Izin yang diperlukan berbeda antara replikasi data lintas akun dan replikasi data dalam akun yang sama. Untuk menyelesaikan tugas replikasi data, Anda harus memberikan izin replikasi yang diperlukan kepada Peran RAM yang diasumsikan oleh Object Storage Service (OSS).
Catatan penggunaan
Setiap operasi replikasi memerlukan kumpulan izin tertentu. OSS mengasumsikan Peran RAM yang Anda buat untuk mendapatkan izin yang diperlukan guna mereplikasi data.
Sumber daya yang ditentukan dalam kebijakan izin Peran RAM hanya merujuk pada sumber daya dalam akun Alibaba Cloud saat ini. Oleh karena itu, kebijakan yang diperlukan untuk replikasi data lintas akun dan replikasi data dalam akun yang sama berbeda.
Replikasi data dalam akun yang sama: Bucket sumber dan tujuan adalah sumber daya dalam akun Alibaba Cloud yang sama. Oleh karena itu, Anda dapat memberikan izin replikasi pada bucket sumber dan tujuan kepada Peran RAM dalam akun tersebut.
Replikasi data lintas akun: Bucket sumber dan tujuan adalah sumber daya yang dimiliki oleh dua akun Alibaba Cloud yang berbeda. Dalam topik ini, bucket sumber dan bucket tujuan dalam replikasi data lintas akun masing-masing milik Akun A dan Akun B. Untuk mengizinkan replikasi data dari bucket sumber ke bucket tujuan, Anda harus melampirkan kebijakan RAM ke Peran RAM Akun A dan menentukan kebijakan bucket untuk bucket tujuan di Akun B untuk memberikan izin yang diperlukan kepada Peran RAM Akun A.
Izin yang diperlukan untuk Peran RAM dalam replikasi data akun yang sama
Bagian ini menjelaskan kebijakan kepercayaan dan izin minimum yang diperlukan oleh Peran RAM untuk replikasi data dalam akun yang sama.
Kebijakan Kepercayaan yang Diperlukan untuk Peran RAM
Kebijakan kepercayaan berikut dilampirkan ke Peran RAM. OSS dipilih sebagai entitas tepercaya dan diberi otorisasi untuk mengasumsikan Peran RAM guna mereplikasi data.
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "oss.aliyuncs.com" ] } } ], "Version": "1" }Izin Minimum yang Diperlukan untuk Peran RAM
Anda dapat menggunakan kebijakan RAM untuk memberikan Peran RAM izin minimum yang diperlukan untuk melakukan replikasi data pada bucket sumber dan tujuan.
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "oss:ReplicateList", "oss:ReplicateGet" ], "Resource":[ "acs:oss:*:*:src-bucket", "acs:oss:*:*:src-bucket/*" ] }, { "Effect":"Allow", "Action":[ "oss:ReplicateList", "oss:ReplicateGet", "oss:ReplicatePut", "oss:ReplicateDelete" ], "Resource":[ "acs:oss:*:*:dest-bucket", "acs:oss:*:*:dest-bucket/*" ] } ] }Tindakan
Tindakan
Deskripsi
oss:ReplicateList
Izin daftar dalam proses replikasi. Ini memungkinkan OSS untuk mencantumkan data historis di bucket sumber dan kemudian mereplikasi data historis tersebut ke bucket tujuan.
oss:ReplicateGet
Izin baca dalam proses replikasi. Ini memungkinkan OSS untuk membaca data dan metadata dari bucket sumber dan tujuan, seperti objek, bagian, dan tugas unggah multipart.
oss:ReplicatePut
Izin tulis dalam proses replikasi. Ini memungkinkan OSS untuk melakukan operasi tulis pada bucket tujuan, seperti menulis objek, tugas unggah multipart, bagian, dan tautan simbolis, serta memodifikasi metadata objek.
oss:ReplicateDelete
Izin hapus dalam proses replikasi. Ini memungkinkan OSS untuk melakukan operasi hapus pada bucket tujuan, seperti DeleteObject, AbortMultipartUpload, dan DeleteMarker.
PentingTindakan ini hanya diperlukan jika Anda mengatur Kebijakan Replikasi ke Add/Delete/Change.
Izin yang diperlukan untuk Peran RAM dalam replikasi data lintas akun
Dua bucket yang dimiliki oleh akun Alibaba Cloud yang berbeda diperlukan untuk replikasi data lintas akun. Bagian ini menjelaskan kebijakan kepercayaan dan izin minimum yang diperlukan oleh Peran RAM untuk replikasi data lintas akun.
Otorisasi Peran RAM yang diperlukan untuk akun bucket sumber
Kebijakan Kepercayaan yang Diperlukan untuk Peran RAM
Kebijakan kepercayaan yang diperlukan untuk Peran RAM dalam replikasi data lintas akun sama dengan yang diperlukan untuk replikasi data dalam akun yang sama. Anda harus menggunakan Akun A untuk melampirkan kebijakan kepercayaan yang diperlukan ke Peran RAM. Untuk informasi lebih lanjut, lihat Kebijakan Kepercayaan yang Diperlukan untuk Peran RAM.
Izin Minimum yang Diperlukan untuk Peran RAM
Untuk informasi lebih lanjut tentang izin yang sesuai dengan tindakan untuk replikasi data lintas akun, lihat Tindakan.
Gunakan Akun A untuk menentukan kebijakan RAM yang memberikan Peran RAM akun izin minimum yang diperlukan untuk replikasi data.
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "oss:ReplicateList", "oss:ReplicateGet" ], "Resource":[ "acs:oss:*:*:src-bucket", "acs:oss:*:*:src-bucket/*" ] } ] }
Otorisasi Peran RAM yang diperlukan untuk akun bucket tujuan
Gunakan Akun B untuk menentukan kebijakan bucket yang memberikan Peran RAM Akun A izin minimum yang diperlukan untuk replikasi data.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ReplicateList",
"oss:ReplicateGet",
"oss:ReplicatePut",
"oss:ReplicateDelete"
],
"Principal": [
"arn:sts::src-uid:assumed-role/role-name/*"
],
"Resource": [
"acs:oss:*:dest-uid:dest-bucket",
"acs:oss:*:dest-uid:dest-bucket/*"
]
}
]
}Tabel berikut menjelaskan parameter dalam kebijakan bucket sebelumnya.
Parameter | Deskripsi |
src-uid | UID akun Alibaba Cloud tempat bucket sumber berada. |
role-name | Nama Peran RAM yang dibuat oleh akun Alibaba Cloud tempat bucket sumber berada. |
dest-uid | UID akun Alibaba Cloud tempat bucket tujuan berada. |
dest-bucket | Nama bucket tujuan. |