Questa pagina fornisce informazioni supplementari sui criteri dell'organizzazione vincoli applicabili a Cloud Storage. Utilizzo dei vincoli per applicare i comportamenti di bucket e oggetti in tutto il progetto o in un'intera organizzazione. I vincoli dei criteri dell'organizzazione possono essere vincoli booleani o elenca i vincoli.
Vincoli di Cloud Storage
I seguenti vincoli possono essere applicati a un criterio dell'organizzazione e in Cloud Storage:
Applica la prevenzione dell'accesso pubblico
Nome vincolo: constraints/storage.publicAccessPrevention
Tipo di vincolo: boolean
Quando applichi il vincolo publicAccessPrevention
a una risorsa,
l'accesso pubblico è limitato per tutti i bucket e gli oggetti, sia nuovi che
esistenti sotto quella risorsa.
Tieni presente che l'attivazione o la disattivazione di publicAccessPrevention
può richiedere fino a 10
minuti per entrare in vigore.
Durata di conservazione dell'eliminazione temporanea
Nome vincolo: constraints/storage.softDeletePolicySeconds
Tipo di vincolo: list
Quando applichi il vincolo softDeletePolicySeconds
, devi specificare uno o più
le durate come parte del vincolo. Una volta impostato, il bucket
Il criterio di eliminazione temporanea deve includere una delle durate specificate.
softDeletePolicySeconds
è obbligatorio durante la creazione di un nuovo bucket e la relativa aggiunta
o aggiornare la durata di conservazione dell'eliminazione temporanea
(softDeletePolicy.retentionDuration
) di un bucket preesistente; ma
altrimenti non influisce sui bucket preesistenti.
Se imposti più vincoli softDeletePolicySeconds
a una risorsa diversa
livelli, vengono applicate gerarchicamente. Per questo motivo, è consigliabile
di impostare il campo inheritFromParent
su true
, per garantire che
vengono presi in considerazione anche
i criteri ai livelli più alti.
Durata del criterio di conservazione del bucket in secondi
Nome vincolo: constraints/storage.retentionPolicySeconds
Tipo di vincolo: list
Quando applichi il vincolo retentionPolicySeconds
, devi specificare uno o più
le durate come parte del vincolo. Una volta impostati, i criteri di conservazione del bucket
deve includere una delle durate specificate. retentionPolicySeconds
è
richiesta durante la creazione di nuovi bucket e l'aggiunta o l'aggiornamento della conservazione
periodo di un bucket preesistente; tuttavia, non è altrimenti richiesto
di bucket preesistenti.
Se imposti più vincoli retentionPolicySeconds
a una risorsa diversa
livelli, vengono applicate gerarchicamente. Per questo motivo, è consigliabile
di impostare il campo inheritFromParent
su true
, per garantire che
vengono presi in considerazione anche
i criteri ai livelli più alti.
Richiedi un accesso uniforme a livello di bucket
Nome vincolo: constraints/storage.uniformBucketLevelAccess
Tipo di vincolo: boolean
Quando applichi il vincolo uniformBucketLevelAccess
, i nuovi bucket devono essere
abilitare la funzionalità di accesso uniforme a livello di bucket e i bucket preesistenti con
non può essere disattivata. Bucket preesistenti con
e l'accesso uniforme a livello di bucket disabilitato non è necessario per abilitarlo.
Modalità di audit logging dettagliata
Nome vincolo: constraints/gcp.detailedAuditLoggingMode
Tipo di vincolo: boolean
Quando applichi il vincolo detailedAuditLoggingMode
, Cloud Audit Logs registra
associate alle operazioni di Cloud Storage contengono richieste dettagliate
informazioni e risposte. Ti consigliamo di utilizzare questo vincolo
in combinazione con Blocco di bucket e Blocco conservazione oggetti quando
alla ricerca di varie adempimenti, ad esempio alla regola SEC 17a-4(f), alla regola CFTC
1.31(c)-(d), e Regola FINRA 4511(c).
Le informazioni registrate includono parametri di ricerca, parametri del percorso e corpo della richiesta parametri. I log escludono determinate parti delle richieste e delle risposte associate a informazioni sensibili. Ad esempio, i log escludono:
- Credenziali, ad esempio
Authorization
,X-Goog-Signature
oupload-id
. - Informazioni sulla chiave di crittografia, ad esempio
x-goog-encryption-key
. - Dati oggetto non elaborati.
Quando utilizzi questo vincolo, tieni presente quanto segue:
- Informazioni dettagliate su richieste e risposte non sono garantite. in rari casi, potrebbero essere restituiti log vuoti.
- L'attivazione di
detailedAuditLoggingMode
aumenta la quantità di dati archiviati Audit log, che potrebbero influire sugli addebiti di Cloud Logging per i dati Accedi ai log. L'attivazione o la disattivazione di
detailedAuditLoggingMode
richiede fino a 10 minuti entreranno in vigore.Le richieste e le risposte registrate vengono registrate in un formato generico che corrisponde i nomi dei campi dell'API JSON.
Limita tipi di autenticazione
Nome vincolo: constraints/storage.restrictAuthTypes
Tipo di vincolo: list
Quando applichi il vincolo restrictAuthTypes
, le richieste di accesso
Le risorse di Cloud Storage che utilizzano il tipo di autenticazione
limitata non riusciranno,
a prescindere dalla validità della richiesta. Puoi utilizzare il vincolo restrictAuthTypes
per limitare le chiavi HMAC al fine di soddisfare i requisiti normativi o aumentare
la sicurezza dei tuoi dati.
Il vincolo dell'elenco nega esplicitamente tipi di autenticazione specifici, mentre
a tutti gli altri. Per farlo, devi elencare l'autenticazione limitata
digita nella chiave deniedValues
all'interno di rules
di restrictAuthTypes
di blocco. Si verifica un errore se provi a elencare l'autenticazione limitata
digita nella chiave allowedValues
.
Puoi limitare i seguenti tipi di autenticazione:
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
: limita le richieste firmate dal servizio chiavi HMAC dell'account.USER_ACCOUNT_HMAC_SIGNED_REQUESTS
: limita le richieste firmate dall'utente chiavi HMAC dell'account.in:ALL_HMAC_SIGNED_REQUESTS
: limita le richieste firmate da qualsiasi chiave HMAC. Se devi soddisfare i requisiti di sovranità dei dati, ti consigliamo di Limita tutte le richieste con firma HMAC.
Quando abiliti questo vincolo, si verifica quanto segue:
Cloud Storage limita l'accesso per le richieste autenticate con il tipo di autenticazione limitata. Le richieste non vanno a buon fine e si è verificato un errore
403 Forbidden
.Le entità che erano state precedentemente autorizzate a eseguire la richiesta ricevono un che spiega che il tipo di autenticazione è disattivato.
Se le chiavi HMAC sono limitate:
Le chiavi HMAC di tipo limitato non possono più essere create o attivate in la risorsa a cui viene applicato il vincolo. di richieste di creazione L'attivazione delle chiavi HMAC non riesce e restituisce l'errore
403 Forbidden
.Le chiavi HMAC esistenti rimangono, ma non sono più utilizzabili. Possono essere viene disattivato o eliminato, ma non può essere riattivato.
Quando utilizzi il vincolo restrictAuthTypes
, presta attenzione alle risorse esistenti
che dipendono dall'autenticazione HMAC. Ad esempio, se hai eseguito la migrazione da Amazon Simple Storage Service (Amazon S3),
è probabile che la tua applicazione utilizzi chiavi HMAC per autenticare le richieste
di archiviazione ideale in Cloud Storage. Puoi utilizzare la metrica di Cloud Monitoring
storage.googleapis.com/authn/authentication_count
per monitorare il numero di volte
Le chiavi HMAC sono state utilizzate per autenticare le richieste.
Limita le richieste HTTP non criptate
Nome vincolo: constraints/storage.secureHttpTransport
Tipo di vincolo: boolean
Quando applichi il vincolo secureHttpTransport
, tutti gli accessi HTTP non criptati
alle risorse Cloud Storage è negata.
- Per impostazione predefinita, l'API XML di Cloud Storage consente il traffico HTTP non criptato l'accesso.
- I reindirizzamenti
CNAME
supportano solo l'accesso HTTP non criptato.
Vincoli aggiuntivi
I seguenti vincoli dei criteri dell'organizzazione si applicano più in generale durante Google Cloud, ma spesso applicati servizio:
constraints/gcp.restrictNonCmekServices
: richiedi nuovi e riscritti oggetti da criptare mediante chiavi di crittografia gestite dal cliente e richiedono nuovi bucket per impostare una chiave Cloud KMS come crittografia predefinita chiave.constraints/gcp.restrictCmekCryptoKeyProjects
: rifiuta le richieste a Cloud Storage se la richiesta include chiave di crittografia gestita dal cliente e non appartiene a una a progetto specificato dal vincolo. Analogamente, respinge le richieste che creano o riscrivere un oggetto se viene criptato dall'impostazione predefinita del bucket di crittografia, che non appartiene a un progetto specificato dal di blocco.constraints/gcp.restrictTLSVersion
: impedisci l'accesso a Cloud Storage in base alle richieste effettuate utilizzando Transport Layer Security (TLS) 1.0 o 1.1.
Consenti o nega in modo condizionale i vincoli dei criteri dell'organizzazione
I tag forniscono un modo per consentire o negare in modo condizionale i criteri dell'organizzazione in base se un bucket Cloud Storage ha un tag specifico. Consulta impostare un criterio dell'organizzazione con i tag per istruzioni dettagliate.
Passaggi successivi
- Scopri la gerarchia delle risorse che si applica ai criteri dell'organizzazione.
- Per istruzioni su come fare, consulta Creazione e gestione dei criteri dell'organizzazione lavorare con i vincoli e i criteri dell'organizzazione nella console Google Cloud.
- Consulta la sezione Utilizzo dei vincoli per istruzioni su come lavorare con i vincoli e i criteri dell'organizzazione nell'interfaccia allagcloud CLId.
- Scopri di più sui vincoli personalizzati per Cloud Storage.
- Consulta la documentazione di riferimento dell'API Resource Manager per l'API pertinente
come
projects.setOrgPolicy
.