Restricciones de las políticas de la organización para Cloud Storage

En esta página, se proporciona información complementaria sobre las restricciones de las políticas de la organización que se aplican a Cloud Storage. Usa restricciones para aplicar la configuración del depósito en todo un proyecto o una organización.

Restricciones de Cloud Storage

Las siguientes restricciones se pueden aplicar a una política de la organización y se relacionan con Cloud Storage:

Período establecido en la política de retención, en segundos

Nombre de la API: constraints/storage.retentionPolicySeconds

Cuando aplicas la restricción retentionPolicySeconds, debes especificar una o más duraciones como parte de la restricción. Una vez establecidas, las políticas de retención de depósitos deben incluir una de las duraciones especificadas. retentionPolicySeconds se aplica con la creación de depósitos nuevos o cuando se agrega o actualiza el período de retención de un depósito existente; sin embargo, no se aplica de otra manera en depósitos preexistentes.

Si configuras varias restricciones retentionPolicySeconds en diferentes niveles de recursos, estas se aplican de manera jerárquica. Por este motivo, se recomienda establecer el campo inheritFromParent en true, lo que garantiza que también se tengan en cuenta las políticas de las capas superiores.

Aplicar acceso uniforme a nivel de depósito

Nombre de la API: constraints/storage.uniformBucketLevelAccess

Cuando aplicas la restricción uniformBucketLevelAccess, los depósitos deben usar el acceso uniforme a nivel de depósito. Esta restricción se aplica con la creación de depósitos nuevos y para cualquier depósito preexistente que tenga habilitado el acceso uniforme a nivel de depósito. Sin embargo, no se aplica en depósitos preexistentes que tengan inhabilitado el acceso uniforme a nivel de depósito.

Modo detallado del registro de auditoría

Nombre de la API: constraints/gcp.detailedAuditLoggingMode

Cuando aplicas la restricción detailedAuditLoggingMode, los registros de auditoría de Cloud asociados con operaciones de Cloud Storage contienen información detallada de solicitud y respuesta. Se recomienda usar esta restricción junto con el bloqueo de depósitos cuando buscas varios cumplimientos, como la regla 17a-4(f) de la SEC, la regla 1.31(c)-(d) de la CFTC y la regla 4511(c) de la FINRA.

En la información registrada, se incluyen parámetros de búsqueda, de ruta y de cuerpo de solicitud. En los registros, se excluyen ciertas partes de las solicitudes y respuestas asociadas con información sensible, como credenciales, claves de encriptación, secretos y otros campos relacionados con la privacidad. Para las solicitudes que involucran objetos, los registros no contienen ninguno de los datos sin procesar del objeto.

Cuando uses esta restricción, ten en cuenta lo siguiente:

  • Habilitar detailedAuditLoggingMode aumenta la cantidad de datos almacenados en los registros de auditoría, que pueden afectar tus cargos de Cloud Logging para los registros de acceso a los datos.

  • Habilitar o inhabilitar detailedAuditLoggingMode puede tomar hasta 10 minutos en implementarse.

  • Las solicitudes y respuestas registradas se registran en un formato genérico que coincide con los nombres de campo de la API de JSON.

Próximos pasos