組織レベルで削除(復元可能)を無効にする

概要 用途

このページでは、組織全体で新規および既存のバケットに対して削除(復元可能)機能を無効にする方法を説明します。

データの損失を防ぐために、デフォルトでは削除(復元可能)が有効になっています。必要に応じて、削除(復元可能)を無効にできます。既存のバケットに対して削除(復元可能)を無効にするには、削除(復元可能)ポリシーを変更します。新しいバケットに対してデフォルトで削除(復元可能)を無効にするには、組織全体のデフォルト タグを設定します。削除(復元可能)を無効にすると、誤って削除されたデータや悪意を持って削除されたデータを含め、データを復元できなくなります。

必要なロール

削除(復元可能)を無効にするために必要な権限を取得するには、組織レベルで次の IAM ロールを付与するよう管理者に依頼してください。

これらの事前定義ロールには、削除(復元可能)を無効にするために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

削除(復元可能)を無効にするには、次の権限が必要です。

  • storage.buckets.get
  • storage.buckets.update
  • storage.buckets.list(この権限は、このページで説明する操作を Google Cloud コンソールを使用して行う場合に必要です)

    タグ管理者(roles/resourcemanager.tagAdmin)ロールの一部として含まれる必要な権限については、タグの管理に必要な権限をご覧ください。

ロールの付与については、バケットで IAM を使用するまたはプロジェクトへのアクセスを管理するをご覧ください。

今後のバケットの作成に対して削除(復元可能)を無効にする

新しいバケットに対しては削除(復元可能)がデフォルトで有効になっていますが、タグを使用して、デフォルトによる削除(復元可能)の有効化を防ぐことができます。タグでは storage.defaultSoftDeletePolicy キーを使用して、組織レベルで 0d(0 日)の削除(復元可能)ポリシーを適用します。これにより、削除(復元可能)機能が無効になり、削除されたデータが今後保持されなくなります。

新しいバケットの作成時にデフォルトで削除(復元可能)を無効にするには、以下の手順を使用します。以下の手順は、特定の削除(復元可能)ポリシーを義務付ける組織のポリシーを設定することと同等ではありません。つまり、必要に応じてポリシーを指定することで、特定のバケットに対して削除(復元可能)を有効にできます。

  1. storage.defaultSoftDeletePolicy タグを作成します。このタグは、新しいバケットに対するデフォルトの削除(復元可能)保持期間を変更するために使用されます。storage.defaultSoftDeletePolicy タグ名のみがデフォルトの削除(復元可能)保持期間を更新します。

    gcloud resource-manager tags keys create コマンドを使用してタグキーを作成します。

     gcloud resource-manager tags keys create storage.defaultSoftDeletePolicy \
      --parent=organizations/ORGANIZATION_ID \
      --description="Configures the default softDeletePolicy for new Storage buckets."
    

    次のように置き換えます。

    • ORGANIZATION_ID: デフォルトの削除(復元可能)保持期間を設定する対象の組織の数値 ID。例: 12345678901組織 ID を確認する方法については、組織リソース ID の取得をご覧ください。
  2. gcloud resource-manager tags values create コマンドを使用して、新しいバケットに対してデフォルトで削除(復元可能)保持期間を無効にする 0d(0 日)のタグ値を作成します。

      gcloud resource-manager tags values create 0d \
       --parent=ORGANIZATION_ID/storage.defaultSoftDeletePolicy \
       --description="Disables soft delete for new Storage buckets."
      done
    

    次のように置き換えます。

    • ORGANIZATION_ID: デフォルトの削除(復元可能)保持期間を設定する対象の組織の数値 ID。例: 12345678901
  3. gcloud resource-manager tags bindings create コマンドを使用して、タグをリソースに適用します。

     gcloud resource-manager tags bindings create \
       --tag-value=ORGANIZATION_ID/storage.defaultSoftDeletePolicy/0d \
       --parent=RESOURCE_ID
    

    次のように置き換えます。

    • ORGANIZATION_ID: タグが作成された組織の数値 ID。例: 12345678901

    • RESOURCE_ID: タグ バインディングを作成する対象の組織の完全な名前。たとえば、organizations/7890123456 にタグを適用するには、「//cloudresourcemanager.googleapis.com/organizations/7890123456」と入力します。

既存のバケットに対して削除(復元可能)を無効にする

既存のバケットに対して削除(復元可能)を無効にするには、--clear-soft-delete フラグを設定した gcloud storage buckets update コマンドを実行します。

   gcloud projects list --format"value(projectId") | while read project
   do
     gcloud storage buckets update --project=PROJECT_ID --clear-soft-delete gs://*
   done
  

次のように置き換えます。

  • PROJECT_ID: 削除(復元可能)ポリシーを無効にするプロジェクトの名前。

Cloud Storage で、既存のバケットに対して削除(復元可能)が無効になります。すでに削除(復元可能)されたオブジェクトは、削除(復元可能)の保持期間が完了するまでバケットに残ります。保持期間が完了すると、完全に削除されます。

次のステップ