Vincoli dei criteri dell'organizzazione per Cloud Storage

Questa pagina fornisce informazioni supplementari sui criteri dell'organizzazione vincoli applicabili a Cloud Storage. Utilizzo dei vincoli per applicare i comportamenti di bucket e oggetti in tutto il progetto o in un'intera organizzazione. I vincoli dei criteri dell'organizzazione possono essere vincoli booleani o elenca i vincoli.

Vincoli di Cloud Storage

I seguenti vincoli possono essere applicati a un criterio dell'organizzazione e in Cloud Storage:

Applica la prevenzione dell'accesso pubblico

Nome vincolo: constraints/storage.publicAccessPrevention Tipo di vincolo: boolean

Quando applichi il vincolo publicAccessPrevention a una risorsa, l'accesso pubblico è limitato per tutti i bucket e gli oggetti, sia nuovi che esistenti sotto quella risorsa.

Tieni presente che l'attivazione o la disattivazione di publicAccessPrevention può richiedere fino a 10 minuti per entrare in vigore.

Durata di conservazione dell'eliminazione temporanea

Nome vincolo: constraints/storage.softDeletePolicySeconds Tipo di vincolo: list

Quando applichi il vincolo softDeletePolicySeconds, devi specificare uno o più le durate come parte del vincolo. Una volta impostato, il bucket Il criterio di eliminazione temporanea deve includere una delle durate specificate. softDeletePolicySeconds è obbligatorio durante la creazione di un nuovo bucket e la relativa aggiunta o aggiornare la durata di conservazione dell'eliminazione temporanea (softDeletePolicy.retentionDuration) di un bucket preesistente; ma altrimenti non influisce sui bucket preesistenti.

Se imposti più vincoli softDeletePolicySeconds a una risorsa diversa livelli, vengono applicate gerarchicamente. Per questo motivo, è consigliabile di impostare il campo inheritFromParent su true, per garantire che vengono presi in considerazione anche i criteri ai livelli più alti.

Durata del criterio di conservazione del bucket in secondi

Nome vincolo: constraints/storage.retentionPolicySeconds Tipo di vincolo: list

Quando applichi il vincolo retentionPolicySeconds, devi specificare uno o più le durate come parte del vincolo. Una volta impostati, i criteri di conservazione del bucket deve includere una delle durate specificate. retentionPolicySeconds è richiesta durante la creazione di nuovi bucket e l'aggiunta o l'aggiornamento della conservazione periodo di un bucket preesistente; tuttavia, non è altrimenti richiesto di bucket preesistenti.

Se imposti più vincoli retentionPolicySeconds a una risorsa diversa livelli, vengono applicate gerarchicamente. Per questo motivo, è consigliabile di impostare il campo inheritFromParent su true, per garantire che vengono presi in considerazione anche i criteri ai livelli più alti.

Richiedi un accesso uniforme a livello di bucket

Nome vincolo: constraints/storage.uniformBucketLevelAccess Tipo di vincolo: boolean

Quando applichi il vincolo uniformBucketLevelAccess, i nuovi bucket devono essere abilitare la funzionalità di accesso uniforme a livello di bucket e i bucket preesistenti con non può essere disattivata. Bucket preesistenti con e l'accesso uniforme a livello di bucket disabilitato non è necessario per abilitarlo.

Modalità di audit logging dettagliata

Nome vincolo: constraints/gcp.detailedAuditLoggingMode Tipo di vincolo: boolean

Quando applichi il vincolo detailedAuditLoggingMode, Cloud Audit Logs registra associate alle operazioni di Cloud Storage contengono richieste dettagliate informazioni e risposte. Ti consigliamo di utilizzare questo vincolo in combinazione con Blocco di bucket e Blocco conservazione oggetti quando alla ricerca di varie adempimenti, ad esempio alla regola SEC 17a-4(f), alla regola CFTC 1.31(c)-(d), e Regola FINRA 4511(c).

Le informazioni registrate includono parametri di ricerca, parametri del percorso e corpo della richiesta parametri. I log escludono determinate parti delle richieste e delle risposte associate a informazioni sensibili. Ad esempio, i log escludono:

• Credenziali, ad esempio Authorization, X-Goog-Signature o upload-id.
• Informazioni sulla chiave di crittografia, ad esempio x-goog-encryption-key.
• Dati oggetto non elaborati.

Quando utilizzi questo vincolo, tieni presente quanto segue:

• Informazioni dettagliate su richieste e risposte non sono garantite. in rari casi, potrebbero essere restituiti log vuoti.
• L'attivazione di detailedAuditLoggingMode aumenta la quantità di dati archiviati Audit log, che potrebbero influire sugli addebiti di Cloud Logging per i dati Accedi ai log.

• L'attivazione o la disattivazione di detailedAuditLoggingMode richiede fino a 10 minuti entreranno in vigore.

• Le richieste e le risposte registrate vengono registrate in un formato generico che corrisponde i nomi dei campi dell'API JSON.

Limita tipi di autenticazione

Nome vincolo: constraints/storage.restrictAuthTypes Tipo di vincolo: list

Quando applichi il vincolo restrictAuthTypes, le richieste di accesso Le risorse di Cloud Storage che utilizzano il tipo di autenticazione limitata non riusciranno, a prescindere dalla validità della richiesta. Puoi utilizzare il vincolo restrictAuthTypes per limitare le chiavi HMAC al fine di soddisfare i requisiti normativi o aumentare la sicurezza dei tuoi dati.

Il vincolo dell'elenco nega esplicitamente tipi di autenticazione specifici, mentre a tutti gli altri. Per farlo, devi elencare l'autenticazione limitata digita nella chiave deniedValues all'interno di rules di restrictAuthTypes di blocco. Si verifica un errore se provi a elencare l'autenticazione limitata digita nella chiave allowedValues.

Puoi limitare i seguenti tipi di autenticazione:

• SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: limita le richieste firmate dal servizio chiavi HMAC dell'account.

• USER_ACCOUNT_HMAC_SIGNED_REQUESTS: limita le richieste firmate dall'utente chiavi HMAC dell'account.

• in:ALL_HMAC_SIGNED_REQUESTS: limita le richieste firmate da qualsiasi chiave HMAC. Se devi soddisfare i requisiti di sovranità dei dati, ti consigliamo di Limita tutte le richieste con firma HMAC.

Quando abiliti questo vincolo, si verifica quanto segue:

• Cloud Storage limita l'accesso per le richieste autenticate con il tipo di autenticazione limitata. Le richieste non vanno a buon fine e si è verificato un errore 403 Forbidden.

• Le entità che erano state precedentemente autorizzate a eseguire la richiesta ricevono un che spiega che il tipo di autenticazione è disattivato.

• Se le chiavi HMAC sono limitate:

  • Le chiavi HMAC di tipo limitato non possono più essere create o attivate in la risorsa a cui viene applicato il vincolo. di richieste di creazione L'attivazione delle chiavi HMAC non riesce e restituisce l'errore 403 Forbidden.

  • Le chiavi HMAC esistenti rimangono, ma non sono più utilizzabili. Possono essere viene disattivato o eliminato, ma non può essere riattivato.

Quando utilizzi il vincolo restrictAuthTypes, presta attenzione alle risorse esistenti che dipendono dall'autenticazione HMAC. Ad esempio, se hai eseguito la migrazione da Amazon Simple Storage Service (Amazon S3), è probabile che la tua applicazione utilizzi chiavi HMAC per autenticare le richieste di archiviazione ideale in Cloud Storage. Puoi utilizzare la metrica di Cloud Monitoring storage.googleapis.com/authn/authentication_count per monitorare il numero di volte Le chiavi HMAC sono state utilizzate per autenticare le richieste.

Limita le richieste HTTP non criptate

Nome vincolo: constraints/storage.secureHttpTransport Tipo di vincolo: boolean

Quando applichi il vincolo secureHttpTransport, tutti gli accessi HTTP non criptati alle risorse Cloud Storage è negata.

• Per impostazione predefinita, l'API XML di Cloud Storage consente il traffico HTTP non criptato l'accesso.
• I reindirizzamenti CNAME supportano solo l'accesso HTTP non criptato.

Vincoli aggiuntivi

I seguenti vincoli dei criteri dell'organizzazione si applicano più in generale durante Google Cloud, ma spesso applicati servizio:

• constraints/gcp.restrictNonCmekServices: richiedi nuovi e riscritti oggetti da criptare mediante chiavi di crittografia gestite dal cliente e richiedono nuovi bucket per impostare una chiave Cloud KMS come crittografia predefinita chiave.

• constraints/gcp.restrictCmekCryptoKeyProjects: rifiuta le richieste a Cloud Storage se la richiesta include chiave di crittografia gestita dal cliente e non appartiene a una a progetto specificato dal vincolo. Analogamente, respinge le richieste che creano o riscrivere un oggetto se viene criptato dall'impostazione predefinita del bucket di crittografia, che non appartiene a un progetto specificato dal di blocco.

• constraints/gcp.restrictTLSVersion: impedisci l'accesso a Cloud Storage in base alle richieste effettuate utilizzando Transport Layer Security (TLS) 1.0 o 1.1.

Consenti o nega in modo condizionale i vincoli dei criteri dell'organizzazione

I tag forniscono un modo per consentire o negare in modo condizionale i criteri dell'organizzazione in base se un bucket Cloud Storage ha un tag specifico. Consulta impostare un criterio dell'organizzazione con i tag per istruzioni dettagliate.

Passaggi successivi

• Scopri la gerarchia delle risorse che si applica ai criteri dell'organizzazione.
• Per istruzioni su come fare, consulta Creazione e gestione dei criteri dell'organizzazione lavorare con i vincoli e i criteri dell'organizzazione nella console Google Cloud.
• Consulta la sezione Utilizzo dei vincoli per istruzioni su come lavorare con i vincoli e i criteri dell'organizzazione nell'interfaccia allagcloud CLId.
• Scopri di più sui vincoli personalizzati per Cloud Storage.
• Consulta la documentazione di riferimento dell'API Resource Manager per l'API pertinente come projects.setOrgPolicy.