예 7: S3 개체 잠금에 대한 규정 준수 ILM 정책
변경 제안
PDF
이 예에서 S3 버킷, ILM 규칙 및 ILM 정책을 시작점으로 사용하여 S3 객체 잠금이 활성화된 버킷의 객체에 대한 객체 보호 및 보존 요구 사항을 충족하는 ILM 정책을 정의할 수 있습니다.
|
이전 StorageGRID 릴리스에서 레거시 규정 준수 기능을 사용한 경우 이 예제를 사용하여 레거시 규정 준수 기능이 활성화된 기존 버킷을 관리할 수도 있습니다. |
|
다음 ILM 규칙과 정책은 단지 예시일 뿐입니다. ILM 규칙을 구성하는 방법은 여러 가지가 있습니다. 새로운 정책을 활성화하기 전에 시뮬레이션하여 콘텐츠 손실을 방지하기 위해 의도한 대로 작동하는지 확인하세요. |
S3 객체 잠금 예제를 위한 버킷 및 객체
이 예에서 Bank of ABC라는 S3 테넌트 계정은 테넌트 관리자를 사용하여 S3 개체 잠금이 활성화된 버킷을 생성하여 중요한 은행 기록을 저장했습니다.
| 버킷 정의 | 예시 값 |
|---|---|
테넌트 계정 이름 |
ABC 은행 |
버킷 이름 |
은행 기록 |
버킷 지역 |
us-east-1(기본값) |
은행 기록 버킷에 추가된 각 개체 및 개체 버전은 다음 값을 사용합니다. retain-until-date 그리고 legal hold 설정.
| 각 객체에 대한 설정 | 예시 값 |
|---|---|
|
"2030-12-30T23:59:59Z"(2030년 12월 30일) 각 객체 버전에는 고유한 버전이 있습니다. |
|
"OFF"(효과 없음) 보관 기간 동안 언제든지 모든 객체 버전에 대해 법적 보류를 적용하거나 해제할 수 있습니다. 객체가 법적 보류 상태에 있는 경우 해당 객체를 삭제할 수 없습니다. |
S3 객체 잠금에 대한 ILM 규칙 1 예: 버킷 매칭을 통한 삭제 코딩 프로필
이 예제 ILM 규칙은 Bank of ABC라는 S3 테넌트 계정에만 적용됩니다. 이는 모든 객체와 일치합니다. bank-records 버킷을 만든 다음 6+3 삭제 코딩 프로필을 사용하여 3개의 데이터 센터 사이트에 있는 스토리지 노드에 객체를 저장하기 위해 삭제 코딩을 사용합니다. 이 규칙은 S3 객체 잠금이 활성화된 버킷의 요구 사항을 충족합니다. 즉, 수집 시간을 참조 시간으로 사용하여 0일부터 영구적으로 스토리지 노드에 사본을 보관합니다.
| 규칙 정의 | 예시 값 |
|---|---|
규칙 이름 |
준수 규칙: 은행 기록 버킷의 EC 개체 - ABC 은행 |
세입자 계정 |
ABC 은행 |
버킷 이름 |
|
고급 필터 |
개체 크기(MB)가 1보다 큽니다. 참고: 이 필터는 1MB 이하의 객체에 대해 삭제 코딩이 사용되지 않도록 보장합니다. |
| 규칙 정의 | 예시 값 |
|---|---|
참조 시간 |
섭취 시간 |
배치 |
0일차부터 영원히 매장 |
삭제 코딩 프로필 |
|
S3 개체 잠금에 대한 ILM 규칙 2 예: 비준수 규칙
이 예제 ILM 규칙은 처음에 두 개의 복제된 개체 복사본을 스토리지 노드에 저장합니다. 1년 후에는 클라우드 스토리지 풀에 사본 하나가 영구적으로 저장됩니다. 이 규칙은 Cloud Storage Pool을 사용하므로 규정을 준수하지 않으며 S3 객체 잠금이 활성화된 버킷의 객체에는 적용되지 않습니다.
| 규칙 정의 | 예시 값 |
|---|---|
규칙 이름 |
비준수 규칙: 클라우드 스토리지 풀 사용 |
세입자 계정 |
지정되지 않음 |
버킷 이름 |
지정되지는 않았지만, S3 객체 잠금(또는 기존 규정 준수 기능)이 활성화되지 않은 버킷에만 적용됩니다. |
고급 필터 |
지정되지 않음 |
| 규칙 정의 | 예시 값 |
|---|---|
참조 시간 |
섭취 시간 |
배치 |
|
S3 개체 잠금에 대한 ILM 규칙 3 예: 기본 규칙
이 예제 ILM 규칙은 두 개의 데이터 센터에 있는 스토리지 풀에 개체 데이터를 복사합니다. 이 규정 준수 규칙은 ILM 정책의 기본 규칙으로 설계되었습니다. 여기에는 필터가 포함되지 않고, Noncurrent 참조 시간을 사용하지 않으며, S3 객체 잠금이 활성화된 버킷의 요구 사항을 충족합니다. 즉, 두 개의 객체 사본이 Ingest를 참조 시간으로 사용하여 0일부터 영구적으로 스토리지 노드에 보관됩니다.
| 규칙 정의 | 예시 값 |
|---|---|
규칙 이름 |
기본 준수 규칙: 두 개의 사본, 두 개의 데이터 센터 |
세입자 계정 |
지정되지 않음 |
버킷 이름 |
지정되지 않음 |
고급 필터 |
지정되지 않음 |
| 규칙 정의 | 예시 값 |
|---|---|
참조 시간 |
섭취 시간 |
배치 |
0일부터 영원히 두 개의 복제본을 보관합니다. 하나는 데이터 센터 1의 스토리지 노드에, 다른 하나는 데이터 센터 2의 스토리지 노드에 보관합니다. |
S3 개체 잠금 예제에 대한 규정 준수 ILM 정책
S3 개체 잠금이 활성화된 버킷의 개체를 포함하여 시스템의 모든 개체를 효과적으로 보호하는 ILM 정책을 만들려면 모든 개체의 저장 요구 사항을 충족하는 ILM 규칙을 선택해야 합니다. 그런 다음 정책을 시뮬레이션하고 활성화해야 합니다.
정책에 규칙 추가
이 예에서 ILM 정책에는 다음 순서로 세 개의 ILM 규칙이 포함됩니다.
-
S3 객체 잠금이 활성화된 특정 버킷에서 1MB가 넘는 객체를 보호하기 위해 삭제 코딩을 사용하는 규정 준수 규칙입니다. 객체는 0일부터 영구적으로 스토리지 노드에 저장됩니다.
-
스토리지 노드에 1년 동안 복제된 객체 사본 2개를 만든 다음 객체 사본 1개를 영구적으로 클라우드 스토리지 풀로 이동하는 비준수 규칙입니다. 이 규칙은 Cloud Storage 풀을 사용하므로 S3 개체 잠금이 활성화된 버킷에는 적용되지 않습니다.
-
스토리지 노드에 0일부터 영구적으로 두 개의 복제된 객체 복사본을 생성하는 기본 준수 규칙입니다.
정책 시뮬레이션
정책에 규칙을 추가하고, 기본 준수 규칙을 선택하고, 다른 규칙을 정리한 후에는 S3 객체 잠금이 활성화된 버킷과 다른 버킷의 객체를 테스트하여 정책을 시뮬레이션해야 합니다. 예를 들어, 예제 정책을 시뮬레이션할 때 테스트 개체가 다음과 같이 평가될 것으로 예상합니다.
-
첫 번째 규칙은 ABC 은행 테넌트의 버킷 은행 레코드에서 1MB보다 큰 테스트 개체만 일치시킵니다.
-
두 번째 규칙은 다른 모든 테넌트 계정의 모든 비준수 버킷에 있는 모든 개체를 일치시킵니다.
-
기본 규칙은 다음 개체와 일치합니다.
-
ABC 은행 세입자의 버킷 은행 기록에 있는 1MB 이하의 객체입니다.
-
다른 모든 테넌트 계정에 대해 S3 개체 잠금이 활성화된 다른 버킷의 개체입니다.
-
정책 활성화
새 정책이 예상대로 개체 데이터를 보호하는지 완전히 만족하면 정책을 활성화할 수 있습니다.