Cloud Storage 的预定义状况(基础知识)

本页介绍了 Cloud Storage 必备预定义状态 v1.0 版中包含的预防性和检测性政策。此安全状况 包含两个政策集:

  • 包含适用于 Cloud Storage 的组织政策的政策集。

  • 一组政策,其中包含适用于 Cloud Storage

您可以使用此预定义的安全状况来配置安全状况,以帮助 保护 Cloud Storage。您无需进行任何更改即可部署此预定义状态。

组织政策限制条件

下表介绍了 这种安全状况。

政策 说明 合规标准
storage.publicAccessPrevention

此政策可防止 Cloud Storage 存储桶向未经身份验证的公众开放。

值为 true 表示禁止对存储桶进行公开访问。

NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20
storage.uniformBucketLevelAccess

本政策 可防止 Cloud Storage 存储分区使用对象 ACL(一个独立的系统 来自 IAM 政策)以提供访问权限,从而对 访问管理和审核。

值为 true,以强制执行 统一存储桶级访问权限

NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20

Security Health Analytics 检测器

下表介绍了 预定义的安全状况。如需详细了解这些检测器,请参阅 漏洞发现结果

检测器名称 说明
BUCKET_LOGGING_DISABLED

此检测器会检查是否存在未启用日志记录功能的存储桶。

LOCKED_RETENTION_POLICY_NOT_SET

此检测器会检查是否为日志设置了锁定的保留政策。

OBJECT_VERSIONING_DISABLED

此检测器会检查对于具有接收器的存储分区,是否启用了对象版本控制。

BUCKET_CMEK_DISABLED

此检测器会检查存储分区是否使用客户管理的加密密钥 (CMEK) 进行了加密。

BUCKET_POLICY_ONLY_DISABLED

此检测器会检查是否配置了统一存储桶级访问权限。

PUBLIC_BUCKET_ACL

此检测器会检查存储桶是否可公开访问。

PUBLIC_LOG_BUCKET

此检测器会检查包含日志接收器的存储桶是否可公开访问。

ORG_POLICY_LOCATION_RESTRICTION

此检测器会检查 Compute Engine 资源是否违反了 constraints/gcp.resourceLocations 限制条件。

查看安全状况模板

如需查看 Cloud Storage 的安全状况模板(基础知识),请执行以下操作:

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

执行 gcloud scc posture-templates describe 命令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

响应包含配置文件模板。

REST

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

HTTP 方法和网址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

如需发送您的请求,请展开以下选项之一:

响应包含配置文件模板。

后续步骤