delete markers: Pilih apakah penghapusan objek di bucket sumber juga menghapus objek yang sesuai di bucket tujuan. Dalam skenario pemulihan bencana, pilih No untuk mencegah penghapusan tidak disengaja di bucket sumber ikut disinkronkan ke bucket backup, sehingga meningkatkan keamanan data.

          • No: Mereplikasi objek baru dan yang dimodifikasi. Menghapus objek di bucket sumber tidak memengaruhi bucket tujuan. Ini mencegah kehilangan data di bucket tujuan akibat penghapusan manual atau penghapusan oleh aturan lifecycle di bucket sumber.

            Catatan

            Jika Pengendalian versi diaktifkan untuk bucket sumber, menghapus objek tanpa menentukan ID versi akan membuat penanda hapus di bucket sumber. Penanda hapus ini akan direplikasi ke bucket tujuan.

          • Yes: Mereplikasi operasi pembuatan, modifikasi, dan penghapusan agar bucket tujuan tetap konsisten dengan bucket sumber. Ini menjamin konsistensi data dan cocok untuk lingkungan di mana banyak pengguna atau aplikasi perlu berbagi dan mengakses dataset yang sama. Namun, dengan kebijakan ini, ketika objek dihapus dari bucket sumber (baik secara manual maupun oleh aturan lifecycle), objek yang sesuai di bucket tujuan juga akan dihapus dan tidak dapat dipulihkan.

      3. (Opsional) Konfigurasi akselerasi replikasi:

        • Transfer acceleration: Aktifkan fitur ini untuk meningkatkan kecepatan transfer data untuk tugas replikasi antara Tiongkok daratan dan wilayah lain. Fitur ini dikenai biaya tambahan transfer acceleration fees.

        • Replication time control (RTC): Saat diaktifkan, fitur ini memastikan sebagian besar objek baru atau yang dimodifikasi direplikasi dalam waktu 10 menit. Fitur ini hanya didukung antara wilayah tertentu dan dikenai biaya tambahan cross-region replication RTC fees. Untuk informasi selengkapnya, lihat RTC Feature Overview.

    Catatan

    Setelah dibuat, aturan replikasi cross-region tidak dapat diubah atau dihapus. Tinjau kembali semua pengaturan konfigurasi sebelum mengklik OK. Untuk menghentikan replikasi, Anda dapat menonaktifkan tugas replikasi.

    1. Setelah memastikan semua pengaturan sudah benar, klik OK lalu Confirm to Enable.

      Tugas replikasi dimulai dalam beberapa menit setelah aturan dibuat. Replikasi objek merupakan proses asinkron, dan waktu yang dibutuhkan berkisar dari beberapa menit hingga beberapa jam, tergantung pada ukuran objek, jumlah objek, dan latensi jaringan lintas wilayah. Anda dapat memantau kemajuan replikasi, termasuk status replikasi objek yang sudah ada dan objek baru, di tab Cross-region replication bucket sumber.

    FAQ

    Perubahan objek apa saja yang tidak direplikasi?

    Replikasi hanya dipicu oleh perubahan konten objek (seperti operasi pembuatan, penghapusan, atau modifikasi). Perubahan kelas penyimpanan melalui aturan lifecycle atau operasi CopyObject, serta pembaruan waktu akses terakhir (LastAccessTime), tidak melibatkan penulisan konten objek baru. Oleh karena itu, tindakan ini tidak memicu tugas replikasi baru, dan replika objek di bucket tujuan tidak diperbarui.

    Solusi:

    • Sinkronkan kelas penyimpanan: Kami menyarankan mengonfigurasi aturan lifecycle yang identik di bucket tujuan agar sesuai dengan transisi kelas penyimpanan bucket sumber.

    • Perbarui LastAccessTime: Untuk memperbarui waktu akses terakhir objek di bucket tujuan, akses objek tersebut langsung di bucket tersebut (misalnya, dengan membuat permintaan GetObject). Hal ini akan memicu refresh LastAccessTime-nya.

    Apakah unggah multi-bagian direplikasi?

    Ketika objek diunggah menggunakan unggah multi-bagian, setiap bagian direplikasi ke bucket tujuan. Setelah bagian-bagian tersebut digabung di bucket sumber (CompleteMultipartUpload), objek lengkap yang dihasilkan juga direplikasi ke bucket tujuan.

    Apakah ada cara yang lebih sederhana untuk memberikan izin?

    Ya. Untuk pengaturan cepat, Anda dapat menyambungkan kebijakan sistem AliyunOSSFullAccess yang disediakan oleh Alibaba Cloud langsung ke peran RAM. Namun, kebijakan ini memberikan akses penuh ke semua resource OSS di akun Anda, sehingga terlalu luas. Kami tidak menyarankan penggunaannya di lingkungan produksi.

    Bisakah saya menggunakan kebijakan JSON untuk otorisasi?

    Ya. Di halaman kebijakan bucket untuk bucket tujuan, Anda dapat memilih JSON Editor untuk konfigurasi yang lebih fleksibel. Perhatikan hal-hal berikut saat menggunakan kebijakan JSON:

    • Kebijakan baru akan menimpa kebijakan bucket yang sudah ada, jadi pastikan kebijakan baru mencakup semua aturan otorisasi yang diperlukan.

    • Bidang Principal dalam kebijakan harus berisi ARN peran RAM dari akun sumber.

    • Jika nama peran berisi huruf kapital, Anda harus mengubahnya menjadi huruf kecil dalam kebijakan. Misalnya, peran AliyunOssDrsRole harus ditulis sebagai aliyunossdrsrole dalam kebijakan.

    • Anda harus secara akurat menentukan UID akun sumber, nama bucket tujuan, dan UID akun tujuan.

    Berikut contoh kebijakan:

    {
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "oss:ReplicateList",
                "oss:ReplicateGet",
                "oss:ReplicatePut",
                "oss:ReplicateDelete"
            ],
            "Principal": [
                "arn:sts::{source-account-id}:assumed-role/{role-name}/*"
            ],
            "Resource":[
                "acs:oss:*:{destination-account-id}:{destination-bucket-name}",
                "acs:oss:*:{destination-account-id}:{destination-bucket-name}/*"
            ]
        }
    ]
}