Cloud Storage の組織のポリシーに関する制約

このページでは、Cloud Storage に適用される組織のポリシーの制約に関する補足情報について説明します。制約を使用して、プロジェクト全体または組織全体にバケット設定を適用します。

Cloud Storage の制約

次の制約を組織のポリシーに適用して、Cloud Storage に関連付けることが可能です。

保持ポリシー期間(秒)

API 名: constraints/storage.retentionPolicySeconds

retentionPolicySeconds 制約を適用する場合は、制約の一部として 1 つ以上の期間を指定します。設定したバケットの保持ポリシーには、指定された期間のいずれかを含める必要があります。retentionPolicySeconds は、新しいバケットを作成する場合だけでなく、既存バケットに保持ポリシーを追加または更新する場合にも適用されます。ただし、既存のバケットには適用されません。

異なるリソースレベルで複数の retentionPolicySeconds 制約を設定すると、これらの制約は階層的に適用されます。このため、上位層のポリシーも考慮されるように、inheritFromParent フィールドを true に設定することをおすすめします。

均一なバケットレベルのアクセスの適用

API 名: constraints/storage.uniformBucketLevelAccess

uniformBucketLevelAccess 制約を適用する場合は、バケットで均一なバケットレベルのアクセスを使用する必要があります。この制約は、新しいバケットの作成時と、バケットレベルのアクセスが有効になっている既存のバケットに対して適用されます。ただし、均一なバケットレベルのアクセスが無効になっている既存のバケットには適用されません。

詳細な監査ログモード

API 名: constraints/gcp.detailedAuditLoggingMode

detailedAuditLoggingMode 制約を適用する場合は、Cloud Storage オペレーションに関連する Cloud Audit Logs のログには、詳細なリクエスト情報とレスポンス情報が含まれます。この制約は、SEC Rule 17a-4(f)、CFTC Rule 1.31(c)-(d)、FINRA Rule 4511(c) などのさまざまなコンプライアンスが目標である場合は、バケットロックと組み合わせて使用することをおすすめします。

ログに記録される情報には、クエリ パラメータ、パスパラメータ、リクエスト本文パラメータが含まれます。ログでは、リクエストとレスポンスで機密情報に関連する部分は除外されます。たとえば、以下のものが除外されます。

  • 認証情報(AuthorizationX-Goog-Signatureupload-id など)。
  • 暗号鍵の情報(x-goog-encryption-key など)。
  • 未加工のオブジェクト データ。

この制約を使用する場合は、次の点に注意してください。

  • detailedAuditLoggingMode を有効にすると、監査ログに保存されるデータ量が増加し、それがデータアクセス ログの Cloud Logging の料金に影響する可能性があります。

  • detailedAuditLoggingMode の有効化または無効化が実施されるまでに 10 分程度かかります。

  • ログに記録されたリクエストとレスポンスは、JSON API のフィールド名と一致する汎用形式で記録されます。

次のステップ