OCI Object Storage 설정

이 기능을 사용하려면OCI Object Storage를 별도로 구독해야 합니다. 버킷은 오브젝트를 저장하기 위한 OCI Object Storage의 논리적 컨테이너입니다. Account Reconciliation의 맥락에서 첨부파일은 오브젝트로 간주됩니다.

OCI Object Storage에서 높은 수준의 단계는 다음에 나열되어 있습니다.

  1. OCI Object Storage에서 버킷을 생성하여 Account Reconciliation 첨부파일을 저장합니다. 지침은 버킷 생성 을 참조하십시오.

    Note:

    Account Reconciliation 첨부파일에 사용하도록 기존 구획에 버킷을 생성할 수도 있고 새 구획을 생성할 수도 있습니다.

    다음은 버킷 설정의 예입니다.


    객체 저장영역 구성

    버킷에 대한 액세스를 테스트하고 테스트 환경에서 프로덕션 환경으로 원활하게 전환할 수 있으려면, 버킷 내에 테스트 환경용 폴더와 프로덕션 환경용 폴더 등 두 개의 폴더를 생성하는 것이 좋습니다. 예를 들어, 이름이 account_rec_data인 버킷을 생성하여 첨부파일을 저장하는 경우 이 버킷에 testprod 폴더를 생성합니다. 구현 단계 중에는 버킷 URL을 <bucket_url>/test로 지정하여 test 폴더를 사용합니다. 프로덕션 서버 환경으로 이동하는 경우 버킷 구성을 <bucket_url>/prod로 전환합니다. 이후 프로덕션 환경에서는 아무런 영향 없이 test 폴더를 삭제할 수 있습니다.

  2. 버킷에 대해 자동 계층화가 사용안함으로 설정되어 있는지 확인합니다. Object Storage 버킷에 대한 자동 계층 지정 관리를 참조하십시오.
  3. OCI Object Storage에 있는 그대로 수명 주기 정책 규칙을 유지해야 합니다. 이를 변경하지 마십시오.

  4. 선택사항: OCI Object Storage보유 규칙은 회사의 감사 요구사항(예: 5-7년)을 따릅니다.

  5. OCI(Oracle Cloud Infrastructure)에서 Account Reconciliation 사용자를 생성하고 해당 사용자에게 읽기 및 쓰기 이상의 액세스 권한을 부여해야 합니다. 하지만 삭제 액세스 권한은 부여하지 마십시오. 이 사용자는 IAM(Identity and Access Management) 사용자 또는 통합 사용자일 수 있습니다.

    Account Reconciliation 객체 저장영역에 액세스하는 데는 별도의 사용자를 생성하는 것이 좋습니다. 이 사용자에게는 첨부파일 저장영역 버킷에 액세스하여 버킷의 객체를 관리할 수 있는 권한이 부여되어야 합니다.

  6. 그룹을 생성하여 정책을 지정해야 합니다.

    객체 저장영역에 대한 액세스는 IAM(Identity and Access Management) 정책에 따라 관리됩니다. 일반적인 객체 저장영역 정책은 https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/commonpolicies.htm#write-objects-to-buckets에 있습니다.

    IAM 정책을 생성하려면 이 가이드(https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/policygetstarted.htm)를 참조하십시오.

    다음은 필요한 정책의 예입니다.

    • Allow group ArcsAttachmentWriters to read buckets in compartment ABC

    • ArcsAttachmentWriters 그룹이 모두 {target.bucket.name='ArcsAttachments', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}인 ABC 구획에서 객체를 관리하도록 허용합니다.

  7. 사용자에 대해 인증 토큰을 생성해야 합니다. 자세한 내용은 https://docs.oracle.com/en-us/iaas/Content/Identity/Tasks/managingcredentials.htm#Working를 참조하십시오.

    Note:

    인증 토큰이 생성된 후에는 표시되지 않습니다. 나중에 구성 프로세스에서 사용되므로 토큰을 기록해 두십시오.
  8. 버킷과 사용자를 생성한 후에는 버킷 URL사용자 이름비밀번호를 사용하여 연결되도록Account Reconciliation에서 OCI Object Storage를 설정해야 합니다. Account Reconciliation에서 OCI Object Storage 설정을 참조하십시오.

예: 정책 구성

정책을 생성할 때 버킷이 저장된 구획이나 테넌시를 선택해야 합니다. 예를 들어 버킷이 ABC 구획에 생성된 경우 정책도 ABC 구획에 지정해야 합니다.

버킷이 루트 테넌시에 있고 사용자가 통합 ID 제공자에서 생성됨

버킷이 루트 테넌시에 있고 그룹을 사용하고 있으며 사용자가 통합 ID 제공자에서 생성된 경우, 정책 형식은 다음과 같아야 합니다.

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

예를 들어, 그룹 이름이 arcs_attachments이고 버킷 이름이 arcs_bucket인 경우:

Allow group 'OracleIdentityCloudService'/'arcs_attachments' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'arcs_attachments' to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

버킷이 루트 테넌시에 있고, 일반(비통합 ID 제공자) 그룹 및 사용자를 사용함

버킷이 루트 테넌시에 있고 일반(비통합 ID 제공자) 그룹 및 사용자를 사용하는 경우, 정책 형식은 다음과 같아야 합니다.

Allow group GROUP_NAME to read buckets in tenancy
Allow group GROUP_NAME to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

예를 들어, 그룹 이름이 arcs_attachments이고 버킷 이름이 arcs_bucket인 경우:

Allow group arcs_attachments to read buckets in tenancy
Allow group arcs_attachments to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

버킷이 구획 레벨에 있고 그룹 및 사용자가 통합 ID 제공자에서 생성됨

버킷이 구획 레벨에 있고 통합 ID 제공자에서 생성된 그룹 및 사용자를 사용하는 경우, 정책 형식은 다음과 같아야 합니다.

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in compartment COMPARTMENT_NAME
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

예를 들어, 그룹 이름이 arcs_attachments이고 구획 이름이 arcs_compartment인 경우:

Allow group 'OracleIdentityCloudService'/arcs_attachments' to read buckets in compartment ABC
Allow group 'OracleIdentityCloudService'/arcs_attachments' to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

버킷이 구획 레벨에 있고 일반(비통합 ID 제공자) 그룹 및 사용자를 사용함

버킷이 구획 레벨에 있고 일반(비통합 ID 제공자) 그룹 및 사용자를 사용하는 경우, 정책 형식은 다음과 같아야 합니다.

Allow group GROUP_NAME to read buckets in compartment COMPARTMENT_NAME
Allow group GROUP_NAME to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

예를 들어, 그룹 이름이 arcs_attachments이고 구획 이름이 arcs_compartment인 경우:

Allow group arcs_attachments to read buckets in compartment arcs_compartment
Allow group arcs_attachments to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}