Gestione delle risorse Cloud Storage mediante vincoli personalizzati

Il criterio dell'organizzazione fornisce vincoli predefiniti per di archiviazione ideale in Cloud Storage. Tuttavia, se vuoi più granulare, personalizzabile controllo sui campi specifici con restrizioni nella tua organizzazione criteri, puoi anche creare vincoli personalizzati e utilizzarli dei vincoli in un criterio dell'organizzazione.

Questa pagina descrive come impostare vincoli personalizzati per applicare i criteri su alle risorse di Cloud Storage.

Per testare un nuovo vincolo prima che venga applicato nell'ambiente di produzione, utilizza il Simulatore di criteri.

Eredità dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti dei e le risorse a cui applichi il criterio. Ad esempio, se applichi un criterio su un'organizzazione, Google Cloud applica il criterio a tutti all'interno dell'organizzazione. Per scoprire di più su questo comportamento e su come modificarlo, consulta su Regole di valutazione della gerarchia.

Prezzi

Il servizio Criteri dell'organizzazione, inclusi i vincoli predefiniti e personalizzati, è disponibile su senza costi aggiuntivi.

Limitazioni

  • È possibile configurare vincoli personalizzati per le risorse Cloud Storage utilizzando la console Google Cloud o Google Cloud CLI.

  • È possibile applicare vincoli personalizzati solo a CREATE o UPDATE per le risorse Cloud Storage.

  • I vincoli personalizzati appena applicati non si applicano automaticamente ai vincoli esistenti Google Cloud. Affinché il vincolo abbia un vincolo, è necessario aggiornare le risorse esistenti .

    Per trovare le risorse esistenti che dovranno essere aggiornate, puoi applicare criterio dell'organizzazione di prova.

  • Non è possibile usare vincoli personalizzati per vincolare ACL o IAM su oggetti o bucket.

Risorse supportate da Cloud Storage

Per Cloud Storage, puoi impostare vincoli personalizzati su quanto segue risorsa:

  • Bucket: storage.googleapis.com/Bucket

Ruoli obbligatori

Per informazioni sui ruoli necessari per gestire i criteri dell'organizzazione con vincoli personalizzati, consulta Ruoli obbligatori.

Oltre a gestire i criteri dell'organizzazione, ti consigliamo di testare i vincoli che crei. Per testare vincoli personalizzati, ti consigliamo di usano il ruolo predefinito o personalizzato meno permissivo contenente le autorizzazioni necessario per testare il vincolo specifico. Per vedere quali autorizzazioni e ruoli sono obbligatorio, consulta i ruoli e le autorizzazioni per Cloud Storage.

Configura un vincolo personalizzato

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il selettore di progetti nella parte superiore della pagina.

  3. Dal selettore dei progetti, seleziona la risorsa per cui vuoi per impostare il criterio dell'organizzazione.

  4. Fai clic su Vincolo personalizzato.

  5. Nel campo Nome visualizzato, inserisci un nome semplice per la di blocco. Questo campo ha una lunghezza massima di 200 caratteri. Non utilizzare PII o dati sensibili nei nomi dei vincoli, perché potrebbero essere essere esposti nei messaggi di errore.

  6. Nella casella ID vincolo, inserisci il nome per il nuovo un vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, per ad esempio custom.enforceBucketVersioning. La lunghezza massima è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom..

  7. Nel campo Descrizione, inserisci una descrizione semplice del del vincolo che viene visualizzato come messaggio di errore quando il criterio viene violato. Questo campo ha una lunghezza massima di 2000 caratteri.

  8. Nel campo Tipo di risorsa, seleziona il nome di Google Cloud Risorsa REST contenente l'oggetto e il campo da limitare. Ad esempio, storage.googleapis.com/Bucket.

  9. In Metodo di applicazione, scegli se applicare il vincolo sul metodo REST CREATE o UPDATE.

  10. Per definire una condizione, fai clic su Modifica condizione:

    1. Nel riquadro Aggiungi condizione, crea una condizione CEL che faccia riferimento a una risorsa di servizio supportata, ad esempio resource.versioning.enabled == true. Questo campo ha un valore la lunghezza massima di 1000 caratteri.

    2. Fai clic su Salva.

  11. In Azione, scegli se consentire o negare il metodo valutato se se la condizione è soddisfatta.

  12. Fai clic su Crea vincolo.

Dopo aver inserito un valore in ciascun campo, il codice YAML equivalente la configurazione del vincolo personalizzato viene visualizzata a destra.

gcloud

Per creare un vincolo personalizzato utilizzando Google Cloud CLI, crea un file YAML per il vincolo personalizzato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome che vuoi per il tuo nuovo un vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, per ad esempio custom.enforceBucketVersioning. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio, organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME: il nome completo del Risorsa REST Google Cloud contenente l'oggetto e il campo da restrict. Ad esempio, storage.googleapis.com/Bucket.

  • METHOD1,METHOD2: un elenco di Metodi RESTful per cui applicare il vincolo. Può essere CREATE o CREATE e UPDATE.

  • CONDITION: una condizione CEL che si riferisce a una di risorse di servizio supportate, "resource.versioning.enabled == true". Questo campo ha un limite massimo di 1000 caratteri. Per maggiori dettagli sull'utilizzo di CEL, consulta Common Expression Language.

  • ACTION: l'azione da eseguire se condition è sono soddisfatte determinate condizioni. Può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome semplice per di blocco. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione del del vincolo che viene visualizzato come messaggio di errore quando il criterio viene violato. Questo ha una lunghezza massima di 2000 caratteri.

Dopo aver creato un nuovo vincolo personalizzato utilizzando Google Cloud CLI, devi configurarlo per disponibile per i criteri dell'organizzazione nella tua organizzazione. Per configurare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Sostituisci CONSTRAINT_PATH con il percorso completo del tuo personalizzato. Ad esempio: /home/user/customconstraint.yaml. Al termine, troverai i vincoli personalizzati come criteri dell'organizzazione disponibili nel tuo elenco di criteri dell'organizzazione di Google Cloud. Per verificare che il vincolo personalizzato esista, utilizza il metodo Comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'ID della risorsa dell'organizzazione. Per ulteriori informazioni, vedi Visualizzazione dei criteri dell'organizzazione.

Se la richiesta ha esito positivo, l'output è simile al seguente:

CUSTOM_CONSTRAINT             ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                     DISPLAY_NAME
custom.uniformBucketLevelAccess  DENY         CREATE,UPDATE  storage.googleapis.com/Bucket  Enable object versioning

Per ulteriori informazioni sulla configurazione e la gestione di vincoli personalizzati, consulta Creazione e gestione di vincoli personalizzati.

Applica un vincolo

Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che vi faccia riferimento. applicando il criterio dell'organizzazione a una risorsa Google Cloud.

Console

Per applicare un vincolo booleano:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il selettore di progetti nella parte superiore della pagina.
  3. Dal selettore di progetti, scegli il progetto per il quale vuoi impostare criterio dell'organizzazione.
  4. Seleziona il vincolo dall'elenco nella pagina Criteri dell'organizzazione. Dovrebbe essere visualizzata la pagina Dettagli criterio per il vincolo in questione.
  5. Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
  6. Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
  7. Fai clic su Aggiungi una regola.
  8. In Applicazione, scegli se applicare questo criterio dell'organizzazione deve essere attivato o disattivato.
  9. Se vuoi, per applicare le condizioni del criterio dell'organizzazione a un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un'organizzazione devi aggiungere almeno una regola incondizionata. In caso contrario, la norma non potrà essere salvata. Per ulteriori informazioni i dettagli, vedi Impostazione di un criterio dell'organizzazione con i tag.
  10. Se si tratta di un vincolo personalizzato, puoi fare clic su Testa modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, vedi Testa le modifiche ai criteri dell'organizzazione con Policy Simulator.
  11. Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. Le norme potrebbero essere necessari fino a 15 minuti.

gcloud

Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un criterio File YAML che fa riferimento al vincolo: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Sostituisci quanto segue:

  • PROJECT_ID: il progetto su cui vuoi applicare in modo forzato i tuoi di blocco.
  • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Per ad esempio custom.uniformBucketLevelAccess.

Per applicare il criterio dell'organizzazione contenente il vincolo, esegui questo comando: 

    gcloud org-policies set-policy POLICY_PATH

Sostituisci POLICY_PATH con il percorso completo del criterio dell'organizzazione YAML. L'applicazione del criterio richiederà fino a 15 minuti.

Le richieste rifiutate per violazione di un vincolo personalizzato non vanno a buon fine con un Errore 412: CUSTOM_ORGPOLICY_CONSTRAINT_FAILED.

Esempio: creare un vincolo che applichi le chiavi di crittografia gestite dal cliente sui bucket

gcloud

  1. Crea un file di vincolo enforceCMEK.yaml con quanto segue informazioni:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.customerManagedEncryptionKeys
resource_types: storage.googleapis.com/Bucket
method_types:
– CREATE
– UPDATE
condition: "has(resource.encryption.defaultKmsKeyName)"
action_type: ALLOW
display_name: Enforce Cloud KMS key
description: When this constraint is enforced, newly created buckets and newly updated buckets must be encrypted with a
Cloud KMS key. The Cloud KMS key on existing buckets can be updated but not deleted.

  2. Imposta il vincolo personalizzato.

    gcloud org-policies set-custom-constraint enforceCMEK.yaml

  3. Crea un file di criteri enforceCMEK-policy.yaml con le seguenti informazioni.

    name: projects/PROJECT_ID/policies/custom.customerManagedEncryptionKeys
spec:
  rules:
  – enforce: true

    Sostituisci PROJECT_ID con l'ID progetto.

    In questo esempio, il vincolo viene applicato a livello di progetto, ma puoi impostarla anche a livello di organizzazione o di cartella livello.

  4. Applica il criterio.

    gcloud org-policies set-policy enforceCMEK-policy.yaml

Esempi di vincoli personalizzati per i casi d'uso comuni

Le sezioni seguenti forniscono la sintassi di alcuni vincoli personalizzati che potrebbero trovare utile:

Caso d'uso Sintassi
I criteri di conservazione del bucket devono avere un periodo che rientri nelle durate specificate 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.retentionPolicy
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.retentionPolicy.retentionPeriod not in [3600, 2678400]"
      action_type: DENY
      display_name: Bucket retention policy is either 3,600 seconds or 2,678,400 seconds
      description: Newly created buckets and newly updated buckets must have a
      retention policy that's either 3,600 seconds or 2,678,400 seconds.
Nei bucket deve essere abilitato il controllo delle versioni degli oggetti 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.versioning.enabled == true"
      action_type: ALLOW
      display_name: Buckets must have Object Versioning enabled
      description: Newly created buckets and newly updated buckets must have Object Versioning enabled.
I bucket devono essere denominati utilizzando un'espressione regolare specifica 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketName
      method_types:
      – CREATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.name.matches('^[a-zA-Z]+$')"
      action_type: ALLOW
      display_name: Bucket names must match the specified regular expression
      description: Newly created buckets must have a name that matches the
      specified regular expression. Only letters are allowed in the bucket name.
Il blocco bucket non può essere abilitato per i bucket 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.retentionPolicy.isLocked == true"
      action_type: DENY
      display_name: Prohibit the use of Bucket Lock
      description: Newly created buckets and newly updated buckets cannot have
      Bucket Lock enabled.
Nei bucket non può essere abilitato il blocco di conservazione degli oggetti 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.objectRetention.mode == 'Enabled'"
      action_type: DENY
      display_name: Objects cannot have retention configurations
      description: Newly created buckets and newly updated buckets cannot have
      Object Retention Lock enabled.
Bucket situati nelle regioni multiple US o EU deve avere un periodo di conservazione di 86.400 secondi 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400"
      action_type: DENY
      display_name: All buckets in US and EU must have a retention policy of 86,400 seconds
      description: Newly created buckets and newly updated buckets located in
      US and EU regions must have a retention policy of 86,400 seconds.
I bucket devono avere etichette1 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.labels
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']"
      action_type: ALLOW
      display_name: Buckets must have a label classifying the contents of the bucket
      description: Newly created buckets and newly updated buckets must have the
      label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or
      SOURCE_VIDEOS key.
I bucket devono trovarsi in una doppia regione 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations"
      action_type: ALLOW
      display_name: Buckets must be located in a dual-region
      description: Newly created buckets and newly updated buckets must be located in a dual-region
      composed of the us-east1 and us-east4 regions.
I bucket non possono utilizzare classi di archiviazione legacy 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']"
      action_type: ALLOW
      display_name: Buckets cannot use legacy storage classes
      description: Newly created buckets and newly updated buckets must use
      Standard storage, Nearline storage, Coldline storage, or Archive storage.

1 Se specifichi una chiave di etichetta del bucket che non esiste, viene restituita Errore BAD_CONDITION. Questo errore blocca CREATE e UPDATE metodi dall'esecuzione sul bucket. Per evitare che questo accada verifica sempre che la chiave dell'etichetta esista prima utilizzando "my_annotations.data.source" in resource.labels.

Campi di espressione per le condizioni

La tabella seguente contiene i campi delle espressioni che puoi utilizzare per creare conditions. Le condizioni sono scritte in Common Expression Language (CEL). Tieni presente che il valore di questi campi di espressione fa distinzione tra maiuscole e minuscole.

Per le descrizioni dei seguenti campi di espressione e dei valori che puoi vedi Rappresentazione delle risorse dei bucket per l'API JSON.

Campo Espressione Tipo di valore
billing message
billing.requesterPays bool
cors message
cors.maxAgeSeconds int
cors.method list
cors.origin list
cors.responseHeader list
customPlacementConfig message
customPlacementConfig.dataLocations1 list
defaultEventBasedHold bool
encryption message
encryption.defaultKmsKeyName string
iamConfiguration message
iamConfiguration.publicAccessPrevention string
iamConfiguration.uniformBucketLevelAccess message
iamConfiguration.uniformBucketLevelAccess.enabled bool
labels map
lifecycle message
lifecycle.rule list
lifecycle.rule.action message
lifecycle.rule.action.storageClass1 string
lifecycle.rule.action.type string
lifecycle.rule.condition message
lifecycle.rule.condition.age int
lifecycle.rule.condition.createdBefore string
lifecycle.rule.condition.customTimeBefore string
lifecycle.rule.condition.daysSinceCustomTime int
lifecycle.rule.condition.daysSinceNoncurrentTime int
lifecycle.rule.condition.isLive bool
lifecycle.rule.condition.matchesPrefix list
lifecycle.rule.condition.matchesStorageClass list
lifecycle.rule.condition.matchesSuffix list
lifecycle.rule.condition.noncurrentTimeBefore string
lifecycle.rule.condition.numNewerVersions int
location1 string
locationType string
logging message
logging.logBucket string
logging.logObjectPrefix string
objectRetention object
objectRetention.mode string
name string
projectNumber string
retentionPolicy message
retentionPolicy.isLocked bool
retentionPolicy.retentionPeriod int
rpo string
storageClass1 string
versioning message
versioning.enabled bool
website message
website.mainPageSuffix string
website.notFoundPage string

1 Il valore di questo campo deve essere scritto in maiuscolo.

Considerazioni

Le etichette di bucket non sono consigliate per l'utilizzo in un vincolo personalizzato conditions. Usa invece i tag, che possono essere impostati solo da persone con i ruoli IAM richiesti e sono più rigorosamente controllati delle etichette.