En esta página, se proporciona información complementaria sobre las restricciones de las políticas de la organización que se aplican a Cloud Storage. Usa restricciones para aplicar la configuración del bucket en todo un proyecto o una organización.
Restricciones de Cloud Storage
Las siguientes restricciones se pueden aplicar a una política de la organización y se relacionan con Cloud Storage:
Período establecido en la política de retención, en segundos
Nombre de la API: constraints/storage.retentionPolicySeconds
Cuando aplicas la restricción retentionPolicySeconds, debes especificar una o más duraciones como parte de la restricción. Una vez establecidas, las políticas de retención de depósitos deben incluir una de las duraciones especificadas. retentionPolicySeconds se aplica con la creación de bucket s nuevos o cuando se agrega o actualiza el período de retención de un bucket existente; sin embargo, no se aplica de otra manera en bucket s preexistentes.
Si configuras varias restricciones retentionPolicySeconds en diferentes niveles de recursos, estas se aplican de manera jerárquica. Por este motivo, se recomienda establecer el campo inheritFromParent en true, lo que garantiza que también se tengan en cuenta las políticas de las capas superiores.
Aplicar acceso uniforme a nivel de bucket
Nombre de la API: constraints/storage.uniformBucketLevelAccess
Cuando aplicas la restricción uniformBucketLevelAccess, los buckets nuevos deben habilitar la función de acceso uniforme a nivel de bucket, y los buckets preexistentes con esta característica habilitada no pueden inhabilitarla. Los buckets preexistentes con acceso uniforme a nivel de bucket no son necesarios para habilitarla.
Modo detallado del registro de auditoría
Nombre de la API: constraints/gcp.detailedAuditLoggingMode
Cuando aplicas la restricción detailedAuditLoggingMode, los registros de auditoría de Cloud asociados con operaciones de Cloud Storage contienen información detallada de solicitud y respuesta. Se recomienda usar esta restricción junto con el bloqueo de depósitos cuando buscas varios cumplimientos, como la regla 17a-4(f) de la SEC, la regla 1.31(c)-(d) de la CFTC y la regla 4511(c) de la FINRA.
En la información registrada, se incluyen parámetros de búsqueda, de ruta y de cuerpo de solicitud. En los registros, se excluyen algunas partes de las solicitudes y respuestas asociadas con información sensible, por ejemplo:
- Credenciales, como
Authorization,X-Goog-Signatureoupload-id - Información de la clave de encriptación, como
x-goog-encryption-key - Datos de objeto sin procesar
Cuando uses esta restricción, ten en cuenta lo siguiente:
Habilitar
detailedAuditLoggingModeaumenta la cantidad de datos almacenados en los registros de auditoría, que pueden afectar tus cargos de Cloud Logging para los registros de acceso a los datos.Habilitar o inhabilitar
detailedAuditLoggingModepuede tomar hasta 10 minutos en implementarse.Las solicitudes y respuestas registradas se registran en un formato genérico que coincide con los nombres de campo de la API de JSON.
Próximos pasos
- Obtén información sobre la jerarquía de recursos que se aplica a las políticas de la organización.
- Consulta Crea y administra políticas de la organización a fin de obtener instrucciones para trabajar con restricciones y políticas de la organización en Google Cloud Console.
- Consulta Usa restricciones a fin de obtener instrucciones para trabajar con restricciones y políticas de la organización en gcloud.
- Consulta la documentación de referencia de la API de Resource Manager para ver los métodos de API relevantes, como
projects.setOrgPolicy.