Vincoli dei criteri dell'organizzazione per Cloud Storage

Questa pagina fornisce informazioni supplementari sui criteri dell'organizzazione vincoli applicabili a Cloud Storage. Utilizza i vincoli per applicare i comportamenti dei bucket e degli oggetti a un intero progetto o a un'intera organizzazione. I vincoli dei criteri dell'organizzazione possono essere vincoli booleani o vincoli dell'elenco.

Vincoli di Cloud Storage

I seguenti vincoli possono essere applicati a un criterio dell'organizzazione e in Cloud Storage:

Applicare la prevenzione dell'accesso pubblico

Nome vincolo: constraints/storage.publicAccessPrevention Tipo di vincolo: boolean

Quando applichi il vincolo publicAccessPrevention a una risorsa, l'accesso pubblico è limitato per tutti i bucket e gli oggetti, sia nuovi che esistenti sotto quella risorsa.

Tieni presente che l'attivazione o la disattivazione di publicAccessPrevention può richiedere fino a 10 minuti prima di diventare effettiva.

Durata di conservazione dell'eliminazione temporanea

Nome vincolo: constraints/storage.softDeletePolicySeconds Tipo di vincolo: list

Quando applichi il vincolo softDeletePolicySeconds, devi specificare uno o più le durate come parte del vincolo. Una volta impostato, il criterio di eliminazione temporanea del bucket deve includere una delle durate specificate. softDeletePolicySeconds è obbligatorio quando crei un nuovo bucket e quando aggiungi o aggiorni la durata di conservazione dell'eliminazione temporanea (softDeletePolicy.retentionDuration) di un bucket esistente. Tuttavia, non influisce in altro modo sui bucket esistenti.

Se imposti più vincoli softDeletePolicySeconds a diversi livelli di risorse, questi vengono applicati in modo gerarchico. Per questo motivo, è consigliabile di impostare il campo inheritFromParent su true, per garantire che vengono presi in considerazione anche i criteri ai livelli più alti.

Durata del criterio di conservazione del bucket in secondi

Nome vincolo: constraints/storage.retentionPolicySeconds Tipo vincolo: list

Quando applichi il vincolo retentionPolicySeconds, devi specificare uno o più le durate come parte del vincolo. Una volta impostati, i criteri di conservazione del bucket devono includere una delle durate specificate. retentionPolicySeconds è richiesta durante la creazione di nuovi bucket e l'aggiunta o l'aggiornamento della conservazione periodo di un bucket preesistente; tuttavia, non è altrimenti richiesto di bucket preesistenti.

Se imposti più vincoli retentionPolicySeconds a diversi livelli di risorse, questi vengono applicati in modo gerarchico. Per questo motivo, è consigliabile impostare il campo inheritFromParent su true, in modo da garantire che vengano presi in considerazione anche i criteri dei livelli superiori.

Richiedi un accesso uniforme a livello di bucket

Nome vincolo: constraints/storage.uniformBucketLevelAccess Tipo vincolo: boolean

Quando applichi il vincolo uniformBucketLevelAccess, i nuovi bucket devono essere abilitare la funzionalità di accesso uniforme a livello di bucket e i bucket preesistenti con non può essere disattivata. Non è necessario attivare l'accesso uniforme a livello di bucket per i bucket preesistenti con accesso uniforme a livello di bucket disabilitato.

Modalità di audit logging dettagliata

Nome vincolo: constraints/gcp.detailedAuditLoggingMode Tipo di vincolo: boolean

Quando applichi il vincolo detailedAuditLoggingMode, gli audit log associati alle operazioni di Cloud Storage contengono informazioni dettagliate su richieste e risposte. Ti consigliamo di utilizzare questo vincolo in combinazione con Blocco di bucket e Blocco conservazione oggetti quando alla ricerca di varie adempimenti, ad esempio alla regola SEC 17a-4(f), alla regola CFTC 1.31(c)-(d), e Regola FINRA 4511(c).

Le informazioni registrate includono i parametri di query, i parametri di percorso e i parametri del corpo della richiesta. I log escludono determinate parti delle richieste e delle risposte associate a informazioni sensibili. Ad esempio, i log escludono:

• Credenziali, ad esempio Authorization, X-Goog-Signature o upload-id.
• Informazioni sulla chiave di crittografia, ad esempio x-goog-encryption-key.
• Dati non elaborati degli oggetti.

Quando utilizzi questa limitazione, tieni presente quanto segue:

• Informazioni dettagliate su richieste e risposte non sono garantite. in rari casi, potrebbero essere restituiti log vuoti.
• L'attivazione di detailedAuditLoggingMode aumenta la quantità di dati archiviati Audit log, che potrebbero influire sugli addebiti di Cloud Logging per i dati Accedi ai log.

• L'attivazione o la disattivazione di detailedAuditLoggingMode richiede fino a 10 minuti entreranno in vigore.

• Le richieste e le risposte registrate vengono registrate in un formato generico che corrisponde ai nomi dei campi dell'API JSON.

Limita tipi di autenticazione

Nome vincolo: constraints/storage.restrictAuthTypes Tipo di vincolo: list

Quando applichi il vincolo restrictAuthTypes, le richieste di accesso Le risorse di Cloud Storage che utilizzano il tipo di autenticazione limitata non riusciranno, a prescindere dalla validità della richiesta. Puoi utilizzare il vincolo restrictAuthTypes per limitare le chiavi HMAC per soddisfare i requisiti normativi o aumentare la sicurezza dei tuoi dati.

Il vincolo dell'elenco nega esplicitamente tipi di autenticazione specifici, mentre a tutti gli altri. Per farlo, devi elencare l'autenticazione limitata digita nella chiave deniedValues all'interno di rules di restrictAuthTypes di blocco. Si verifica un errore se provi a elencare i tipi di autenticazione con limitazioni nella chiave allowedValues.

Puoi limitare i seguenti tipi di autenticazione:

• SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: limita le richieste firmate dal servizio chiavi HMAC dell'account.

• USER_ACCOUNT_HMAC_SIGNED_REQUESTS: limita le richieste firmate dalle chiavi HMAC degli account utente.

• in:ALL_HMAC_SIGNED_REQUESTS: limita le richieste firmate da qualsiasi chiave HMAC. Se devi soddisfare i requisiti di sovranità dei dati, ti consigliamo di Limita tutte le richieste con firma HMAC.

Quando abiliti questo vincolo, si verifica quanto segue:

• Cloud Storage limita l'accesso per le richieste autenticate con il tipo di autenticazione limitato. Le richieste non vanno a buon fine con l'errore 403 Forbidden.

• Le entità che erano state precedentemente autorizzate a eseguire la richiesta ricevono un che spiega che il tipo di autenticazione è disattivato.

• Se le chiavi HMAC sono limitate:

  • Le chiavi HMAC del tipo limitato non possono più essere create o attivate nella risorsa in cui viene applicato il vincolo. di richieste di creazione L'attivazione delle chiavi HMAC non riesce e restituisce l'errore 403 Forbidden.

  • Le chiavi HMAC esistenti rimangono, ma non sono più utilizzabili. Possono essere viene disattivato o eliminato, ma non può essere riattivato.

Quando utilizzi il vincolo restrictAuthTypes, presta attenzione alle risorse esistenti che dipendono dall'autenticazione HMAC. Ad esempio, se hai eseguito la migrazione da Amazon Simple Storage Service (Amazon S3), è probabile che l'applicazione utilizzi chiavi HMAC per autenticare le richieste di archiviazione ideale in Cloud Storage. Puoi utilizzare la metrica di Cloud Monitoring storage.googleapis.com/authn/authentication_count per monitorare il numero di volte Le chiavi HMAC sono state utilizzate per autenticare le richieste.

Limita le richieste HTTP non criptate

Nome vincolo: constraints/storage.secureHttpTransport Tipo di vincolo: boolean

Quando applichi il vincolo secureHttpTransport, viene negato tutto l'accesso HTTP non criptato alle risorse Cloud Storage.

• Per impostazione predefinita, l'API XML di Cloud Storage consente il traffico HTTP non criptato l'accesso.
• I reindirizzamenti CNAME supportano solo l'accesso HTTP non criptato.

Vincoli aggiuntivi

I seguenti vincoli dei criteri dell'organizzazione si applicano più in generale durante Google Cloud, ma spesso applicati servizio:

• constraints/gcp.restrictNonCmekServices: per gli oggetti nuovi e riscritti, è richiesta la crittografia utilizzando chiavi di crittografia gestite dal cliente e per i nuovi bucket è richiesta l'impostazione di una chiave Cloud KMS come chiave di crittografia predefinita.

• constraints/gcp.restrictCmekCryptoKeyProjects: rifiuta le richieste a Cloud Storage se includono una chiave di crittografia gestita dal cliente e la chiave non appartiene a un progetto specificato dal vincolo. Analogamente, rifiuta le richieste che creano o riscrivono un oggetto se l'oggetto verrebbe criptato dalla chiave di crittografia predefinita del bucket e questa chiave non appartiene a un progetto specificato dal vincolo.

• constraints/gcp.restrictTLSVersion: impedisci l'accesso a Cloud Storage in base alle richieste effettuate utilizzando Transport Layer Security (TLS) 1.0 o 1.1.

Consentire o negare in modo condizionale i vincoli dei criteri dell'organizzazione

I tag forniscono un modo per consentire o negare in modo condizionale i criteri dell'organizzazione in base se un bucket Cloud Storage ha un tag specifico. Per istruzioni dettagliate, consulta la sezione Impostazione di un criterio dell'organizzazione con tag.

Passaggi successivi

• Scopri di più sulla gerarchia delle risorse che si applica ai criteri dell'organizzazione.
• Per istruzioni su come lavorare con vincoli e criteri dell'organizzazione nella console Google Cloud, consulta Creare e gestire i criteri dell'organizzazione.
• Consulta la sezione Utilizzo dei vincoli per istruzioni su come lavorare con i vincoli e i criteri dell'organizzazione nell'interfaccia allagcloud CLId.
• Scopri di più sui vincoli personalizzati per Cloud Storage.
• Consulta la documentazione di riferimento dell'API Resource Manager per i metodi API pertinenti, ad esempio projects.setOrgPolicy.