Restrições da política da organização para o Cloud Storage

Nesta página, você encontra informações complementares sobre as restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar configurações de bucket para um projeto ou organização inteira.

Restrições do Cloud Storage

As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Storage:

Duração da política de retenção, em segundos

Nome da API: constraints/storage.retentionPolicySeconds

Ao aplicar a restrição retentionPolicySeconds, você especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção do bucket precisam incluir uma das durações especificadas. retentionPolicySeconds é aplicada com a criação de um novo bucket ou ao adicionar/atualizar o período de retenção de um bucket preexistente. No entanto, ela não é aplicada a buckets preexistentes.

Se você definir várias restrições retentionPolicySeconds em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent como true, o que garante que as políticas em camadas mais altas também sejam consideradas.

Execute o acesso uniforme no nível do bucket

Nome da API: constraints/storage.uniformBucketLevelAccess

Ao aplicar a restrição uniformBucketLevelAccess, os buckets precisam usar o acesso uniforme no nível do bucket. Essa restrição é aplicada com a criação de um novo bucket e para qualquer intervalo preexistente com acesso uniforme no nível do bucket ativado. No entanto, ela não é aplicada a buckets preexistentes com acesso uniforme no nível do bucket desativado.

Modo de registro de auditoria detalhado

Nome da API: constraints/gcp.detailedAuditLoggingMode

Quando você aplica a restrição detailedAuditLoggingMode, os registros de auditoria do Clou associados a operações do Cloud Storage contêm informações detalhadas de solicitação e resposta. Essa restrição é recomendada para uso em conjunto com o Bloqueio de bucket ao buscar várias conformidades, como a regra 17a-4(f) da SEC, a regra 1.31(c)-(d) da CFTC e a regra 4511(c) da FINRA.

As informações registradas incluem parâmetros de consulta, de caminho e de corpo da solicitação. Os registros excluem determinadas partes de solicitações e respostas associadas a informações confidenciais. Por exemplo:

  • Credenciais, como Authorization, X-Goog-Signature ou upload-id
  • Informações da chave de criptografia, como x-goog-encryption-key
  • Dados brutos do objeto

Ao usar essa restrição, observe o seguinte:

  • Ativar o detailedAuditLoggingMode aumenta a quantidade de dados armazenados nos registros de auditoria, o que pode afetar suas cobranças do Cloud Logging em registros de acesso a dados.

  • A ativação ou desativação do detailedAuditLoggingMode leva até 10 minutos para entrar em vigor.

  • As solicitações e respostas registradas são gravadas em um formato genérico que corresponde aos nomes dos campos da API JSON.

A seguir