Restrições da política da organização para o Cloud Storage

Nesta página, você encontra informações complementares sobre as restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar comportamentos de bucket e objeto em um projeto ou em uma organização inteira. As restrições da política da organização podem ser restrições booleanas ou restrições de lista.

Restrições do Cloud Storage

As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Storage:

Aplicar a prevenção do acesso público

Nome da restrição: constraints/storage.publicAccessPrevention Tipo de restrição: boolean

Quando você aplica a restrição publicAccessPrevention a um recurso, o acesso público é restrito para todos os buckets e objetos, novos e existentes, nesse recurso.

A ativação ou desativação da publicAccessPrevention pode levar até 10 minutos para entrar em vigor.

Duração da retenção da exclusão reversível

Nome da restrição: constraints/storage.softDeletePolicySeconds Tipo de restrição: list

Ao aplicar a restrição softDeletePolicySeconds, você especifica uma ou mais durações como parte da restrição. Depois de definida, a política de exclusão reversível do bucket precisa incluir uma das durações especificadas. softDeletePolicySeconds é necessário ao criar um novo bucket e ao adicionar ou atualizar a duração de retenção da exclusão reversível (softDeletePolicy.retentionDuration) de um bucket preexistente. No entanto, isso não afeta buckets preexistentes.

Se você definir várias restrições softDeletePolicySeconds em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent como true, o que garante que as políticas em camadas mais altas também sejam consideradas.

Duração da política de retenção de buckets em segundos

Nome da restrição: constraints/storage.retentionPolicySeconds Tipo de restrição: list

Ao aplicar a restrição retentionPolicySeconds, você especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção do bucket precisam incluir uma das durações especificadas. retentionPolicySeconds é necessário ao criar novos buckets e ao adicionar ou atualizar o período de armazenamento de um bucket preexistente. mas isso não é necessário em buckets preexistentes.

Se você definir várias restrições retentionPolicySeconds em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent como true, o que garante que as políticas em camadas mais altas também sejam consideradas.

Exigir acesso uniforme no nível do bucket

Nome da restrição: constraints/storage.uniformBucketLevelAccess Tipo de restrição: boolean

Quando você aplica a restrição uniformBucketLevelAccess, os buckets novos precisam ativar o recurso de acesso uniforme no nível do bucket e os buckets já existentes com esse recurso ativado não podem desativá-lo. Os buckets preexistentes com acesso uniforme no nível do bucket desativado não são necessários para ativá-lo.

Modo de registro de auditoria detalhado

Nome da restrição: constraints/gcp.detailedAuditLoggingMode Tipo de restrição: boolean

Quando você aplica a restrição detailedAuditLoggingMode, os registros de auditoria do Clou associados a operações do Cloud Storage contêm informações detalhadas de solicitação e resposta. Essa restrição é recomendada para uso em conjunto com o bloqueio de buckets e o bloqueio de retenção de objetos ao buscar várias conformidades, como a SEC Regra 17a-4(f), Regra da CFTC 1.31(c)-(d) e Regra 4511(c) da FINRA.

As informações registradas incluem parâmetros de consulta, de caminho e de corpo da solicitação. Os registros excluem determinadas partes de solicitações e respostas associadas a informações confidenciais. Por exemplo:

  • Credenciais, como Authorization, X-Goog-Signature ou upload-id
  • Informações da chave de criptografia, como x-goog-encryption-key
  • Dados brutos do objeto

Ao usar essa restrição, observe o seguinte:

  • Não há garantia de informações detalhadas sobre as solicitações e respostas. em casos raros, registros vazios podem ser retornados.
  • Ativar o detailedAuditLoggingMode aumenta a quantidade de dados armazenados nos registros de auditoria, o que pode afetar suas cobranças do Cloud Logging em registros de acesso a dados.
  • A ativação ou desativação do detailedAuditLoggingMode leva até 10 minutos para entrar em vigor.

  • As solicitações e respostas registradas são gravadas em um formato genérico que corresponde aos nomes dos campos da API JSON.

Restringir tipos de autenticação

Nome da restrição: constraints/storage.restrictAuthTypes Tipo de restrição: list

Quando você aplica a restrição restrictAuthTypes, as solicitações para acessar os recursos do Cloud Storage usando o tipo de autenticação restrita falham, independentemente da validade da solicitação. Você pode usar a restrição restrictAuthTypes para restringir chaves HMAC e atender a requisitos regulamentares ou aumentar a segurança dos dados.

A restrição de lista nega explicitamente tipos de autenticação específicos, permitindo todos os outros. Para isso, liste os tipos de autenticação restritos na chave deniedValues no rules da restrição restrictAuthTypes. Um erro ocorre quando você tenta listar os tipos de autenticação restritos na chave allowedValues.

É possível restringir os seguintes tipos de autenticação:

  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: restringe as solicitações assinadas por chaves HMAC da conta de serviço.

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS: restringe as solicitações assinadas pelas chaves HMAC da conta de usuário.

  • in:ALL_HMAC_SIGNED_REQUESTS: restringe solicitações assinadas por qualquer chave HMAC. Para atender aos requisitos de soberania de dados, recomendamos restringir todas as solicitações assinadas HMAC.

Quando você ativa essa restrição, ocorre o seguinte:

  • O Cloud Storage restringe o acesso a solicitações autenticadas com o tipo de autenticação restrito. As solicitações falham com o erro 403 Forbidden.

  • As entidades que foram autorizadas anteriormente a executar a solicitação recebem uma mensagem de erro explicando que o tipo de autenticação está desativado.

  • Se as chaves HMAC forem restritas:

    • Não é mais possível criar ou ativar chaves HMAC do tipo restrito no recurso em que a restrição é aplicada. As solicitações para criar ou ativar chaves HMAC falham com o erro 403 Forbidden.

    • As chaves HMAC permanecem, mas não são mais utilizáveis. Elas podem ser desativadas ou excluídas, mas não podem ser reativadas.

Ao usar a restrição restrictAuthTypes, esteja ciente dos recursos que dependem da autenticação HMAC. Por exemplo, se você migrou do Amazon Simple Storage Service (Amazon S3), o aplicativo provavelmente usará chaves HMAC para autenticar solicitações para o Cloud Storage. É possível usar a métrica do Cloud Monitoring storage.googleapis.com/authn/authentication_count para rastrear o número de vezes que as chaves HMAC foram usadas para autenticar solicitações.

Restringir solicitações HTTP não criptografadas

Nome da restrição: constraints/storage.secureHttpTransport Tipo de restrição: boolean

Quando você aplica a restrição secureHttpTransport, todo o acesso HTTP não criptografado aos recursos do Cloud Storage é negado.

Outras restrições

As restrições de política da organização a seguir se aplicam de maneira mais geral em todo o Google Cloud, mas costumam ser aplicadas ao serviço do Cloud Storage:

Permitir ou negar restrições de política da organização condicionalmente

Com as tags, é possível permitir ou negar condicionalmente as políticas da organização com base em um bucket do Cloud Storage ter uma tag específica. Consulte Como configurar uma política da organização com tags para instruções detalhadas.

A seguir