Restricciones de la política de la organización para Cloud Storage

En esta página, se proporciona información complementaria sobre las restricciones de las políticas de la organización que se aplican a Cloud Storage. Usa restricciones para aplicar la configuración del bucket en todo un proyecto o una organización.

Restricciones de Cloud Storage

Las siguientes restricciones se pueden aplicar a una política de la organización y se relacionan con Cloud Storage:

Período establecido en la política de retención, en segundos

Nombre de la API: constraints/storage.retentionPolicySeconds

Cuando aplicas la restricción retentionPolicySeconds, debes especificar una o más duraciones como parte de la restricción. Una vez establecidas, las políticas de retención de depósitos deben incluir una de las duraciones especificadas. retentionPolicySeconds se aplica con la creación de bucket s nuevos o cuando se agrega o actualiza el período de retención de un bucket existente; sin embargo, no se aplica de otra manera en bucket s preexistentes.

Si configuras varias restricciones retentionPolicySeconds en diferentes niveles de recursos, estas se aplican de manera jerárquica. Por este motivo, se recomienda establecer el campo inheritFromParent en true, lo que garantiza que también se tengan en cuenta las políticas de las capas superiores.

Aplicar acceso uniforme a nivel de bucket

Nombre de la API: constraints/storage.uniformBucketLevelAccess

Cuando aplicas la restricción uniformBucketLevelAccess, los buckets nuevos deben habilitar la función de acceso uniforme a nivel de bucket, y los buckets preexistentes con esta característica habilitada no pueden inhabilitarla. Los buckets preexistentes con acceso uniforme a nivel de bucket no son necesarios para habilitarla.

Modo detallado del registro de auditoría

Nombre de la API: constraints/gcp.detailedAuditLoggingMode

Cuando aplicas la restricción detailedAuditLoggingMode, los registros de auditoría de Cloud asociados con operaciones de Cloud Storage contienen información detallada de solicitud y respuesta. Se recomienda usar esta restricción junto con el bloqueo de depósitos cuando buscas varios cumplimientos, como la regla 17a-4(f) de la SEC, la regla 1.31(c)-(d) de la CFTC y la regla 4511(c) de la FINRA.

En la información registrada, se incluyen parámetros de búsqueda, de ruta y de cuerpo de solicitud. En los registros, se excluyen algunas partes de las solicitudes y respuestas asociadas con información sensible, por ejemplo:

  • Credenciales, como Authorization, X-Goog-Signature o upload-id
  • Información de la clave de encriptación, como x-goog-encryption-key
  • Datos de objeto sin procesar

Cuando uses esta restricción, ten en cuenta lo siguiente:

  • Habilitar detailedAuditLoggingMode aumenta la cantidad de datos almacenados en los registros de auditoría, que pueden afectar tus cargos de Cloud Logging para los registros de acceso a los datos.

  • Habilitar o inhabilitar detailedAuditLoggingMode puede tomar hasta 10 minutos en implementarse.

  • Las solicitudes y respuestas registradas se registran en un formato genérico que coincide con los nombres de campo de la API de JSON.

Próximos pasos