Einschränkungen für Organisationsrichtlinien für Cloud Storage

Diese Seite enthält zusätzliche Informationen zu den für Cloud Storage geltenden Einschränkungen für Organisationsrichtlinien. Nutzen Sie Einschränkungen, um das Bucket- und Objektverhalten für ein gesamtes Projekt oder eine Organisation zu erzwingen. Einschränkungen für Organisationsrichtlinien können entweder boolesche Einschränkungen oder Listeneinschränkungen sein.

Cloud Storage-Einschränkungen

Die folgenden Einschränkungen gelten für Cloud Storage und können auf eine Organisationsrichtlinie angewendet werden:

Verhinderung des öffentlichen Zugriffs erzwingen

Einschränkungsname: constraints/storage.publicAccessPrevention Einschränkungstyp: boolean

Wenn Sie die Einschränkung publicAccessPrevention auf eine Ressource anwenden, wird der öffentliche Zugriff für alle Buckets und Objekte (neue und vorhandene) unter dieser Ressource eingeschränkt.

Beachten Sie, dass das Aktivieren oder Deaktivieren von publicAccessPrevention bis zu 10 Minuten dauern kann.

Aufbewahrungsdauer für vorläufiges Löschen

Einschränkungsname: constraints/storage.softDeletePolicySeconds Einschränkungstyp: list

Wenn Sie die Einschränkung softDeletePolicySeconds anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung muss die Richtlinie für vorläufiges Löschen des Buckets eine der angegebenen Zeiträume enthalten. softDeletePolicySeconds ist erforderlich, wenn Sie neue Buckets erstellen oder die Aufbewahrungsdauer für das vorläufige Löschen (softDeletePolicy.retentionDuration) eines vorhandenen Buckets hinzufügen oder aktualisieren. In allen anderen Fällen ist diese Einschränkung jedoch nicht für vorhandene Buckets erforderlich.

Wenn Sie mehrere softDeletePolicySeconds-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent auf true zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

Aufbewahrungsdauer der Bucket-Aufbewahrungsrichtlinie in Sekunden

Einschränkungsname: constraints/storage.retentionPolicySeconds Einschränkungstyp: list

Wenn Sie die Einschränkung retentionPolicySeconds anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung müssen die Aufbewahrungsrichtlinien für Buckets die angegebene Dauer enthalten. retentionPolicySeconds ist erforderlich, wenn Sie neue Buckets erstellen oder die Aufbewahrungsdauer eines vorhandenen Buckets hinzufügen oder aktualisieren. In allen anderen Fällen ist diese Einschränkung jedoch nicht für vorhandene Buckets erforderlich.

Wenn Sie mehrere retentionPolicySeconds-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent auf true zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

Einheitlichen Zugriff auf Bucket-Ebene erfordern

Einschränkungsname: constraints/storage.uniformBucketLevelAccess Einschränkungstyp: boolean

Wenn Sie die Einschränkung uniformBucketLevelAccess anwenden, müssen neue Buckets den einheitlichen Zugriff auf Bucket-Ebene aktivieren. Bereits vorhandene Buckets, für die dieses Feature aktiviert ist, können es nicht deaktivieren. Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene müssen ihn nicht aktivieren.

Detaillierter Audit-Logging-Modus

Einschränkungsname: constraints/gcp.detailedAuditLoggingMode Einschränkungstyp: boolean

Wenn Sie die Einschränkung detailedAuditLoggingMode anwenden, enthalten die mit Cloud Storage-Vorgängen verknüpften Cloud-Audit-Logging-Logs detaillierte Anfrage- und Antwortinformationen. Diese Einschränkung wird in Verbindung mit der Bucket-Sperre und der Objektaufbewahrungssperre empfohlen, wenn Sie verschiedene Compliance-Anforderungen erfüllen, z. B. SEC-Artikel 17a–4(f), CFTC-Artikel 1.31(c)–(d) und FINRA-Artikel 4511(c).

Zu den protokollierten Informationen gehören Abfrage-, Pfad- und Anfragetextparameter. In Logs sind bestimmte Teile von Anfragen und Antworten ausgeschlossen, die mit vertraulichen Informationen zusammenhängen. In Logs sind beispielsweise folgende Informationen nicht enthalten:

  • Anmeldedaten wie Authorization, X-Goog-Signature oder upload-id
  • Informationen zum Verschlüsselungsschlüssel, z. B. x-goog-encryption-key
  • Objektrohdaten

Beachten Sie bei Verwendung dieser Einschränkung Folgendes:

  • Detaillierte Anfrage- und Antwortinformationen werden nicht garantiert. In seltenen Fällen können leere Logs zurückgegeben werden.
  • Wenn Sie detailedAuditLoggingMode aktivieren, wird dadurch die Datenmenge in den Audit-Logs erhöht. Dies kann sich auf Ihre Cloud Logging-Gebühren für Datenzugriffslogs auswirken.
  • Es dauert bis zu 10 Minuten, bis die Aktivierung oder Deaktivierung von detailedAuditLoggingMode wirksam wird.

  • In Logs erfasste Anfragen und Antworten werden in einem generischen Format aufgezeichnet, das mit den Feldnamen der JSON API übereinstimmt.

Authentifizierungstypen einschränken

Einschränkungsname: constraints/storage.restrictAuthTypes Einschränkungstyp: list

Wenn Sie die Einschränkung restrictAuthTypes anwenden, schlagen Anfragen für den Zugriff auf Cloud Storage-Ressourcen mit dem eingeschränkten Authentifizierungstyp unabhängig von der Gültigkeit der Anfrage fehl. Mit der Einschränkung restrictAuthTypes können Sie HMAC-Schlüssel einschränken, um regulatorische Anforderungen zu erfüllen oder die Sicherheit Ihrer Daten zu erhöhen.

Mit der Listeneinschränkung werden bestimmte Authentifizierungstypen explizit abgelehnt, während alle anderen zulässig sind. Dazu müssen Sie die eingeschränkten Authentifizierungstypen im Schlüssel deniedValues innerhalb der rules der Einschränkung restrictAuthTypes auflisten. Wenn Sie versuchen, die eingeschränkten Authentifizierungstypen im Schlüssel allowedValues aufzulisten, tritt ein Fehler auf.

Sie können die folgenden Authentifizierungstypen einschränken:

  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: Schränkt mit HMAC-Schlüsseln für Dienstkonten signierte Anfragen ein.

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS: Schränkt mit HMAC-Schlüsseln des Nutzerkontos signierte Anfragen ein.

  • in:ALL_HMAC_SIGNED_REQUESTS: Anfragen einschränken, die mit einem beliebigen HMAC-Schlüssel signiert sind. Wenn Sie die Anforderungen an die Datenhoheit erfüllen müssen, wird empfohlen, alle HMAC-signierten Anfragen einzuschränken.

Wenn Sie diese Einschränkung aktivieren, geschieht Folgendes:

  • In Cloud Storage wird der Zugriff für Anfragen eingeschränkt, die mit dem eingeschränkten Authentifizierungstyp authentifiziert wurden. Anfragen schlagen mit dem Fehler 403 Forbidden fehl.

  • Entitäten, die zuvor für die Anfrage autorisiert waren, erhalten die Fehlermeldung, dass der Authentifizierungstyp deaktiviert ist.

  • Wenn HMAC-Schlüssel eingeschränkt sind:

    • HMAC-Schlüssel des eingeschränkten Typs können nicht mehr in der Ressource erstellt oder aktiviert werden, für die die Einschränkung erzwungen wird. Anfragen zum Erstellen oder Aktivieren von HMAC-Schlüsseln schlagen mit dem Fehler 403 Forbidden fehl.

    • Vorhandene HMAC-Schlüssel bleiben erhalten, können aber nicht mehr verwendet werden. Sie können deaktiviert oder gelöscht, aber nicht wieder aktiviert werden.

Beachten Sie bei Verwendung der Einschränkung restrictAuthTypes, dass vorhandene Ressourcen von der HMAC-Authentifizierung abhängen. Wenn Sie beispielsweise von Amazon Simple Storage Service (Amazon S3) migriert haben, verwendet Ihre Anwendung wahrscheinlich HMAC-Schlüssel, um Anfragen an Cloud Storage zu authentifizieren. Sie können den Cloud Monitoring-Messwert storage.googleapis.com/authn/authentication_count verwenden, um zu verfolgen, wie oft HMAC-Schlüssel zur Authentifizierung von Anfragen verwendet wurden.

Unverschlüsselte HTTP-Anfragen einschränken

Einschränkungsname: constraints/storage.secureHttpTransport Einschränkungstyp: boolean

Wenn Sie die Einschränkung secureHttpTransport anwenden, wird der gesamte unverschlüsselte HTTP-Zugriff auf Cloud Storage-Ressourcen verweigert.

Zusätzliche Einschränkungen

Die folgenden Einschränkungen für Organisationsrichtlinien gelten allgemein für Google Cloud, werden aber häufig auf den Cloud Storage-Dienst angewendet:

Einschränkungen für Organisationsrichtlinien bedingt zulassen oder ablehnen

Mit Tags können Sie Organisationsrichtlinien abhängig davon zulassen oder ablehnen, ob ein Cloud Storage-Bucket ein bestimmtes Tag hat. Eine ausführliche Anleitung finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Nächste Schritte