Somente a política de intervalo

Nesta página, você conhecerá o recurso Somente a política de intervalo, que permite controlar o acesso aos recursos do Cloud Storage de maneira uniforme. Quando ativadas em um intervalo, somente as permissões do Cloud Identity and Access Management (Cloud IAM, na sigla em inglês) no nível do intervalo concedem acesso a esse intervalo e aos objetos que ele contém. As listas de controle de acesso (ACLs, na sigla em inglês) são desativadas e o acesso concedido por elas é revogado. Consulte Como usar somente a política de intervalo (em inglês) para ver um guia do recurso.

Visão geral

O Cloud Storage oferece dois sistemas para conceder aos usuários permissão de acesso aos seus intervalos e objetos: Cloud Identity and Access Management (Cloud IAM) e Listas de controle de acesso (ACLs, na sigla em inglês). Eles atuam em paralelo. Para que um usuário acesse um recurso do Cloud Storage, basta receber a permissão de um dos sistemas. O Cloud IAM é usado em todo o GCP e permite que você conceda permissões refinadas nos níveis do intervalo e do projeto. As ACLs são usadas somente pelo Cloud Storage e têm menos opções de permissão, mas permitem conceder permissões por objeto.

Para oferecer um sistema de permissões uniforme, o Cloud Storage conta com o recurso Somente a política de intervalo. Ele desativa as ACLs de todos os recursos do Cloud Storage e, com isso, o acesso a eles precisa ser concedido exclusivamente pelo Cloud IAM.

O recurso Somente a política de intervalo é recomendado para você?

Use o recurso Somente a política de intervalo se:

  • quiser controlar o acesso aos recursos do Cloud Storage por meio de um único sistema de permissões;

  • quiser ter uma experiência de controle de acesso consistente em todos os recursos do GCP;

  • tiver muitos objetos no intervalo e não quiser gerenciar o acesso a cada um deles individualmente;

  • quiser usar recursos de segurança do GCP, como os registros de auditoria do Cloud e o compartilhamento restrito de domínio, que controlam somente o acesso concedido por meio das políticas do Cloud IAM, não das ACLs;

  • não quiser que quem fez o upload de um objeto sempre tenha controle total sobre ele.

Não use o recurso Somente a política de intervalo se:

  • quiser conceder acesso a objetos específicos em um intervalo por meio de ACLs legadas;

  • quiser que quem fez o upload de um objeto tenha controle total sobre ele, mas menos acesso a outros objetos no intervalo.

Restrições

A seguinte restrição se aplica ao recurso Somente a política de intervalo:

  • Certos serviços do GCP que fazem exportações para o Cloud Storage não podem fazer exportações para intervalos com o recurso Somente a política de intervalo ativado. Entre eles, estão:

    o Stackdriver, as exportações de relatórios de uso ou imagens personalizadas do Compute Engine, os registros de auditoria do Cloud, as exportações do Cloud SQL, o Cloud Spanner, o Cloud Billing e o Cloud Datastore.

Comportamento com o recurso ativado

Ative o recurso Somente a política de intervalo ao criar um novo intervalo ou ao ativar explicitamente o recurso em um intervalo atual.

Uma vez ativado, os seguintes recursos da ACL são interrompidos:

  • As solicitações para definir, ler ou modificar ACLs do intervalo e do objeto falham com erros 400 Bad Request.

  • As solicitações da API JSON feitas com os métodos BucketAccessControls, DefaultObjectAccessControls e ObjectAccessControls falham com erros 400 Bad Request.

  • As solicitações da API JSON para receber uma projeção completa de metadados do intervalo ou do objeto incluem uma ACL vazia como parte da resposta.

  • Os comandos cp -p, mv -p e rsync -p do gsutil falham quando o intervalo com o recurso Somente a política de intervalo é a origem ou o destino.

  • A propriedade de objeto individual não existe mais. O acesso associado foi revogado e as solicitações de metadados do intervalo e do objeto não contêm mais o campo owner.

  • O armazenamento em cache público não é compatível.

Além disso, se você ativar o recurso Somente a política de intervalo como parte da criação de um novo intervalo, ele receberá automaticamente outros papéis do Cloud IAM. Esse comportamento mantém as permissões legadas dos objetos das ACLs padrão de objetos do intervalo. Ao ativar o recurso em um intervalo atual, aplique esses papéis manualmente. Caso você tenha alterado as ACLs padrão de objetos do intervalo, pode ser melhor aplicar um conjunto de papéis diferente.

Comportamento se o recurso for revertido

Para que seja possível desativar o recurso Somente a política de intervalo e voltar a usar ACLs, o Cloud Storage salva as ACLs atuais por 90 dias. Ao desativar o recurso durante esse período:

  • os objetos recuperam as ACLs salvas;

  • todos os objetos adicionados ao intervalo depois que o recurso Somente a política de intervalo foi ativado recebem ACLs de acordo com as ACLs padrão de objetos usadas pelo intervalo.

Considerações ao migrar um intervalo atual

Ao ativar o recurso Somente a política de intervalo em um intervalo atual, é preciso garantir que os usuários e serviços que anteriormente dependiam de ACLs para acesso tenham suas permissões migradas para o Cloud IAM. Nesta seção, você verá a descrição de algumas etapas que precisa seguir ao migrar um intervalo para Somente a política de intervalo. Observe que, como as ACLs e o Cloud IAM são sincronizados quanto a permissões de intervalo, as considerações se concentram especificamente no acesso a objetos no seu intervalo, e não no acesso ao intervalo.

Pense se uma permissão do IAM no nível do intervalo superexpõe dados

Antes de atribuir os equivalentes do Cloud IAM às suas ACLs, pense no seguinte:

  • Uma permissão do Cloud IAM empregada no nível do intervalo aplica-se a todos os objetos no intervalo, enquanto as ACLs de objeto podem variar de acordo com o objeto.

Se você quiser aplicar um determinado acesso a alguns objetos, mas não a outros, é preciso agrupá-los em intervalos separados. Cada agrupamento precisa conter objetos com as mesmas permissões.

Verifique o uso da ACL do objeto

Ao migrar para Somente a política do intervalo, é preciso verificar se os objetos no intervalo estão sendo acessados por meio das ACLs aplicadas a eles. Para isso, o Stackdriver tem duas métricas que rastreiam o uso da ACL. Use essas métricas para determinar se haverá impacto ao ativar o recurso Somente a política de intervalo:

Métrica Descrição
storage.googleapis.com/authz/acl_based_object_access_count O número de solicitações de objeto que são bem-sucedidas agora, mas falhariam se o recurso Somente a política de intervalo fosse ativado.
storage.googleapis.com/authz/object_specific_acl_mutation_count O número de solicitações enviadas para modificar ACLs de objeto.

Para mais informações sobre as métricas do Stackdriver, consulte Métricas, séries temporais e recursos.

Se essas métricas indicarem que usuários ou serviços dependem de ACLs para acessar seus objetos, será preciso atribuir os equivalentes do Cloud IAM ao intervalo antes de ativar Somente a política de intervalo.

Verifique a ACL de objeto padrão do intervalo

Todos os intervalos têm uma ACL de objeto padrão associada. Essa ACL é aplicada aos novos objetos adicionados a um intervalo, a menos que uma ACL seja explicitamente fornecida no momento em que o objeto é adicionado.

Antes de ativar o recurso Somente a política de intervalo, verifique a ACL de objeto padrão do seu intervalo. Pense se você quer conceder as permissões associadas à ACL de objeto padrão depois de ativar o recurso. Nesse caso, atribua equivalentes do Cloud IAM ao intervalo.

Atribua equivalentes do Cloud IAM a ACLs de objeto

As ACLs de objeto podem conceder tipos de acesso que o Cloud IAM atualmente não permite. Para garantir que os usuários atuais não percam o acesso a objetos quando você ativar o recurso Somente a política do intervalo, use a tabela a seguir e atribua as funções apropriadas do Cloud IAM aos usuários afetados.

Permissão ACL de objeto Papel equivalente no Cloud IAM
READER roles/storage.legacyObjectReader
OWNER roles/storage.legacyObjectOwner

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.