Nesta página, você encontra informações complementares sobre as restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar comportamentos de bucket e objeto em um projeto ou em uma organização inteira. As restrições da política da organização podem ser restrições booleanas ou restrições de lista.
Restrições do Cloud Storage
As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Storage:
Aplicar a prevenção do acesso público
Nome da restrição: constraints/storage.publicAccessPrevention
Tipo de restrição: boolean
Quando você aplica a restrição publicAccessPrevention
a um recurso,
o acesso público é restrito para todos os buckets e objetos, novos e
existentes, nesse recurso.
A ativação ou desativação da publicAccessPrevention
pode levar até 10
minutos para entrar em vigor.
Duração da retenção da exclusão reversível
Nome da restrição: constraints/storage.softDeletePolicySeconds
Tipo de restrição: list
Ao aplicar a restrição softDeletePolicySeconds
, você especifica uma ou mais durações como parte da restrição. Depois de definida, a política de exclusão reversível do bucket
precisa incluir uma das durações especificadas.
softDeletePolicySeconds
é
necessário ao criar um novo bucket e ao adicionar ou atualizar a
duração de retenção da exclusão reversível (softDeletePolicy.retentionDuration
)
de um bucket preexistente. No entanto, isso não afeta buckets
preexistentes.
Se você definir várias restrições softDeletePolicySeconds
em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent
como true
, o que garante que as políticas em camadas mais altas também sejam consideradas.
Duração da política de retenção de buckets em segundos
Nome da restrição: constraints/storage.retentionPolicySeconds
Tipo de restrição: list
Ao aplicar a restrição retentionPolicySeconds
, você especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção do bucket precisam incluir uma das durações especificadas. retentionPolicySeconds
é necessário ao criar novos buckets e ao adicionar ou atualizar o período de armazenamento de um bucket preexistente. mas isso não é necessário em buckets preexistentes.
Se você definir várias restrições retentionPolicySeconds
em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent
como true
, o que garante que as políticas em camadas mais altas também sejam consideradas.
Exigir acesso uniforme no nível do bucket
Nome da restrição: constraints/storage.uniformBucketLevelAccess
Tipo de restrição: boolean
Quando você aplica a restrição uniformBucketLevelAccess
, os buckets novos precisam
ativar o recurso de acesso uniforme no nível do bucket e os buckets já existentes com esse
recurso ativado não podem desativá-lo. Os buckets preexistentes com
acesso uniforme no nível do bucket desativado não são necessários para ativá-lo.
Modo de registro de auditoria detalhado
Nome da restrição: constraints/gcp.detailedAuditLoggingMode
Tipo de restrição: boolean
Quando você aplica a restrição detailedAuditLoggingMode
, os registros de auditoria do Clou
associados a operações do Cloud Storage contêm informações detalhadas de
solicitação e resposta. Essa restrição é recomendada para uso em
conjunto com o bloqueio de buckets e o bloqueio de retenção de objetos ao
buscar várias conformidades, como a SEC Regra 17a-4(f), Regra da CFTC 1.31(c)-(d) e Regra 4511(c) da FINRA.
As informações registradas incluem parâmetros de consulta, de caminho e de corpo da solicitação. Os registros excluem determinadas partes de solicitações e respostas associadas a informações confidenciais. Por exemplo:
- Credenciais, como
Authorization
,X-Goog-Signature
ouupload-id
- Informações da chave de criptografia, como
x-goog-encryption-key
- Dados brutos do objeto
Ao usar essa restrição, observe o seguinte:
- Não há garantia de informações detalhadas sobre as solicitações e respostas. em casos raros, registros vazios podem ser retornados.
- Ativar o
detailedAuditLoggingMode
aumenta a quantidade de dados armazenados nos registros de auditoria, o que pode afetar suas cobranças do Cloud Logging em registros de acesso a dados. A ativação ou desativação do
detailedAuditLoggingMode
leva até 10 minutos para entrar em vigor.As solicitações e respostas registradas são gravadas em um formato genérico que corresponde aos nomes dos campos da API JSON.
Restringir tipos de autenticação
Nome da restrição: constraints/storage.restrictAuthTypes
Tipo de restrição: list
Quando você aplica a restrição restrictAuthTypes
, as solicitações para acessar
os recursos do Cloud Storage usando o tipo de autenticação restrita falham,
independentemente da validade da solicitação. Você pode usar a restrição restrictAuthTypes
para restringir chaves HMAC e atender a requisitos regulamentares ou aumentar
a segurança dos dados.
A restrição de lista nega explicitamente tipos de autenticação específicos,
permitindo todos os outros. Para isso, liste os tipos de autenticação restritos
na chave deniedValues
no rules
da restrição
restrictAuthTypes
. Um erro ocorre quando você tenta listar os tipos de autenticação restritos
na chave allowedValues
.
É possível restringir os seguintes tipos de autenticação:
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
: restringe as solicitações assinadas por chaves HMAC da conta de serviço.USER_ACCOUNT_HMAC_SIGNED_REQUESTS
: restringe as solicitações assinadas pelas chaves HMAC da conta de usuário.in:ALL_HMAC_SIGNED_REQUESTS
: restringe solicitações assinadas por qualquer chave HMAC. Para atender aos requisitos de soberania de dados, recomendamos restringir todas as solicitações assinadas HMAC.
Quando você ativa essa restrição, ocorre o seguinte:
O Cloud Storage restringe o acesso a solicitações autenticadas com o tipo de autenticação restrito. As solicitações falham com o erro
403 Forbidden
.As entidades que foram autorizadas anteriormente a executar a solicitação recebem uma mensagem de erro explicando que o tipo de autenticação está desativado.
Se as chaves HMAC forem restritas:
Não é mais possível criar ou ativar chaves HMAC do tipo restrito no recurso em que a restrição é aplicada. As solicitações para criar ou ativar chaves HMAC falham com o erro
403 Forbidden
.As chaves HMAC permanecem, mas não são mais utilizáveis. Elas podem ser desativadas ou excluídas, mas não podem ser reativadas.
Ao usar a restrição restrictAuthTypes
, esteja ciente dos recursos
que dependem da autenticação HMAC. Por exemplo, se você migrou do Amazon Simple Storage Service (Amazon S3),
o aplicativo provavelmente usará chaves HMAC para autenticar solicitações para o
Cloud Storage. É possível usar a métrica do Cloud Monitoring
storage.googleapis.com/authn/authentication_count
para rastrear o número de vezes que
as chaves HMAC foram usadas para autenticar solicitações.
Restringir solicitações HTTP não criptografadas
Nome da restrição: constraints/storage.secureHttpTransport
Tipo de restrição: boolean
Quando você aplica a restrição secureHttpTransport
, todo o acesso HTTP não criptografado
aos recursos do Cloud Storage é negado.
- Por padrão, a API XML do Cloud Storage permite acesso HTTP não criptografado.
- Redirecionamentos
CNAME
só são compatíveis com acesso HTTP não criptografado.
Outras restrições
As restrições de política da organização a seguir se aplicam de maneira mais geral em todo o Google Cloud, mas costumam ser aplicadas ao serviço do Cloud Storage:
constraints/gcp.restrictNonCmekServices
: exige que objetos novos e reescritos sejam criptografados usando chaves de criptografia gerenciadas pelo cliente e exigem novas buckets para definir uma chave do Cloud KMS como a chave de criptografia padrão.constraints/gcp.restrictCmekCryptoKeyProjects
: rejeitará solicitações ao Cloud Storage se a solicitação incluir uma chave de criptografia gerenciada pelo cliente e a chave não pertencer a um projeto especificado pela restrição. Da mesma forma, rejeite solicitações que criem ou reescrevam um objeto se ele for criptografado pela chave de criptografia padrão do bucket e essa chave não pertencer a um projeto especificado pela restrição.constraints/gcp.restrictTLSVersion
: impeça o acesso ao Cloud Storage com solicitações feitas com o Transport Layer Security (TLS) 1.0 ou 1.1.
Permitir ou negar restrições de política da organização condicionalmente
Com as tags, é possível permitir ou negar condicionalmente as políticas da organização com base em um bucket do Cloud Storage ter uma tag específica. Consulte Como configurar uma política da organização com tags para instruções detalhadas.
A seguir
- Saiba mais sobre a Hierarquia de recursos que se aplica às políticas da organização.
- Consulte Como criar e gerenciar políticas da organização para ver instruções sobre como trabalhar com restrições e políticas da organização no Console do Google Cloud.
- Consulte Como usar restrições para ver instruções sobre como trabalhar com restrições e políticas da organização na CLI gcloud.
- Saiba mais sobre restrições personalizadas do Cloud Storage.
- Consulte a documentação de referência da API Resource Manager para conhecer métodos de API relevantes, como
projects.setOrgPolicy
.