このページでは、組織全体で新規および既存のバケットに対して削除(復元可能)機能を無効にする方法を説明します。
データの損失を防ぐために、デフォルトでは削除(復元可能)が有効になっています。必要に応じて、削除(復元可能)を無効にできます。既存のバケットに対して削除(復元可能)を無効にするには、削除(復元可能)ポリシーを変更します。新しいバケットに対してデフォルトで削除(復元可能)を無効にするには、組織全体のデフォルト タグを設定します。削除(復元可能)を無効にすると、誤って削除されたデータや悪意を持って削除されたデータを含め、データを復元できなくなります。
必要なロール
削除(復元可能)を無効にするために必要な権限を取得するには、組織レベルで次の IAM ロールを付与するよう管理者に依頼してください。
-
ストレージ管理者(
roles/storage.admin
) - タグ管理者(
roles/resourcemanager.tagAdmin
) - 組織閲覧者(
roles/resourcemanager.organizationViewer
)
これらの事前定義ロールには、削除(復元可能)を無効にするために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
削除(復元可能)を無効にするには、次の権限が必要です。
-
storage.buckets.get
-
storage.buckets.update
-
storage.buckets.list
(この権限は、このページで説明する操作を Google Cloud コンソールを使用して行う場合に必要です)タグ管理者(
roles/resourcemanager.tagAdmin
)ロールの一部として含まれる必要な権限については、タグの管理に必要な権限をご覧ください。
ロールの付与については、バケットで IAM を使用するまたはプロジェクトへのアクセスを管理するをご覧ください。
今後のバケットの作成に対して削除(復元可能)を無効にする
新しいバケットに対しては削除(復元可能)がデフォルトで有効になっていますが、タグを使用して、デフォルトによる削除(復元可能)の有効化を防ぐことができます。タグでは storage.defaultSoftDeletePolicy
キーを使用して、組織レベルで 0d
(0 日)の削除(復元可能)ポリシーを適用します。これにより、削除(復元可能)機能が無効になり、削除されたデータが今後保持されなくなります。
新しいバケットの作成時にデフォルトで削除(復元可能)を無効にするには、以下の手順を使用します。以下の手順は、特定の削除(復元可能)ポリシーを義務付ける組織のポリシーを設定することと同等ではありません。つまり、必要に応じてポリシーを指定することで、特定のバケットに対して削除(復元可能)を有効にできます。
storage.defaultSoftDeletePolicy
タグを作成します。このタグは、新しいバケットに対するデフォルトの削除(復元可能)保持期間を変更するために使用されます。storage.defaultSoftDeletePolicy
タグ名のみがデフォルトの削除(復元可能)保持期間を更新します。gcloud resource-manager tags keys create
コマンドを使用してタグキーを作成します。gcloud resource-manager tags keys create storage.defaultSoftDeletePolicy \ --parent=organizations/ORGANIZATION_ID \ --description="Configures the default softDeletePolicy for new Storage buckets."
次のように置き換えます。
ORGANIZATION_ID
: デフォルトの削除(復元可能)保持期間を設定する対象の組織の数値 ID。例:12345678901
組織 ID を確認する方法については、組織リソース ID の取得をご覧ください。
gcloud resource-manager tags values create
コマンドを使用して、新しいバケットに対してデフォルトで削除(復元可能)保持期間を無効にする0d
(0 日)のタグ値を作成します。gcloud resource-manager tags values create 0d \ --parent=ORGANIZATION_ID/storage.defaultSoftDeletePolicy \ --description="Disables soft delete for new Storage buckets." done
次のように置き換えます。
ORGANIZATION_ID
: デフォルトの削除(復元可能)保持期間を設定する対象の組織の数値 ID。例:12345678901
gcloud resource-manager tags bindings create
コマンドを使用して、タグをリソースに適用します。gcloud resource-manager tags bindings create \ --tag-value=ORGANIZATION_ID/storage.defaultSoftDeletePolicy/0d \ --parent=RESOURCE_ID
次のように置き換えます。
ORGANIZATION_ID
: タグが作成された組織の数値 ID。例:12345678901
RESOURCE_ID
: タグ バインディングを作成する対象の組織の完全な名前。たとえば、organizations/7890123456
にタグを適用するには、「//cloudresourcemanager.googleapis.com/organizations/7890123456
」と入力します。
既存のバケットに対して削除(復元可能)を無効にする
既存のバケットに対して削除(復元可能)を無効にするには、--clear-soft-delete
フラグを設定した gcloud storage buckets update
コマンドを実行します。
gcloud projects list --format"value(projectId") | while read project do gcloud storage buckets update --project=PROJECT_ID --clear-soft-delete gs://* done
次のように置き換えます。
PROJECT_ID
: 削除(復元可能)ポリシーを無効にするプロジェクトの名前。
Cloud Storage で、既存のバケットに対して削除(復元可能)が無効になります。すでに削除(復元可能)されたオブジェクトは、削除(復元可能)の保持期間が完了するまでバケットに残ります。保持期間が完了すると、完全に削除されます。
次のステップ
削除(復元可能)を再度有効にする前に、考慮事項を確認する。