Einschränkungen für Organisationsrichtlinien für Cloud Storage

Diese Seite enthält zusätzliche Informationen zu den für Cloud Storage geltenden Einschränkungen für Organisationsrichtlinien. Verwenden Sie Einschränkungen, um Bucket-Einstellungen für ein ganzes Projekt oder eine gesamte Organisation zu erzwingen.

Cloud Storage-Einschränkungen

Die folgenden Einschränkungen gelten für Cloud Storage und können auf eine Organisationsrichtlinie angewendet werden:

Aufbewahrungsdauer in Sekunden

API-Name: constraints/storage.retentionPolicySeconds

Wenn Sie die Einschränkung retentionPolicySeconds anwenden, geben Sie deren Dauer als Teil der Einschränkung an. Nach der Festlegung müssen die Aufbewahrungsrichtlinien für Buckets die angegebene Dauer enthalten. retentionPolicySeconds wird bei der Erstellung eines neuen Buckets oder beim Hinzufügen/Aktualisieren der Aufbewahrungsdauer eines vorhandenen Buckets erzwungen. In allen anderen Fällen wird diese Einschränkung jedoch nicht für vorhandene Buckets erzwungen.

Wenn Sie mehrere retentionPolicySeconds-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund wird empfohlen, das Feld inheritFromParent auf true zu setzen. Dadurch sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

Einheitlichen Zugriff auf Bucket-Ebene erzwingen

API-Name: constraints/storage.uniformBucketLevelAccess

Wenn Sie die Einschränkung uniformBucketLevelAccess anwenden, müssen neue Buckets den einheitlichen Zugriff auf Bucket-Ebene aktivieren. Bereits vorhandene Buckets, für die dieses Feature aktiviert ist, können es nicht deaktivieren. Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene müssen ihn nicht aktivieren.

Detaillierter Audit-Logging-Modus

API-Name: constraints/gcp.detailedAuditLoggingMode

Wenn Sie die Einschränkung detailedAuditLoggingMode anwenden, enthalten die mit Cloud Storage-Vorgängen verknüpften Cloud-Audit-Logging-Logs detaillierte Anfrage- und Antwortinformationen. Diese Einschränkung wird in Verbindung mit der Bucket-Sperre empfohlen, wenn Sie verschiedene Compliance-Anforderungen erfüllen müssen, z. B. SEC-Artikel 17a–4(f), CFTC-Artikel 1.31. (c)–(d) und FINRA-Artikel 4511(c).

Zu den protokollierten Informationen gehören Abfrage-, Pfad- und Anfragetextparameter. In Logs sind bestimmte Teile von Anfragen und Antworten ausgeschlossen, die mit vertraulichen Informationen zusammenhängen. In Logs sind beispielsweise folgende Informationen nicht enthalten:

  • Anmeldedaten wie Authorization, X-Goog-Signature oder upload-id
  • Informationen zum Verschlüsselungsschlüssel, z. B. x-goog-encryption-key
  • Objektrohdaten

Beachten Sie bei Verwendung dieser Einschränkung Folgendes:

  • Wenn Sie detailedAuditLoggingMode aktivieren, wird dadurch die Datenmenge in den Audit-Logs erhöht. Dies kann sich auf Ihre Cloud Logging-Gebühren für Datenzugriffslogs auswirken.

  • Es dauert bis zu 10 Minuten, bis die Aktivierung oder Deaktivierung von detailedAuditLoggingMode wirksam wird.

  • In Logs erfasste Anfragen und Antworten werden in einem generischen Format aufgezeichnet, das mit den Feldnamen der JSON API übereinstimmt.

Verhinderung des öffentlichen Zugriffs erzwingen

API-Name: constraints/storage.publicAccessPrevention

Wenn Sie die Einschränkung publicAccessPrevention auf eine Ressource anwenden, wird der öffentliche Zugriff für alle vorhandenen und neuen Buckets und Objekte unter dieser Ressource nicht zugelassen. Weitere Informationen finden Sie unter Prävention des öffentlichen Zugriffs.

Beachten Sie, dass das Aktivieren oder Deaktivieren von publicAccessPrevention bis zu 10 Minuten dauern kann.

Nächste Schritte