Somente política do intervalo

Nesta página, você conhecerá o recurso Somente a política de intervalo, que permite controlar o acesso aos recursos do Cloud Storage de maneira uniforme. Quando ativadas em um intervalo, somente as permissões do Cloud Identity and Access Management (Cloud IAM, na sigla em inglês) no nível do intervalo concedem acesso a esse intervalo e aos objetos que ele contém. As listas de controle de acesso (ACLs, na sigla em inglês) são desativadas e o acesso concedido por elas é revogado. Consulte Como usar somente a política de intervalo (em inglês) para ver um guia do recurso.

Visão geral

O Cloud Storage oferece dois sistemas para conceder aos usuários permissão de acesso aos seus intervalos e objetos: Cloud Identity and Access Management (Cloud IAM) e Listas de controle de acesso (ACLs, na sigla em inglês). Eles atuam em paralelo. Para que um usuário acesse um recurso do Cloud Storage, basta receber a permissão de um dos sistemas. O Cloud IAM é usado em todo o Google Cloud Platform (GCP) e possibilita que permissões refinadas nos níveis do intervalo e do projeto sejam concedidas. As ACLs são usadas somente pelo Cloud Storage e têm menos opções de permissão, mas permitem conceder permissões por objeto.

Para oferecer um sistema de permissões uniforme, o Cloud Storage conta com o recurso Somente a política de intervalo. Ele desativa as ACLs de todos os recursos do Cloud Storage e, com isso, o acesso a eles precisa ser concedido exclusivamente pelo Cloud IAM.

O recurso Somente a política de intervalo é recomendado para você?

Use o recurso Somente a política de intervalo se:

  • quiser controlar o acesso aos recursos do Cloud Storage por meio de um único sistema de permissões;

  • quiser ter uma experiência de controle de acesso consistente em todos os recursos do GCP;

  • tiver muitos objetos no intervalo e não quiser gerenciar o acesso a cada um deles individualmente;

  • quiser usar recursos de segurança do GCP, como o Cloud Audit Logging e o compartilhamento restrito de domínio, que controlam somente o acesso concedido por meio das políticas do Cloud IAM, não dos ACLs;

  • não quiser que quem fez o upload de um objeto sempre tenha controle total sobre ele.

Não use o recurso Somente a política de intervalo se:

  • quiser conceder acesso a objetos específicos em um intervalo por meio de ACLs legadas;

  • quiser que quem fez o upload de um objeto tenha controle total sobre ele, mas menos acesso a outros objetos no intervalo.

Restrições

A seguinte restrição se aplica ao recurso Somente a política de intervalo:

  • Certos serviços do GCP que fazem exportações para o Cloud Storage não podem fazer exportações para intervalos com o recurso Somente a política de intervalo ativado. Entre eles estão:

    Stackdriver, Cloud Audit Logs e Cloud Datastore.

  • Não é possível usar a API XML para verificar o status de, ativar ou desativar o recurso "Somente a política de intervalo".

  • Não é possível usar a API XML para visualizar ou definir permissões para intervalos com o recurso "Somente a política de intervalo" ativado.

  • O valor de Cache-Control está definido como private por padrão para objetos acessíveis publicamente somente em intervalos compatíveis com o recurso "Somente a política de intervalo" a menos que você defina o valor para public.

Comportamento com o recurso ativado

Ative o recurso Somente a política de intervalo ao criar um novo intervalo ou ao ativar explicitamente o recurso em um intervalo atual.

Uma vez ativado, os seguintes recursos da ACL são interrompidos:

  • As solicitações para definir, ler ou modificar ACLs do intervalo e do objeto falham com erros 400 Bad Request.

  • As solicitações da API JSON feitas com os métodos BucketAccessControls, DefaultObjectAccessControls e ObjectAccessControls falham com erros 400 Bad Request.

  • As solicitações da API JSON para receber uma projeção completa de metadados do intervalo ou do objeto incluem uma ACL vazia como parte da resposta.

  • Os comandos gsutil cp -p, mv -p e rsync -p falham quando o intervalo com o recurso "Somente a política de intervalo" é a origem ou o destino.

  • A propriedade de objeto individual não existe mais. O acesso associado foi revogado e as solicitações de metadados do intervalo e do objeto não contêm mais o campo owner.

Além disso, se você ativar o recurso Somente a política de intervalo como parte da criação de um novo intervalo, ele receberá automaticamente outros papéis do Cloud IAM. Esse comportamento mantém as permissões legadas dos objetos das ACLs padrão de objetos do intervalo. Ao ativar o recurso em um intervalo atual, aplique esses papéis manualmente. Caso você tenha alterado as ACLs padrão de objetos do intervalo, pode ser melhor aplicar um conjunto de papéis diferente.

Comportamento se o recurso for revertido

Para que seja possível desativar o recurso Somente a política de intervalo e voltar a usar ACLs, o Cloud Storage salva as ACLs atuais por 90 dias. Ao desativar o recurso durante esse período:

  • os objetos recuperam as ACLs salvas;

  • todos os objetos adicionados ao intervalo depois que o recurso Somente a política de intervalo foi ativado recebem ACLs de acordo com as ACLs padrão de objetos usadas pelo intervalo.

Considerações ao migrar um intervalo atual

Ao ativar o recurso "Somente a política de intervalo" em um intervalo atual, é preciso garantir que os usuários e serviços que anteriormente dependiam de ACLs para acesso tenham suas permissões migradas para o Cloud IAM. Nesta seção, é possível ver a descrição de algumas etapas que precisam se seguidas ao migrar um intervalo para "Somente a política de intervalo". Observe que, como as ACLs e o Cloud IAM são sincronizados quanto a permissões de intervalo, as considerações se concentram especificamente no acesso a objetos no seu intervalo, e não no acesso ao intervalo.

Pense se uma permissão do IAM no nível do intervalo superexpõe dados

Antes de atribuir os equivalentes do Cloud IAM às suas ACLs, pense no seguinte:

  • Uma permissão do Cloud IAM empregada no nível do intervalo aplica-se a todos os objetos no intervalo, enquanto as ACLs de objeto podem variar de acordo com o objeto.

Se você quiser aplicar um determinado acesso a alguns objetos, mas não a outros, é preciso agrupá-los em intervalos separados. Cada agrupamento precisa conter objetos com as mesmas permissões.

Verifique o uso da ACL do objeto

Ao migrar para Somente a política do intervalo, é preciso verificar se os objetos no intervalo estão sendo acessados por meio das ACLs aplicadas a eles. Para isso, o Stackdriver tem uma métrica que rastreia o uso da ACL. Se a métrica indicar que os usuários ou serviços dependem de ACLs para acessar os objetos, é necessário atribuir equivalentes de Cloud IAM ao bloco antes de ativar o recurso "Somente a política do intervalo". Para orientações sobre como verificar o uso da ACL no Stackdriver, consulte Verificar o uso da ACL.

Use essa métrica para determinar se a ativação do recurso "Somente a política do intervalo" quebraria seu fluxo de trabalho:

Métrica Descrição
storage.googleapis.com/authz/acl_operations_count O número de operações de ACL que serão desativadas quando o recurso "Somente a política de intervalo" estiver ativado ou dividido por tipo de operação e intervalo de ACL.

Uma operação importante da ACL a ser examinada é OBJECT_ACCESS_REQUIRED_OBJECT_ACL:

  • Se esse número for zero, nenhuma ACL no nível do objeto foi necessária para acessar objetos nas últimas seis semanas. As políticas do Cloud IAM abrangem as permissões necessárias no nível do intervalo ou do projeto.

  • Se esse número for maior que zero, houveram solicitações de acesso a objetos nas últimas seis semanas que exigiam permissões de ACL de objeto. É necessário atribuir políticas do Cloud IAM equivalentes antes de ativar o recurso "somente a política de intervalo".

Para mais informações sobre as métricas do Stackdriver, consulte Métricas, séries temporais e recursos.

Verifique a ACL de objeto padrão do intervalo

Todos os intervalos têm uma ACL de objeto padrão associada. Essa ACL é aplicada aos novos objetos adicionados a um intervalo, a menos que uma ACL seja explicitamente fornecida no momento em que o objeto é adicionado.

Antes de ativar o recurso "Somente a política de intervalo", verifique a ACL de objeto padrão do seu intervalo. Considere se você quer conceder as permissões associadas à ACL de objeto padrão depois de ativar o recurso "Somente a política de intervalo". Nesse caso, atribua equivalentes do Cloud IAM ao intervalo.

Atribua equivalentes do Cloud IAM a ACLs de objeto

As ACLs de objeto podem conceder tipos de acesso que o Cloud IAM atualmente não permite. Para garantir que os usuários atuais não percam o acesso a objetos quando você ativar o recurso Somente a política do intervalo, use a tabela a seguir e atribua as funções apropriadas do Cloud IAM aos usuários afetados.

Permissão ACL de objeto Papel equivalente no Cloud IAM
READER roles/storage.legacyObjectReader
OWNER roles/storage.legacyObjectOwner

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.