Mengelola resource Cloud Storage menggunakan batasan kustom

Kebijakan Organisasi memberikan batasan yang telah ditetapkan untuk Cloud Storage. Namun, jika menginginkan kontrol yang lebih terperinci dan dapat disesuaikan atas kolom tertentu yang dibatasi dalam kebijakan organisasi, Anda juga dapat membuat batasan kustom dan menggunakan batasan kustom tersebut dalam kebijakan organisasi.

Halaman ini menjelaskan cara menetapkan batasan kustom untuk menerapkan kebijakan pada resource Cloud Storage.

Untuk menguji batasan baru sebelum diterapkan di lingkungan produksi, gunakan Simulator Kebijakan.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada organisasi, Google Cloud akan menerapkan kebijakan tersebut pada semua project dalam organisasi. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Harga

Layanan Kebijakan Organisasi, termasuk batasan yang telah ditetapkan dan khusus, ditawarkan tanpa biaya.

Batasan

  • Batasan kustom untuk resource Cloud Storage hanya dapat disiapkan menggunakan konsol Google Cloud atau Google Cloud CLI.

  • Batasan kustom hanya dapat diterapkan pada metode CREATE atau UPDATE untuk resource Cloud Storage.

  • Batasan kustom yang baru diterapkan tidak otomatis diterapkan ke resource yang ada. Resource yang ada harus diperbarui agar batasan dapat diterapkan.

    Untuk menemukan resource yang ada yang perlu diperbarui, Anda dapat menerapkan kebijakan organisasi uji coba.

  • Batasan kustom tidak dapat digunakan untuk membatasi ACL atau kebijakan IAM pada objek atau bucket.

Resource yang didukung Cloud Storage

Untuk Cloud Storage, Anda dapat menetapkan batasan khusus pada resource berikut:

  • Bucket: storage.googleapis.com/Bucket

Peran yang diperlukan

Untuk mengetahui informasi tentang peran yang diperlukan untuk mengelola kebijakan organisasi dengan batasan kustom, lihat Peran yang diperlukan.

Selain mengelola kebijakan organisasi, Anda mungkin ingin menguji batasan kustom yang Anda buat. Untuk menguji batasan kustom, sebaiknya Anda menggunakan peran bawaan atau kustom yang paling tidak permisif yang berisi izin yang diperlukan untuk menguji batasan tertentu. Untuk melihat izin dan peran yang diperlukan, lihat peran dan izin untuk Cloud Storage.

Menyiapkan batasan kustom

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Pilih Project picker di bagian atas halaman.

  3. Dari Project picker, pilih resource yang ingin Anda tetapkan kebijakan organisasinya.

  4. Klik Custom constraint.

  5. Di kolom Nama tampilan, masukkan nama yang mudah dipahami manusia untuk batasan. Kolom ini memiliki panjang maksimal 200 karakter. Jangan menggunakan PII atau data sensitif dalam nama batasan, karena dapat terekspos dalam pesan error.

  6. Di kotak Constraint ID, masukkan nama yang diinginkan untuk batasan kustom baru. Batasan kustom harus diawali dengan custom., dan hanya dapat menyertakan huruf besar, huruf kecil, atau angka, misalnya, custom.enforceBucketVersioning. Panjang maksimum kolom ini adalah 70 karakter, tidak menghitung awalan, misalnya, organizations/123456789/customConstraints/custom..

  7. Di kolom Description, masukkan deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimal 2000 karakter.

  8. Di kolom Resource type, pilih nama resource REST Google Cloudyang berisi objek dan kolom yang ingin Anda batasi. Contohnya, storage.googleapis.com/Bucket.

  9. Di bagian Enforcement method, pilih apakah akan menerapkan batasan pada metode CREATE atau UPDATE REST.

  10. Untuk menentukan kondisi, klik Edit condition.

    1. Di panel Add condition, buat kondisi CEL yang mengacu pada resource layanan yang didukung, misalnya resource.versioning.enabled == true. Kolom ini memiliki panjang maksimal 1.000 karakter.

    2. Klik Simpan.

  11. Di bagian Action, pilih apakah akan mengizinkan atau menolak metode yang dievaluasi jika kondisi terpenuhi.

  12. Klik Create constraint.

Setelah Anda memasukkan nilai ke setiap kolom, konfigurasi YAML yang setara untuk batasan kustom ini akan muncul di sebelah kanan.

gcloud

Untuk membuat batasan khusus menggunakan Google Cloud CLI, buat file YAML untuk batasan kustom:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.

  • CONSTRAINT_NAME: nama yang Anda inginkan untuk batasan kustom baru. Batasan kustom harus diawali dengan custom., dan hanya dapat menyertakan huruf besar, huruf kecil, atau angka, misalnya, custom.enforceBucketVersioning. Panjang maksimum kolom ini adalah 70 karakter, tidak menghitung awalan, misalnya, organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME: nama lengkap resourceGoogle Cloud REST yang berisi objek dan kolom yang ingin Anda batasi. Misalnya, storage.googleapis.com/Bucket.

  • METHOD1,METHOD2: daftar metode RESTful yang akan menerapkan batasan. Dapat berupa CREATE atau CREATE dan UPDATE.

  • CONDITION: kondisi CEL yang mengacu pada resource layanan yang didukung, misalnya "resource.versioning.enabled == true". Kolom ini memiliki panjang maksimal 1000 karakter. Untuk mengetahui detail tentang penggunaan CEL, lihat Common Expression Language.

  • ACTION: tindakan yang akan diambil jika condition terpenuhi. Ini dapat berupa ALLOW atau DENY.

  • DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimal 200 karakter.

  • DESCRIPTION: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimal 2.000 karakter.

Setelah membuat file YAML untuk batasan khusus baru, Anda harus menyiapkannya agar tersedia untuk kebijakan organisasi di organisasi Anda. Untuk menyiapkan batasan kustom, gunakan perintah gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Ganti CONSTRAINT_PATH dengan jalur lengkap ke file batasan kustom Anda. Contohnya, /home/user/customconstraint.yaml Setelah selesai, batasan kustom Anda akan tersedia sebagai kebijakan organisasi dalam daftar Google Cloud kebijakan organisasi Anda. Untuk memverifikasi bahwa ada batasan kustom, gunakan perintah gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Ganti ORGANIZATION_ID dengan ID fasilitas organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Melihat kebijakan organisasi.

Jika permintaan berhasil, output-nya akan mirip dengan berikut ini:

CUSTOM_CONSTRAINT             ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                     DISPLAY_NAME
custom.uniformBucketLevelAccess  DENY         CREATE,UPDATE  storage.googleapis.com/Bucket  Enable object versioning

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan dan mengelola batasan kustom, lihat Membuat dan mengelola batasan kustom.

Menerapkan batasan

Anda dapat menerapkan batasan boolean dengan membuat kebijakan organisasi yang mereferensikannya, lalu menerapkan kebijakan organisasi tersebut ke resource Google Cloud .

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Dari pemilih project, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
  3. Dari daftar di halaman Organization policies, pilih batasan untuk melihat halaman Policy details untuk batasan tersebut.
  4. Untuk mengonfigurasi kebijakan organisasi untuk resource ini, klik Manage policy.
  5. Di halaman Edit policy, pilih Override parent's policy.
  6. Klik Add a rule.
  7. Di bagian Enforcement, pilih apakah penerapan kebijakan organisasi ini diaktifkan atau dinonaktifkan.
  8. Opsional: Untuk membuat kebijakan organisasi bersyarat pada tag, klik Add condition. Perhatikan bahwa jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui informasi selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.
  9. Jika ini adalah batasan kustom, Anda dapat mengklik Uji perubahan untuk menyimulasikan efek kebijakan organisasi ini. Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
  10. Untuk menyelesaikan dan menerapkan kebijakan organisasi, klik Set policy. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

gcloud

Untuk membuat kebijakan organisasi yang menerapkan batasan boolean, buat file YAML kebijakan yang merujuk batasan tersebut: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Ganti kode berikut:

  • PROJECT_ID: project tempat Anda ingin menerapkan batasan.
  • CONSTRAINT_NAME: nama yang Anda tentukan untuk batasan kustom. Contoh, custom.uniformBucketLevelAccess

Untuk menerapkan kebijakan organisasi yang berisi batasan, jalankan perintah berikut: 

    gcloud org-policies set-policy POLICY_PATH

Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

Permintaan yang ditolak karena melanggar batasan kustom akan gagal dengan error 412: CUSTOM_ORGPOLICY_CONSTRAINT_FAILED.

Contoh: Membuat batasan yang menerapkan kunci enkripsi yang dikelola pelanggan pada bucket

gcloud

  1. Buat file batasan enforceCMEK.yaml dengan informasi berikut:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.customerManagedEncryptionKeys
resource_types: storage.googleapis.com/Bucket
method_types: CREATE UPDATE
condition: "has(resource.encryption.defaultKmsKeyName)"
action_type: ALLOW
display_name: Enforce Cloud KMS key
description: When this constraint is enforced, newly created buckets and newly updated buckets must be encrypted with a
Cloud KMS key. The Cloud KMS key on existing buckets can be updated but not deleted.

  2. Tetapkan batasan kustom.

    gcloud org-policies set-custom-constraint enforceCMEK.yaml

  3. Buat file kebijakan enforceCMEK-policy.yaml dengan informasi berikut.

    name: projects/PROJECT_ID/policies/custom.customerManagedEncryptionKeys
spec:
  rules:
enforce: true

    Ganti PROJECT_ID dengan project ID Anda.

    Dalam contoh ini, kami menerapkan batasan ini di level project, tetapi Anda juga dapat menetapkannya di level organisasi atau folder.

  4. Terapkan kebijakan.

    gcloud org-policies set-policy enforceCMEK-policy.yaml

Contoh batasan kustom untuk kasus penggunaan umum

Bagian berikut memberikan sintaksis beberapa batasan khusus yang mungkin berguna bagi Anda:

Kasus penggunaan Sintaks
Kebijakan retensi bucket harus memiliki periode yang berada dalam durasi yang ditentukan 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.retentionPolicy
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.retentionPolicy.retentionPeriod not in [3600, 2678400]"
      action_type: DENY
      display_name: Bucket retention policy is either 3,600 seconds or 2,678,400 seconds
      description: Newly created buckets and newly updated buckets must have a
      retention policy that's either 3,600 seconds or 2,678,400 seconds.
Bucket harus mengaktifkan Pembuatan Versi Objek 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.versioning.enabled == true"
      action_type: ALLOW
      display_name: Buckets must have Object Versioning enabled
      description: Newly created buckets and newly updated buckets must have Object Versioning enabled.
Bucket harus diberi nama menggunakan ekspresi reguler tertentu 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketName
      method_types:
CREATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.name.matches('^[a-zA-Z]+$')"
      action_type: ALLOW
      display_name: Bucket names must match the specified regular expression
      description: Newly created buckets must have a name that matches the
      specified regular expression. Only letters are allowed in the bucket name.
Bucket tidak dapat mengaktifkan Kunci Bucket 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.retentionPolicy.isLocked == true"
      action_type: DENY
      display_name: Prohibit the use of Bucket Lock
      description: Newly created buckets and newly updated buckets cannot have
      Bucket Lock enabled.
Bucket tidak dapat mengaktifkan Kunci Retensi Objek 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.objectRetention.mode == 'Enabled'"
      action_type: DENY
      display_name: Objects cannot have retention configurations
      description: Newly created buckets and newly updated buckets cannot have
      Object Retention Lock enabled.
Bucket yang berada di multi-region US atau EU harus memiliki periode retensi 86.400 detik 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400"
      action_type: DENY
      display_name: All buckets in US and EU must have a retention policy of 86,400 seconds
      description: Newly created buckets and newly updated buckets located in
      US and EU regions must have a retention policy of 86,400 seconds.
Bucket harus memiliki label1 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.labels
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']"
      action_type: ALLOW
      display_name: Buckets must have a label classifying the contents of the bucket
      description: Newly created buckets and newly updated buckets must have the
      label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or
      SOURCE_VIDEOS key.
Bucket harus berada di region ganda 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations"
      action_type: ALLOW
      display_name: Buckets must be located in a dual-region
      description: Newly created buckets and newly updated buckets must be located in a dual-region
      composed of the us-east1 and us-east4 regions.
Bucket tidak dapat menggunakan class penyimpanan lama 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass
      method_types:
CREATE
UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']"
      action_type: ALLOW
      display_name: Buckets cannot use legacy storage classes
      description: Newly created buckets and newly updated buckets must use
      Standard storage, Nearline storage, Coldline storage, or Archive storage.
Pemfilteran IP bucket harus membatasi permintaan dari semua internet publik 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.IpFilter
      method_types:
CREATE
      resource_types: storage.googleapis.com/Bucket
      condition: "!has(resource.ipFilter) || (resource.ipFilter.mode == 'Disabled' || resource.ipFilter.publicNetworkSource.allowedIpCidrRanges.size() > 0)"
      action_type: DENY
      display_name: Bucket IP filter rules must restrict all the public network
      description: Newly created buckets must have IP filtering and IP filtering rules must restrict all public network resources.

1 Menentukan kunci label bucket yang tidak ada akan menampilkan error BAD_CONDITION. Error ini memblokir metode CREATE dan UPDATE agar tidak dijalankan di bucket. Untuk menghindari error ini, selalu pastikan kunci label ada terlebih dahulu menggunakan "my_annotations.data.source" in resource.labels.

Kolom ekspresi untuk kondisi

Tabel berikut berisi kolom ekspresi yang dapat Anda gunakan untuk membuat kondisi. Kondisi ditulis dalam Common Expression Language (CEL). Perhatikan bahwa nilai kolom ekspresi ini peka huruf besar/kecil.

Untuk deskripsi kolom ekspresi berikut dan nilai yang dapat Anda tentukan, lihat Representasi resource Bucket untuk JSON API.

Kolom ekspresi Jenis nilai
billing.requesterPays bool
cors list
cors.maxAgeSeconds int
cors.method list
cors.origin list
cors.responseHeader list
customPlacementConfig.dataLocations1 list
defaultEventBasedHold bool
encryption.defaultKmsKeyName string
iamConfiguration.publicAccessPrevention string
iamConfiguration.uniformBucketLevelAccess.enabled bool
labels map
lifecycle.rule list
lifecycle.rule.action.storageClass1 string
lifecycle.rule.action.type string
lifecycle.rule.condition.age int
lifecycle.rule.condition.createdBefore string
lifecycle.rule.condition.customTimeBefore string
lifecycle.rule.condition.daysSinceCustomTime int
lifecycle.rule.condition.daysSinceNoncurrentTime int
lifecycle.rule.condition.isLive bool
lifecycle.rule.condition.matchesPrefix list
lifecycle.rule.condition.matchesStorageClass list
lifecycle.rule.condition.matchesSuffix list
lifecycle.rule.condition.noncurrentTimeBefore string
lifecycle.rule.condition.numNewerVersions int
location1 string
locationType string
logging.logBucket string
logging.logObjectPrefix string
ipFilter.mode string
ipFilter.publicNetworkSource object
ipFilter.publicNetworkSource.allowedIpCidrRanges list
ipFilter.vpcNetworkSources list
ipFilter.vpcNetworkSources.network string
ipFilter.vpcNetworkSources.allowedIpCidrRanges list
objectRetention.mode string
name string
projectNumber2 string
retentionPolicy.isLocked bool
retentionPolicy.retentionPeriod int
rpo string
softDeletePolicy.retentionDurationSeconds int
storageClass1 string
versioning.enabled bool
website.mainPageSuffix string
website.notFoundPage string

1 Nilai untuk kolom ini harus ditulis dalam huruf besar.

2 Kolom ini tidak digunakan lagi.

Pertimbangan

Label bucket tidak direkomendasikan untuk digunakan dalam kondisi batasan kustom. Sebagai gantinya, gunakan tag, yang hanya dapat ditetapkan oleh individu dengan peran IAM yang diperlukan dan dikontrol lebih ketat daripada label.