Diese Seite enthält zusätzliche Informationen zu den für Cloud Storage geltenden Einschränkungen für Organisationsrichtlinien. Nutzen Sie Einschränkungen, um das Bucket- und Objektverhalten für ein gesamtes Projekt oder eine Organisation zu erzwingen. Einschränkungen für Organisationsrichtlinien können entweder boolesche Einschränkungen oder Listeneinschränkungen sein.
Cloud Storage-Einschränkungen
Die folgenden Einschränkungen gelten für Cloud Storage und können auf eine Organisationsrichtlinie angewendet werden:
Verhinderung des öffentlichen Zugriffs erzwingen
Einschränkungsname: constraints/storage.publicAccessPrevention
Einschränkungstyp: boolean
Wenn Sie die Einschränkung publicAccessPrevention
auf eine Ressource anwenden, wird der öffentliche Zugriff für alle Buckets und Objekte (neue und vorhandene) unter dieser Ressource eingeschränkt.
Beachten Sie, dass das Aktivieren oder Deaktivieren von publicAccessPrevention
bis zu 10 Minuten dauern kann.
Aufbewahrungsdauer für vorläufiges Löschen
Einschränkungsname: constraints/storage.softDeletePolicySeconds
Einschränkungstyp: list
Wenn Sie die Einschränkung softDeletePolicySeconds
anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung muss die Richtlinie für vorläufiges Löschen des Buckets eine der angegebenen Zeiträume enthalten.
softDeletePolicySeconds
ist erforderlich, wenn Sie neue Buckets erstellen oder die Aufbewahrungsdauer für das vorläufige Löschen (softDeletePolicy.retentionDuration
) eines vorhandenen Buckets hinzufügen oder aktualisieren. In allen anderen Fällen ist diese Einschränkung jedoch nicht für vorhandene Buckets erforderlich.
Wenn Sie mehrere softDeletePolicySeconds
-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent
auf true
zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.
Aufbewahrungsdauer der Bucket-Aufbewahrungsrichtlinie in Sekunden
Einschränkungsname: constraints/storage.retentionPolicySeconds
Einschränkungstyp: list
Wenn Sie die Einschränkung retentionPolicySeconds
anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung müssen die Aufbewahrungsrichtlinien für Buckets die angegebene Dauer enthalten. retentionPolicySeconds
ist erforderlich, wenn Sie neue Buckets erstellen oder die Aufbewahrungsdauer eines vorhandenen Buckets hinzufügen oder aktualisieren. In allen anderen Fällen ist diese Einschränkung jedoch nicht für vorhandene Buckets erforderlich.
Wenn Sie mehrere retentionPolicySeconds
-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent
auf true
zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.
Einheitlichen Zugriff auf Bucket-Ebene erfordern
Einschränkungsname: constraints/storage.uniformBucketLevelAccess
Einschränkungstyp: boolean
Wenn Sie die Einschränkung uniformBucketLevelAccess
anwenden, müssen neue Buckets den einheitlichen Zugriff auf Bucket-Ebene aktivieren. Bereits vorhandene Buckets, für die dieses Feature aktiviert ist, können es nicht deaktivieren. Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene müssen ihn nicht aktivieren.
Detaillierter Audit-Logging-Modus
Einschränkungsname: constraints/gcp.detailedAuditLoggingMode
Einschränkungstyp: boolean
Wenn Sie die Einschränkung detailedAuditLoggingMode
anwenden, enthalten die mit Cloud Storage-Vorgängen verknüpften Cloud-Audit-Logging-Logs detaillierte Anfrage- und Antwortinformationen. Diese Einschränkung wird in Verbindung mit der Bucket-Sperre und der Objektaufbewahrungssperre empfohlen, wenn Sie verschiedene Compliance-Anforderungen erfüllen, z. B. SEC-Artikel 17a–4(f), CFTC-Artikel 1.31(c)–(d) und FINRA-Artikel 4511(c).
Zu den protokollierten Informationen gehören Abfrage-, Pfad- und Anfragetextparameter. In Logs sind bestimmte Teile von Anfragen und Antworten ausgeschlossen, die mit vertraulichen Informationen zusammenhängen. In Logs sind beispielsweise folgende Informationen nicht enthalten:
- Anmeldedaten wie
Authorization
,X-Goog-Signature
oderupload-id
- Informationen zum Verschlüsselungsschlüssel, z. B.
x-goog-encryption-key
- Objektrohdaten
Beachten Sie bei Verwendung dieser Einschränkung Folgendes:
- Detaillierte Anfrage- und Antwortinformationen werden nicht garantiert. In seltenen Fällen können leere Logs zurückgegeben werden.
- Wenn Sie
detailedAuditLoggingMode
aktivieren, wird dadurch die Datenmenge in den Audit-Logs erhöht. Dies kann sich auf Ihre Cloud Logging-Gebühren für Datenzugriffslogs auswirken. Es dauert bis zu 10 Minuten, bis die Aktivierung oder Deaktivierung von
detailedAuditLoggingMode
wirksam wird.In Logs erfasste Anfragen und Antworten werden in einem generischen Format aufgezeichnet, das mit den Feldnamen der JSON API übereinstimmt.
Authentifizierungstypen einschränken
Einschränkungsname: constraints/storage.restrictAuthTypes
Einschränkungstyp: list
Wenn Sie die Einschränkung restrictAuthTypes
anwenden, schlagen Anfragen für den Zugriff auf Cloud Storage-Ressourcen mit dem eingeschränkten Authentifizierungstyp unabhängig von der Gültigkeit der Anfrage fehl. Mit der Einschränkung restrictAuthTypes
können Sie HMAC-Schlüssel einschränken, um regulatorische Anforderungen zu erfüllen oder die Sicherheit Ihrer Daten zu erhöhen.
Mit der Listeneinschränkung werden bestimmte Authentifizierungstypen explizit abgelehnt, während alle anderen zulässig sind. Dazu müssen Sie die eingeschränkten Authentifizierungstypen im Schlüssel deniedValues
innerhalb der rules
der Einschränkung restrictAuthTypes
auflisten. Wenn Sie versuchen, die eingeschränkten Authentifizierungstypen im Schlüssel allowedValues
aufzulisten, tritt ein Fehler auf.
Sie können die folgenden Authentifizierungstypen einschränken:
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
: Schränkt mit HMAC-Schlüsseln für Dienstkonten signierte Anfragen ein.USER_ACCOUNT_HMAC_SIGNED_REQUESTS
: Schränkt mit HMAC-Schlüsseln des Nutzerkontos signierte Anfragen ein.in:ALL_HMAC_SIGNED_REQUESTS
: Anfragen einschränken, die mit einem beliebigen HMAC-Schlüssel signiert sind. Wenn Sie die Anforderungen an die Datenhoheit erfüllen müssen, wird empfohlen, alle HMAC-signierten Anfragen einzuschränken.
Wenn Sie diese Einschränkung aktivieren, geschieht Folgendes:
In Cloud Storage wird der Zugriff für Anfragen eingeschränkt, die mit dem eingeschränkten Authentifizierungstyp authentifiziert wurden. Anfragen schlagen mit dem Fehler
403 Forbidden
fehl.Entitäten, die zuvor für die Anfrage autorisiert waren, erhalten die Fehlermeldung, dass der Authentifizierungstyp deaktiviert ist.
Wenn HMAC-Schlüssel eingeschränkt sind:
HMAC-Schlüssel des eingeschränkten Typs können nicht mehr in der Ressource erstellt oder aktiviert werden, für die die Einschränkung erzwungen wird. Anfragen zum Erstellen oder Aktivieren von HMAC-Schlüsseln schlagen mit dem Fehler
403 Forbidden
fehl.Vorhandene HMAC-Schlüssel bleiben erhalten, können aber nicht mehr verwendet werden. Sie können deaktiviert oder gelöscht, aber nicht wieder aktiviert werden.
Beachten Sie bei Verwendung der Einschränkung restrictAuthTypes
, dass vorhandene Ressourcen von der HMAC-Authentifizierung abhängen. Wenn Sie beispielsweise von Amazon Simple Storage Service (Amazon S3) migriert haben, verwendet Ihre Anwendung wahrscheinlich HMAC-Schlüssel, um Anfragen an Cloud Storage zu authentifizieren. Sie können den Cloud Monitoring-Messwert storage.googleapis.com/authn/authentication_count
verwenden, um zu verfolgen, wie oft HMAC-Schlüssel zur Authentifizierung von Anfragen verwendet wurden.
Unverschlüsselte HTTP-Anfragen einschränken
Einschränkungsname: constraints/storage.secureHttpTransport
Einschränkungstyp: boolean
Wenn Sie die Einschränkung secureHttpTransport
anwenden, wird der gesamte unverschlüsselte HTTP-Zugriff auf Cloud Storage-Ressourcen verweigert.
- Standardmäßig lässt die Cloud Storage XML API unverschlüsselten HTTP-Zugriff zu.
- Darüber hinaus unterstützen
CNAME
Weiterleitungen nur den unverschlüsselten HTTP-Zugriff.
Zusätzliche Einschränkungen
Die folgenden Einschränkungen für Organisationsrichtlinien gelten allgemein für Google Cloud, werden aber häufig auf den Cloud Storage-Dienst angewendet:
constraints/gcp.restrictNonCmekServices
: Neue und neu geschriebene Objekte müssen mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden, und neue Buckets müssen einen Cloud KMS-Schlüssel als Standardverschlüsselungsschlüssel festlegen.constraints/gcp.restrictCmekCryptoKeyProjects
: Anfragen an Cloud Storage ablehnen, wenn die Anfrage einen vom Kunden verwalteten Verschlüsselungsschlüssel enthält und der Schlüssel nicht zu einem durch die Einschränkung festgelegten Projekt gehört. Ebenso werden Anfragen abgelehnt, die ein Objekt erstellen oder neu schreiben, wenn dieses Objekt mit dem Standardverschlüsselungsschlüssel des Buckets verschlüsselt werden würde und dieser Schlüssel nicht zu einem durch die Einschränkung angegebenen Projekt gehört.constraints/gcp.restrictTLSVersion
: Den Zugriff auf Cloud Storage durch Anfragen mit Transport Layer Security (TLS) 1.0 oder 1.1 verhindern.
Einschränkungen für Organisationsrichtlinien bedingt zulassen oder ablehnen
Mit Tags können Sie Organisationsrichtlinien abhängig davon zulassen oder ablehnen, ob ein Cloud Storage-Bucket ein bestimmtes Tag hat. Eine ausführliche Anleitung finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Nächste Schritte
- Weitere Informationen zur Ressourcenhierarchie für Organisationsrichtlinien
- Eine Anleitung zum Arbeiten mit Einschränkungen und Organisationsrichtlinien in der Google Cloud Console finden Sie unter Organisationsrichtlinien erstellen und verwalten.
- Eine Anleitung zum Arbeiten mit Einschränkungen und Organisationsrichtlinien in der gcloud CLI finden Sie unter Einschränkungen verwenden.
- Weitere Informationen zu benutzerdefinierten Einschränkungen für Cloud Storage
- Informationen zu relevanten API-Methoden wie
projects.setOrgPolicy
finden Sie in der Referenzdokumentation zur Resource Manager API.