このページでは、Cloud Storage に適用される組織のポリシーの制約に関する補足情報について説明します。制約を使用して、プロジェクト全体または組織全体にバケットおよびオブジェクトの動作を適用します。
Cloud Storage の制約
次の制約を組織のポリシーに適用して、Cloud Storage に関連付けることが可能です。
公開アクセスの防止を適用する
API 名: constraints/storage.publicAccessPrevention
リソースに publicAccessPrevention 制約を適用すると、そのリソースに含まれるすべてのバケットとオブジェクト(新規と既存の両方)で公開アクセスが制限されます。
publicAccessPrevention の有効化または無効化が反映されるまでに 10 分ほどかかることがあります。
保持ポリシー期間(秒)
API 名: constraints/storage.retentionPolicySeconds
retentionPolicySeconds 制約を適用する場合は、制約の一部として 1 つ以上の期間を指定します。設定したバケットの保持ポリシーには、指定された期間のいずれかを含める必要があります。retentionPolicySeconds は、新しいバケットを作成する場合だけでなく、既存バケットに保持ポリシーを追加または更新する場合にも必要です。ただし、既存のバケットには必要ありません。
異なるリソースレベルで複数の retentionPolicySeconds 制約を設定すると、これらの制約は階層的に適用されます。このため、上位層のポリシーも考慮されるように、inheritFromParent フィールドを true に設定することをおすすめします。
均一なバケットレベルのアクセスを必須にする
API 名: constraints/storage.uniformBucketLevelAccess
uniformBucketLevelAccess 制約を適用する場合は、新しいバケットで均一なバケットレベルのアクセス機能を有効にする必要があります。この機能を有効にしている既存のバケットではこの機能を無効にすることはできません。均一なバケットレベルのアクセスが無効になっている既存のバケットを有効にする必要はありません。
詳細な監査ロギングモード
API 名: constraints/gcp.detailedAuditLoggingMode
detailedAuditLoggingMode 制約を適用する場合は、Cloud Storage オペレーションに関連する Cloud Audit Logs のログには、詳細なリクエスト情報とレスポンス情報が含まれます。この制約は、SEC Rule 17a-4(f)、CFTC Rule 1.31(c)-(d)、FINRA Rule 4511(c) などのさまざまなコンプライアンスが目標である場合は、バケットロックと組み合わせて使用することをおすすめします。
ログに記録される情報には、クエリ パラメータ、パスパラメータ、リクエスト本文パラメータが含まれます。ログでは、リクエストとレスポンスで機密情報に関連する部分は除外されます。たとえば、以下のものが除外されます。
- 認証情報(
Authorization、X-Goog-Signature、upload-idなど)。 - 暗号鍵の情報(
x-goog-encryption-keyなど)。 - 未加工のオブジェクト データ。
この制約を使用する場合は、次の点に注意してください。
detailedAuditLoggingModeを有効にすると、監査ログに保存されるデータ量が増加し、それがデータアクセス ログの Cloud Logging の料金に影響する可能性があります。detailedAuditLoggingModeの有効化または無効化が実施されるまでに 10 分程度かかります。ログに記録されたリクエストとレスポンスは、JSON API のフィールド名と一致する汎用形式で記録されます。
次のステップ
- 組織のポリシーに適用されるリソース階層について学習します。
- Google Cloud Console での制約と組織のポリシーの操作方法について詳しくは、組織のポリシーの作成と管理をご覧ください。
- gcloud での制約と組織のポリシーの操作方法について詳しくは、制約の使用をご覧ください。
projects.setOrgPolicyなどの関連する API メソッドについては、Resource Manager API のリファレンス ドキュメントをご覧ください。