Einschränkungen für Organisationsrichtlinien für Cloud Storage

Diese Seite enthält zusätzliche Informationen zu den für Cloud Storage geltenden Einschränkungen für Organisationsrichtlinien. Nutzen Sie Einschränkungen, um das Bucket- und Objektverhalten für ein gesamtes Projekt oder eine Organisation zu erzwingen. Einschränkungen für Organisationsrichtlinien können entweder boolesche Einschränkungen oder Listeneinschränkungen sein.

Cloud Storage-Einschränkungen

Die folgenden Einschränkungen gelten für Cloud Storage und können auf eine Organisationsrichtlinie angewendet werden:

Verhinderung des öffentlichen Zugriffs erzwingen

Einschränkungsname: constraints/storage.publicAccessPrevention Einschränkungstyp: boolean

Wenn Sie die Einschränkung publicAccessPrevention auf eine Ressource anwenden, wird der öffentliche Zugriff für alle Buckets und Objekte (neue und vorhandene) unter dieser Ressource eingeschränkt.

Beachten Sie, dass das Aktivieren oder Deaktivieren von publicAccessPrevention bis zu 10 Minuten dauern kann.

Aufbewahrungsdauer für vorläufiges Löschen

Einschränkungsname: constraints/storage.softDeletePolicySeconds Einschränkungstyp: list

Wenn Sie die Einschränkung softDeletePolicySeconds anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung muss die Richtlinie für vorläufiges Löschen des Buckets eine der angegebenen Dauer enthalten. softDeletePolicySeconds ist erforderlich, wenn Sie einen neuen Bucket erstellen oder die Aufbewahrungsdauer für vorläufige Löschen (softDeletePolicy.retentionDuration) eines vorhandenen Buckets hinzufügen oder aktualisieren. Ansonsten wirkt sich dies jedoch nicht auf bereits vorhandene Buckets aus.

Wenn Sie mehrere softDeletePolicySeconds-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent auf true zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

Dauer der Bucket-Aufbewahrungsrichtlinie in Sekunden

Einschränkungsname: constraints/storage.retentionPolicySeconds Einschränkungstyp: list

Wenn Sie die Einschränkung retentionPolicySeconds anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung müssen die Aufbewahrungsrichtlinien für Buckets die angegebene Dauer enthalten. retentionPolicySeconds ist erforderlich, wenn Sie neue Buckets erstellen oder die Aufbewahrungsdauer eines vorhandenen Buckets hinzufügen oder aktualisieren. In allen anderen Fällen ist diese Einschränkung jedoch nicht für vorhandene Buckets erforderlich.

Wenn Sie mehrere retentionPolicySeconds-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent auf true zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

Einheitlichen Zugriff auf Bucket-Ebene erfordern

Einschränkungsname: constraints/storage.uniformBucketLevelAccess Einschränkungstyp: boolean

Wenn Sie die Einschränkung uniformBucketLevelAccess anwenden, müssen neue Buckets den einheitlichen Zugriff auf Bucket-Ebene aktivieren. Bereits vorhandene Buckets, für die dieses Feature aktiviert ist, können es nicht deaktivieren. Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene müssen ihn nicht aktivieren.

Detaillierter Audit-Logging-Modus

Einschränkungsname: constraints/gcp.detailedAuditLoggingMode Einschränkungstyp: boolean

Wenn Sie die Einschränkung detailedAuditLoggingMode anwenden, enthalten die mit Cloud Storage-Vorgängen verknüpften Cloud-Audit-Logging-Logs detaillierte Anfrage- und Antwortinformationen. Diese Einschränkung wird in Verbindung mit der Bucket-Sperre und der Objektaufbewahrungssperre empfohlen, wenn Sie verschiedene Compliance-Anforderungen erfüllen, z. B. SEC-Artikel 17a–4(f), CFTC-Artikel 1.31(c)–(d) und FINRA-Artikel 4511(c).

Zu den protokollierten Informationen gehören Abfrage-, Pfad- und Anfragetextparameter. In Logs sind bestimmte Teile von Anfragen und Antworten ausgeschlossen, die mit vertraulichen Informationen zusammenhängen. In Logs sind beispielsweise folgende Informationen nicht enthalten:

• Anmeldedaten wie Authorization, X-Goog-Signature oder upload-id
• Informationen zum Verschlüsselungsschlüssel, z. B. x-goog-encryption-key
• Objektrohdaten

Beachten Sie bei Verwendung dieser Einschränkung Folgendes:

• Detaillierte Anfrage- und Antwortinformationen werden nicht garantiert. In seltenen Fällen können leere Logs zurückgegeben werden.
• Wenn Sie detailedAuditLoggingMode aktivieren, wird dadurch die Datenmenge in den Audit-Logs erhöht. Dies kann sich auf Ihre Cloud Logging-Gebühren für Datenzugriffslogs auswirken.

• Es dauert bis zu 10 Minuten, bis die Aktivierung oder Deaktivierung von detailedAuditLoggingMode wirksam wird.

• In Logs erfasste Anfragen und Antworten werden in einem generischen Format aufgezeichnet, das mit den Feldnamen der JSON API übereinstimmt.

Authentifizierungstypen einschränken

Einschränkungsname: constraints/storage.restrictAuthTypes Einschränkungstyp: list

Wenn Sie die Einschränkung restrictAuthTypes anwenden, schlagen Anfragen für den Zugriff auf Cloud Storage-Ressourcen mit dem eingeschränkten Authentifizierungstyp unabhängig von der Gültigkeit der Anfrage fehl. Diese Einschränkung wird empfohlen, wenn Sie regulatorische Anforderungen erfüllen oder die Sicherheit Ihrer Daten erhöhen müssen.

Die folgenden Authentifizierungstypen können eingeschränkt werden:

• SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: Schränkt mit HMAC-Schlüsseln für Dienstkonten signierte Anfragen ein.

• USER_ACCOUNT_HMAC_SIGNED_REQUESTS: Schränkt mit HMAC-Schlüsseln des Nutzerkontos signierte Anfragen ein.

• in:ALL_HMAC_SIGNED_REQUESTS: Mit einem beliebigen HMAC-Schlüssel signierte Anfragen einschränken Wenn Sie die Anforderungen an die Datenhoheit erfüllen müssen, wird empfohlen, alle HMAC-signierten Anfragen einzuschränken.

Wenn Sie diese Einschränkung aktivieren, geschieht Folgendes:

• In Cloud Storage wird der Zugriff für Anfragen eingeschränkt, die mit dem eingeschränkten Authentifizierungstyp authentifiziert wurden. Anfragen schlagen mit dem Fehler 403 Forbidden fehl.

• Entitäten, die zuvor für die Anfrage autorisiert waren, erhalten die Fehlermeldung, dass der Authentifizierungstyp deaktiviert ist.

• Wenn HMAC-Schlüssel eingeschränkt sind:

  • HMAC-Schlüssel des eingeschränkten Typs können nicht mehr in der Ressource erstellt oder aktiviert werden, für die die Einschränkung erzwungen wird. Anfragen zum Erstellen oder Aktivieren von HMAC-Schlüsseln schlagen mit dem Fehler 403 Forbidden fehl.

  • Vorhandene HMAC-Schlüssel bleiben erhalten, können aber nicht mehr verwendet werden. Sie können deaktiviert oder gelöscht, aber nicht wieder aktiviert werden.

Beachten Sie bei Verwendung der Einschränkung restrictAuthTypes, dass vorhandene Ressourcen von der HMAC-Authentifizierung abhängen. Wenn Sie beispielsweise von Amazon Simple Storage Service (Amazon S3) migriert haben, verwendet Ihre Anwendung wahrscheinlich HMAC-Schlüssel, um Anfragen an Cloud Storage zu authentifizieren. Sie können den Cloud Monitoring-Messwert storage.googleapis.com/authn/authentication_count verwenden, um zu verfolgen, wie oft HMAC-Schlüssel zur Authentifizierung von Anfragen verwendet wurden.

Unverschlüsselte HTTP-Anfragen einschränken

Einschränkungsname: constraints/storage.secureHttpTransport Einschränkungstyp: boolean

Wenn Sie die Einschränkung secureHttpTransport anwenden, wird der gesamte unverschlüsselte HTTP-Zugriff auf Cloud Storage-Ressourcen verweigert.

• Standardmäßig lässt die Cloud Storage XML API unverschlüsselten HTTP-Zugriff zu.
• Darüber hinaus unterstützen CNAMEWeiterleitungen nur den unverschlüsselten HTTP-Zugriff.

Zusätzliche Einschränkungen

Die folgenden Einschränkungen für Organisationsrichtlinien gelten allgemeiner in Google Cloud, werden jedoch häufig auch auf den Cloud Storage-Dienst angewendet:

• constraints/gcp.restrictNonCmekServices: Neue und neu geschriebene Objekte müssen mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden, und neue Buckets müssen einen Cloud KMS-Schlüssel als Standardverschlüsselungsschlüssel festlegen.

• constraints/gcp.restrictCmekCryptoKeyProjects: Anfragen an Cloud Storage ablehnen, wenn die Anfrage einen vom Kunden verwalteten Verschlüsselungsschlüssel enthält und der Schlüssel nicht zu einem durch die Einschränkung festgelegten Projekt gehört. Ebenso werden Anfragen abgelehnt, die ein Objekt erstellen oder neu schreiben, wenn dieses Objekt mit dem Standardverschlüsselungsschlüssel des Buckets verschlüsselt werden würde und dieser Schlüssel nicht zu einem durch die Einschränkung angegebenen Projekt gehört.

• constraints/gcp.restrictTLSVersion: Den Zugriff auf Cloud Storage durch Anfragen mit Transport Layer Security (TLS) 1.0 oder 1.1 verhindern.

Einschränkungen für Organisationsrichtlinien bedingt zulassen oder ablehnen

Mit Tags können Sie Organisationsrichtlinien abhängig davon zulassen oder ablehnen, ob ein Cloud Storage-Bucket ein bestimmtes Tag hat. Eine ausführliche Anleitung finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Nächste Schritte

• Weitere Informationen zur Ressourcenhierarchie für Organisationsrichtlinien
• Eine Anleitung zum Arbeiten mit Einschränkungen und Organisationsrichtlinien in der Google Cloud Console finden Sie unter Organisationsrichtlinien erstellen und verwalten.
• Eine Anleitung zum Arbeiten mit Einschränkungen und Organisationsrichtlinien in der gcloud CLI finden Sie unter Einschränkungen verwenden.
• Informationen zu relevanten API-Methoden wie projects.setOrgPolicy finden Sie in der Referenzdokumentation zur Resource Manager API.