Vincoli dei criteri dell'organizzazione per Cloud Storage

Questa pagina fornisce informazioni supplementari sui vincoli dei criteri dell'organizzazione che si applicano a Cloud Storage. Utilizza i vincoli per applicare i comportamenti di bucket e oggetti a livello di progetto o organizzazione. I vincoli dei criteri dell'organizzazione possono essere boolean constraints o vincoli degli elenchi.

Vincoli di Cloud Storage

I seguenti vincoli possono essere applicati a un criterio dell'organizzazione e riguardano Cloud Storage:

Forza la prevenzione dell'accesso pubblico

Nome vincolo: constraints/storage.publicAccessPrevention Tipo di vincolo: boolean

Quando applichi il vincolo publicAccessPrevention a una risorsa, l'accesso pubblico è limitato per tutti i bucket e gli oggetti, nuovi ed esistenti, all'interno di quella risorsa.

Tieni presente che l'attivazione o la disattivazione di publicAccessPrevention potrebbe richiedere fino a 10 minuti prima che diventi effettiva.

Eliminazione temporanea della durata di conservazione

Nome vincolo: constraints/storage.softDeletePolicySeconds Tipo di vincolo: list

Quando applichi il vincolo softDeletePolicySeconds, specifichi una o più durate come parte del vincolo. Una volta impostato, il criterio di eliminazione temporanea del bucket deve includere una delle durate specificate. softDeletePolicySeconds è obbligatorio quando crei un nuovo bucket e quando aggiungi o aggiorni la durata di conservazione dell'eliminazione temporanea (softDeletePolicy.retentionDuration) di un bucket preesistente. Tuttavia, non influisce sui bucket preesistenti.

Se imposti più vincoli softDeletePolicySeconds a livelli di risorsa diversi, questi vengono applicati in modo gerarchico. Per questo motivo, consigliamo di impostare il campo inheritFromParent su true, per garantire che vengano presi in considerazione anche i criteri ai livelli più elevati.

Durata del criterio di conservazione del bucket in secondi

Nome vincolo: constraints/storage.retentionPolicySeconds Tipo di vincolo: list

Quando applichi il vincolo retentionPolicySeconds, specifichi una o più durate come parte del vincolo. Una volta impostati, i criteri di conservazione dei bucket devono includere una delle durate specificate. retentionPolicySeconds è obbligatorio quando si creano nuovi bucket e quando si aggiunge o aggiorna il periodo di conservazione di un bucket preesistente; tuttavia, non è altrimenti richiesto sui bucket preesistenti.

Se imposti più vincoli retentionPolicySeconds a livelli di risorsa diversi, questi vengono applicati in modo gerarchico. Per questo motivo, consigliamo di impostare il campo inheritFromParent su true, per garantire che vengano presi in considerazione anche i criteri ai livelli più elevati.

Richiedi l'accesso uniforme a livello di bucket

Nome vincolo: constraints/storage.uniformBucketLevelAccess Tipo di vincolo: boolean

Se applichi il vincolo uniformBucketLevelAccess, i nuovi bucket devono abilitare la funzionalità di accesso uniforme a livello di bucket; i bucket preesistenti per cui è abilitata questa funzionalità non possono disabilitarla. Non è necessario abilitare i bucket preesistenti con accesso uniforme a livello di bucket disabilitato.

Modalità di audit logging dettagliata

Nome vincolo: constraints/gcp.detailedAuditLoggingMode Tipo di vincolo: boolean

Quando applichi il vincolo detailedAuditLoggingMode, i log di Cloud Audit Logs associati alle operazioni di Cloud Storage contengono informazioni dettagliate relative a richieste e risposte. Ti consigliamo di utilizzare questo vincolo insieme a Blocco bucket e Blocco conservazione degli oggetti quando cerca diverse conformità, ad esempio la regola SEC 17a-4(f), la regola CFTC 1.31(c)-(d) e la regola FINRA 4511(c).

Le informazioni registrate includono parametri di ricerca, parametri di percorso e parametri del corpo delle richieste. I log escludono determinate parti di richieste e risposte associate a informazioni sensibili. Ad esempio, i log escludono:

  • Credenziali, ad esempio Authorization, X-Goog-Signature o upload-id.
  • Informazioni sulla chiave di crittografia, ad esempio x-goog-encryption-key.
  • Dati di oggetti non elaborati.

Quando utilizzi questo vincolo, tieni presente quanto segue:

  • Non sono garantite informazioni dettagliate sulle richieste e sulle risposte; in rari casi, potrebbero essere restituiti log vuoti.
  • L'abilitazione di detailedAuditLoggingMode aumenta la quantità di dati archiviati negli audit log, con possibili ripercussioni sugli addebiti di Cloud Logging per i log di accesso ai dati.
  • L'attivazione o la disattivazione di detailedAuditLoggingMode richiede fino a 10 minuti.

  • Le richieste e le risposte registrate vengono registrate in un formato generico che corrisponde ai nomi dei campi dell'API JSON.

Limita tipi di autenticazione

Nome vincolo: constraints/storage.restrictAuthTypes Tipo di vincolo: list

Quando applichi il vincolo restrictAuthTypes, le richieste di accesso alle risorse di Cloud Storage utilizzando il tipo di autenticazione limitata non vanno a buon fine, indipendentemente dalla validità della richiesta. Questo vincolo è consigliato quando è necessario soddisfare requisiti normativi o aumentare la sicurezza dei dati.

I seguenti tipi di autenticazione possono essere limitati:

  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: limita le richieste firmate da chiavi HMAC degli account di servizio.

  • in:ALL_HMAC_SIGNED_REQUESTS: limita le richieste firmate da qualsiasi chiave HMAC. Se devi soddisfare i requisiti di sovranità dei dati, è consigliabile limitare tutte le richieste firmate HMAC.

Quando abiliti questo vincolo, si verifica quanto segue:

  • Cloud Storage limita l'accesso per le richieste autenticate con il tipo di autenticazione limitata. Le richieste non vanno a buon fine con l'errore 403 Forbidden.

  • Le entità che erano precedentemente autorizzate a eseguire la richiesta ricevono un messaggio di errore che spiega che il tipo di autenticazione è disabilitato.

  • Se le chiavi HMAC sono limitate:

    • Le chiavi HMAC di tipo limitato non possono più essere create o attivate nella risorsa a cui viene applicato il vincolo. Le richieste di creazione o attivazione di chiavi HMAC non vanno a buon fine e viene restituito l'errore 403 Forbidden.

    • Le chiavi HMAC esistenti rimangono attive, ma non sono più utilizzabili. Possono essere disattivati o eliminati, ma non possono essere riattivati.

Quando utilizzi il vincolo restrictAuthTypes, prendi in considerazione le risorse esistenti che dipendono dall'autenticazione HMAC. Ad esempio, se hai eseguito la migrazione da Amazon Simple Storage Service (Amazon S3), è probabile che la tua applicazione utilizzi chiavi HMAC per autenticare le richieste a Cloud Storage. Puoi utilizzare la metrica di Cloud Monitoring storage.googleapis.com/authn/authentication_count per monitorare il numero di volte in cui le chiavi HMAC sono state utilizzate per autenticare le richieste.

Limita le richieste HTTP non criptate

Nome vincolo: constraints/storage.secureHttpTransport Tipo di vincolo: boolean

Quando applichi il vincolo secureHttpTransport, tutti gli accessi HTTP non criptati alle risorse di Cloud Storage vengono rifiutati.

Vincoli aggiuntivi

I seguenti vincoli dei criteri dell'organizzazione si applicano più in generale a Google Cloud, ma spesso vengono applicati al servizio Cloud Storage:

Consenti o nega in modo condizionale i vincoli dei criteri dell'organizzazione

I tag forniscono un modo per consentire o negare in modo condizionale i criteri dell'organizzazione a seconda che un bucket Cloud Storage abbia un tag specifico. Per istruzioni dettagliate, consulta Impostazione di un criterio dell'organizzazione con tag.

Passaggi successivi