生成 AI ユースケースの Cloud Storage コントロール

storage.publicAccessPrevention ブール値制約により、既存のリソースと将来のリソースにインターネット経由でアクセスできなくなります。具体的には、allUsers と allAuthenticatedUsers へのアクセス権を付与するアクセス制御リスト（ACL）と Identity and Access Management（IAM）権限を無効にして、ブロックします。

storage.uniformBucketLevelAccess ブール型制約では、バケットで均一なバケットレベルのアクセスを使用する必要があります。均一なバケットレベルのアクセスを使用すると、バケットレベルの Identity and Access Management（IAM）権限のみを使用して Cloud Storage リソースへのアクセス権を付与できます。

HMAC キーは、Cloud Storage のサービス アカウントまたはユーザー アカウントに関連付けられた有効期間の長い認証情報です。HMAC キーを使用して、Cloud Storage に対するリクエストに含まれる署名を作成します。署名により、ユーザーまたはサービス アカウントがリクエストを承認したことが証明されます。

有効期間が短い認証情報（OAuth 2.0 トークン）とは異なり、HMAC キーは自動的に有効期限が切れることはなく、手動で取り消されるまで有効です。HMAC キーはリスクの高い認証情報です。不正使用されると、リソースへの永続的なアクセスが可能になります。この点を保護する適切なメカニズムが導入されていることを確認する必要があります。

サービス アカウントは、アプリケーション用に設計された人間以外の ID であり、その動作は予測可能で自動化されています。通常、サービス アカウントはすでにマッピングされているため、バケットを項目化する必要はありません。したがって、すべての Cloud Storage バケットのリストを取得しようとしているサービス アカウントを検出した場合は、直ちに調査する必要があります。偵察列挙は、サービス アカウントにアクセスした悪意のある行為者が偵察手法としてよく使用する手口です。

Cloud Storage バケットの IAM ポリシーが変更され、公開アクセス権が付与されたときに検出するアラートを構成します。このアラートは、allUsers プリンシパルまたは allAuthenticatedUsers プリンシパルがバケットの IAM ポリシーに追加されたときに発生します。このアラートは、バケット内のすべてのデータが公開される可能性があるため、重大度の高い重大なイベントです。このアラートを直ちに調査して、変更が承認されたものか、構成ミスや悪意のある行為者によるものかを確認します。

アラートで、data.protoPayload.serviceData.policyData.bindingDeltas.member JSON 属性を allUsers または allAuthenticatedUsers に設定し、アクションを ADD に設定します。

規制要件に応じて、各 Cloud Storage バケットの保持ポリシーがロックされていることを確認します。要件を満たす期間を保持期間に設定します。

SetStorageClass アクション タイプを持つ各 Cloud Storage バケットにライフサイクル ルールを適用します。

Cloud Storage のライフサイクル管理が有効になっていて、構成されていることを確認します。ライフサイクル コントロールには、ストレージ ライフサイクルの構成が含まれています。この設定のポリシーが要件と一致していることを確認します。

Cloud Storage のライフサイクル管理ルールが有効になっていて、構成されていることを確認します。ルール コントロールには、ストレージ ライフサイクルの構成が含まれています。この設定のポリシーが要件と一致していることを確認します。

temporaryHold が TRUE に設定されているすべてのオブジェクトを特定し、調査と検証のプロセスを開始します。この評価は、次のユースケースに適しています。

• 訴訟のための記録保持: データの保存に関する法的要件を遵守するため、一時保留を使用して、進行中の調査や訴訟に関連する可能性のある機密データの削除を防ぐことができます。
• データ損失防止: 重要なデータが誤って削除されないように、一時保留を安全対策として使用して、ビジネスに不可欠な情報を保護できます。
• コンテンツのモデレーション: 公開される前に潜在的に機密性の高いコンテンツや不適切なコンテンツをレビューするには、Cloud Storage にアップロードされたコンテンツに一時保留を適用して、さらなる検査とモデレーションの決定を行います。

すべての Cloud Storage バケットに保持ポリシーが設定されていることを確認します。

データ分類は、あらゆるデータ ガバナンス プログラムとセキュリティ プログラムの基盤となるコンポーネントです。各バケットに、公開、内部、機密、制限付きなどの値を持つ分類ラベルを適用することが不可欠です。

google_storage_bucket.labels に分類の式があることを確認し、ない場合は違反を作成します。

すべての Cloud Storage バケットにログバケットが含まれていることを確認します。

Cloud Storage では、storage.buckets/lifecycle.rule.action.type は、バケット内のライフサイクル ルールに基づいて特定のオブジェクトに対して実行されるアクションのタイプを指します。この構成は、クラウドに保存されたデータの管理とライフサイクルの自動化に役立ちます。

オブジェクトがバケットから完全に削除されるように storage.buckets/lifecycle.rule.action.type を構成します。

削除ルールの場合、ルールの isLive 条件が false に設定されていることを確認します。

Cloud Storage では、storage.buckets/lifecycle.rule.condition.isLive はライフサイクル ルールで使用されるブール値の条件で、オブジェクトがライブと見なされるかどうかを判断するために使用されます。このフィルタを使用すると、ライフサイクル ルール内のアクションが、ライブ ステータスに基づいて目的のオブジェクトにのみ適用されるようになります。

ユースケース:

• 履歴バージョンをアーカイブする: オブジェクトの非現行バージョンのみをアーカイブして、最新バージョンにすぐにアクセスできるようにしながら、ストレージ費用を節約します。
• 削除されたオブジェクトをクリーンアップする: ユーザーによって削除されたオブジェクトの完全削除を自動化し、バケット内のスペースを解放します。
• ライブデータを保護する: 一時保留の設定などのアクションがライブ オブジェクトにのみ適用され、アーカイブされたバージョンや削除されたバージョンが誤って変更されないようにします。

すべての Cloud Storage バケットでバージョニングが有効になっていることを確認します。ユースケースには、次のようなものがあります。

• データ保護と復元: 上書きを防ぎ、削除または変更されたデータの復元を可能にすることで、データを偶発的な損失から保護します。
• コンプライアンスと監査: 規制コンプライアンスや内部監査の目的で、すべてのオブジェクト編集の履歴を保持します。
• バージョン管理: ファイルとデータセットの変更を追跡し、共同作業を可能にします。必要に応じて、以前のバージョンにロールバックできます。

google_storage_bucket.labels にオーナー用の式があることを確認します。

ユースケースに基づいて、特定のストレージ オブジェクトに関する追加のロギングを有効にします。たとえば、機密データバケットへのアクセスをログに記録して、誰がいつアクセスしたかを追跡できるようにします。追加のロギングを有効にする場合は、生成される可能性のあるログの量を考慮してください。