Gestire le risorse Cloud Storage utilizzando vincoli personalizzati

I criteri dell'organizzazione forniscono vincoli predefiniti per Cloud Storage. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nei criteri dell'organizzazione, puoi anche creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione.

Questa pagina descrive come impostare vincoli personalizzati per applicare i criteri alle risorse Cloud Storage.

Per testare un nuovo vincolo prima che venga applicato nell'ambiente di produzione, utilizza lo strumento di simulazione dei criteri.

Ereditarietà dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a un'organizzazione, Google Cloud lo applica a tutti i progetti dell'organizzazione. Per scoprire di più su questo comportamento e su come modificarlo, consulta le Regole di valutazione della gerarchia.

Prezzi

Il servizio Norme dell'organizzazione, inclusi i vincoli predefiniti e personalizzati, viene offerto senza costi.

Limitazioni

  • I vincoli personalizzati per le risorse Cloud Storage possono essere configurati solo utilizzando la console Google Cloud o Google Cloud CLI.

  • I vincoli personalizzati possono essere applicati solo ai metodi CREATE o UPDATE per le risorse Cloud Storage.

  • I vincoli personalizzati appena applicati non vengono applicati automaticamente alle risorse esistenti. Le risorse esistenti devono essere aggiornate affinché il vincolo venga applicato.

    Per trovare le risorse esistenti che dovranno essere aggiornate, puoi applicare un criterio dell'organizzazione di prova.

  • I vincoli personalizzati non possono essere utilizzati per limitare gli ACL o i criteri IAM su oggetti o bucket.

Risorse supportate da Cloud Storage

Per Cloud Storage, puoi impostare vincoli personalizzati sulla seguente risorsa:

  • Bucket: storage.googleapis.com/Bucket

Ruoli obbligatori

Per informazioni sui ruoli necessari per gestire i criteri dell'organizzazione con vincoli personalizzati, consulta Ruoli richiesti.

Oltre a gestire i criteri dell'organizzazione, ti consigliamo di testare le limitazioni personalizzate che crei. Per testare i vincoli personalizzati, ti consigliamo di utilizzare il ruolo predefinito o personalizzato meno permissivo che contiene le autorizzazioni richieste per testare il vincolo specifico. Per sapere quali autorizzazioni e ruoli sono obbligatori, consulta i ruoli e le autorizzazioni per Cloud Storage.

Configurare un vincolo personalizzato

Console

  1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il selettore di progetti nella parte superiore della pagina.

  3. Nel Selettore di progetti, seleziona la risorsa per cui vuoi impostare il criterio dell'organizzazione.

  4. Fai clic su Vincolo personalizzato.

  5. Nel campo Nome visualizzato, inserisci un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri. Non utilizzare PII o dati sensibili nei nomi dei vincoli, perché potrebbero essere esposti nei messaggi di errore.

  6. Nella casella ID vincolo, inserisci il nome che vuoi assegnare al nuovo vincolo personalizzato. Una limitazione personalizzata deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.enforceBucketVersioning. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom..

  7. Nel campo Descrizione, inserisci una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.

  8. Nel campo Tipo di risorsa, seleziona il nome della risorsa REST di Google Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio, storage.googleapis.com/Bucket.

  9. In Metodo di applicazione, scegli se applicare il vincolo sul metodo REST CREATE o UPDATE.

  10. Per definire una condizione, fai clic su Modifica condizione.

    1. Nel riquadro Aggiungi condizione, crea una condizione CEL che rimandi a una risorsa di servizio supportata, ad esempio resource.versioning.enabled == true. Questo campo ha una lunghezza massima di 1000 caratteri.

    2. Fai clic su Salva.

  11. In Azione, seleziona se consentire o negare il metodo valutato se la condizione è soddisfatta.

  12. Fai clic su Crea vincolo.

Dopo aver inserito un valore in ogni campo, a destra viene visualizzata la configurazione YAML equivalente per questo vincolo personalizzato.

gcloud

Per creare un vincolo personalizzato utilizzando Google Cloud CLI, crea un file YAML per il vincolo personalizzato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Una limitazione personalizzata deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.enforceBucketVersioning. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME: il nome completamente qualificato della risorsa REST di Google Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio, storage.googleapis.com/Bucket.

  • METHOD1,METHOD2: un elenco di metodi RESTful per i quali applicare la limitazione. Può essere CREATE o CREATE e UPDATE.

  • CONDITION: una condizione CEL che fa riferimento a una risorsa di servizio supportata, ad esempio "resource.versioning.enabled == true". Questo campo ha una lunghezza massima di 1000 caratteri. Per informazioni dettagliate sull'utilizzo di CEL, consulta Common Expression Language.

  • ACTION: l'azione da intraprendere se viene soddisfatto il criterio condition. Può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.

Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione nella tua organizzazione. Per impostare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint:

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Sostituisci CONSTRAINT_PATH con il percorso completo del file delle limitazioni personalizzate. Ad esempio: /home/user/customconstraint.yaml. Al termine, i vincoli personalizzati sono disponibili come criteri dell'organizzazione nell'elenco dei criteri dell'organizzazione di Google Cloud. Per verificare che la limitazione personalizzata esista, utilizza il comando gcloud org-policies list-custom-constraints:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione. Per ulteriori informazioni, consulta Visualizzare i criteri dell'organizzazione.

Se la richiesta va a buon fine, l'output è simile al seguente:

CUSTOM_CONSTRAINT             ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                     DISPLAY_NAME
custom.uniformBucketLevelAccess  DENY         CREATE,UPDATE  storage.googleapis.com/Bucket  Enable object versioning

Per ulteriori informazioni sulla configurazione e sulla gestione dei vincoli personalizzati, consulta Creare e gestire vincoli personalizzati.

Applicare un vincolo

Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che lo richiami e poi applicando questo criterio dell'organizzazione a una risorsa Google Cloud.

Console

  1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
  3. Nell'elenco della pagina Criteri dell'organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli dei criteri relativa al vincolo in questione.
  4. Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
  5. Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
  6. Fai clic su Aggiungi una regola.
  7. Nella sezione Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione è attivata o disattivata.
  8. (Facoltativo) Per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con tag.
  9. Se si tratta di un vincolo personalizzato, puoi fare clic su Prova modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
  10. Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. L'applicazione del criterio può richiedere fino a 15 minuti.

gcloud

Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un file YAML del criterio che faccia riferimento al vincolo:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

Sostituisci quanto segue:

  • PROJECT_ID: il progetto su cui vuoi applicare il vincolo.
  • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Ad esempio, custom.uniformBucketLevelAccess.

Per applicare il criterio dell'organizzazione contenente la limitazione, esegui il seguente comando:

    gcloud org-policies set-policy POLICY_PATH
    

Sostituisci POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio può richiedere fino a 15 minuti.

Le richieste rifiutate per violazione di un vincolo personalizzato non vanno a buon fine con un 412 errore: CUSTOM_ORGPOLICY_CONSTRAINT_FAILED.

Esempio: crea una limitazione che imponga le chiavi di crittografia gestite dal cliente sui bucket

gcloud

  1. Crea un file di vincoli enforceCMEK.yaml con le seguenti informazioni:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.customerManagedEncryptionKeys
    resource_types: storage.googleapis.com/Bucket
    method_types: CREATE UPDATE
    condition: "has(resource.encryption.defaultKmsKeyName)"
    action_type: ALLOW
    display_name: Enforce Cloud KMS key
    description: When this constraint is enforced, newly created buckets and newly updated buckets must be encrypted with a
    Cloud KMS key. The Cloud KMS key on existing buckets can be updated but not deleted.
  2. Imposta il vincolo personalizzato.

    gcloud org-policies set-custom-constraint enforceCMEK.yaml
    
  3. Crea un file di criteri enforceCMEK-policy.yaml con le seguenti informazioni.

    name: projects/PROJECT_ID/policies/custom.customerManagedEncryptionKeys
    spec:
      rules:
    enforce: true

    Sostituisci PROJECT_ID con l'ID progetto.

    In questo esempio, applichiamo questo vincolo a livello di progetto, ma puoi impostarlo anche a livello di organizzazione o cartella.

  4. Applica il criterio.

    gcloud org-policies set-policy enforceCMEK-policy.yaml
    

Esempi di vincoli personalizzati per casi d'uso comuni

Le sezioni seguenti forniscono la sintassi di alcuni vincoli personalizzati che potresti trovare utili:

Caso d'uso Sintassi
I criteri di conservazione dei bucket devono avere un periodo compreso tra le durate specificate
      name: organizations/ORGANIZATION_ID/customConstraints/custom.retentionPolicy
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.retentionPolicy.retentionPeriod not in [3600, 2678400]"
      action_type: DENY
      display_name: Bucket retention policy is either 3,600 seconds or 2,678,400 seconds
      description: Newly created buckets and newly updated buckets must have a
      retention policy that's either 3,600 seconds or 2,678,400 seconds.
Per i bucket deve essere abilitato il controllo delle versioni degli oggetti
      name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.versioning.enabled == true"
      action_type: ALLOW
      display_name: Buckets must have Object Versioning enabled
      description: Newly created buckets and newly updated buckets must have Object Versioning enabled.
I bucket devono essere denominati utilizzando un'espressione regolare specifica
      name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketName
      method_types:
CREATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.name.matches('^[a-zA-Z]+$')"
      action_type: ALLOW
      display_name: Bucket names must match the specified regular expression
      description: Newly created buckets must have a name that matches the
      specified regular expression. Only letters are allowed in the bucket name.
Per i bucket non è possibile attivare il blocco dei bucket
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.retentionPolicy.isLocked == true"
      action_type: DENY
      display_name: Prohibit the use of Bucket Lock
      description: Newly created buckets and newly updated buckets cannot have
      Bucket Lock enabled.
Nei bucket non è possibile attivare il blocco della conservazione degli oggetti
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.objectRetention.mode == 'Enabled'"
      action_type: DENY
      display_name: Objects cannot have retention configurations
      description: Newly created buckets and newly updated buckets cannot have
      Object Retention Lock enabled.
I bucket situati nelle regioni multiregionali US o EU devono avere un periodo di conservazione di 86.400 secondi
      name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400"
      action_type: DENY
      display_name: All buckets in US and EU must have a retention policy of 86,400 seconds
      description: Newly created buckets and newly updated buckets located in
      US and EU regions must have a retention policy of 86,400 seconds.
I bucket devono avere etichette.1
      name: organizations/ORGANIZATION_ID/customConstraints/custom.labels
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']"
      action_type: ALLOW
      display_name: Buckets must have a label classifying the contents of the bucket
      description: Newly created buckets and newly updated buckets must have the
      label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or
      SOURCE_VIDEOS key.
I bucket devono trovarsi in una doppia regione
      name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations"
      action_type: ALLOW
      display_name: Buckets must be located in a dual-region
      description: Newly created buckets and newly updated buckets must be located in a dual-region
      composed of the us-east1 and us-east4 regions.
I bucket non possono utilizzare le classi di archiviazione precedenti
      name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']"
      action_type: ALLOW
      display_name: Buckets cannot use legacy storage classes
      description: Newly created buckets and newly updated buckets must use
      Standard storage, Nearline storage, Coldline storage, or Archive storage.

1 Se specifichi una chiave dell'etichetta del bucket che non esiste, viene restituito un errore BAD_CONDITION. Questo errore impedisce l'esecuzione dei metodi CREATE e UPDATE nel bucket. Per evitare questo errore, verifica sempre che la chiave dell'etichetta esista prima utilizzando "my_annotations.data.source" in resource.labels.

Campi di espressione per le condizioni

La tabella seguente contiene i campi di espressione che puoi utilizzare per creare condizioni. Le condizioni sono scritte in Common Expression Language (CEL). Tieni presente che il valore di questi campi di espressione è sensibile alle maiuscole.

Per le descrizioni dei seguenti campi di espressione e dei valori che puoi specificare, consulta la rappresentazione della risorsa Buckets per l'API JSON.

Campo espressione Tipo di valore
billing.requesterPays bool
cors list
cors.maxAgeSeconds int
cors.method list
cors.origin list
cors.responseHeader list
customPlacementConfig.dataLocations1 list
defaultEventBasedHold bool
encryption.defaultKmsKeyName string
iamConfiguration.publicAccessPrevention string
iamConfiguration.uniformBucketLevelAccess.enabled bool
labels map
lifecycle.rule list
lifecycle.rule.action.storageClass1 string
lifecycle.rule.action.type string
lifecycle.rule.condition.age int
lifecycle.rule.condition.createdBefore string
lifecycle.rule.condition.customTimeBefore string
lifecycle.rule.condition.daysSinceCustomTime int
lifecycle.rule.condition.daysSinceNoncurrentTime int
lifecycle.rule.condition.isLive bool
lifecycle.rule.condition.matchesPrefix list
lifecycle.rule.condition.matchesStorageClass list
lifecycle.rule.condition.matchesSuffix list
lifecycle.rule.condition.noncurrentTimeBefore string
lifecycle.rule.condition.numNewerVersions int
location1 string
locationType string
logging.logBucket string
logging.logObjectPrefix string
objectRetention.mode string
name string
projectNumber2 string
retentionPolicy.isLocked bool
retentionPolicy.retentionPeriod int
rpo string
softDeletePolicy.retentionDurationSeconds int
storageClass1 string
versioning.enabled bool
website.mainPageSuffix string
website.notFoundPage string

1 Il valore di questo campo deve essere scritto in maiuscolo.

2 Questo campo è obsoleto.

Considerazioni

Le etichette dei bucket non sono consigliate per l'utilizzo nelle condizioni di vincolo personalizzate. Utilizza invece i tag, che possono essere impostati solo da persone con ruoli IAM obbligatori e sono controllati più rigidamente rispetto alle etichette.