Restrições da política da organização para o Cloud Storage

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, você encontra informações complementares sobre as restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar comportamentos de bucket e objeto em um projeto ou em uma organização inteira.

Restrições do Cloud Storage

As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Storage:

Aplicar a prevenção do acesso público

Nome da API: constraints/storage.publicAccessPrevention

Quando você aplica a restrição publicAccessPrevention a um recurso, o acesso público é restrito para todos os buckets e objetos, novos e existentes, nesse recurso.

A ativação ou desativação da publicAccessPrevention pode levar até 10 minutos para entrar em vigor.

Duração da política de retenção, em segundos

Nome da API: constraints/storage.retentionPolicySeconds

Ao aplicar a restrição retentionPolicySeconds, você especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção do bucket precisam incluir uma das durações especificadas. retentionPolicySeconds é obrigatória para a criação de um novo bucket ou ao adicionar/atualizar o período de retenção de um bucket preexistente. No entanto, ela não é exigida para buckets preexistentes.

Se você definir várias restrições retentionPolicySeconds em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent como true, o que garante que as políticas em camadas mais altas também sejam consideradas.

Exigir acesso uniforme no nível do bucket

Nome da API: constraints/storage.uniformBucketLevelAccess

Quando você aplica a restrição uniformBucketLevelAccess, os buckets novos precisam ativar o recurso de acesso uniforme no nível do bucket e os buckets já existentes com esse recurso ativado não podem desativá-lo. Os buckets preexistentes com acesso uniforme no nível do bucket desativado não são necessários para ativá-lo.

Modo de registro de auditoria detalhado

Nome da API: constraints/gcp.detailedAuditLoggingMode

Quando você aplica a restrição detailedAuditLoggingMode, os registros de auditoria do Clou associados a operações do Cloud Storage contêm informações detalhadas de solicitação e resposta. Essa restrição é recomendada para uso em conjunto com o Bloqueio de bucket ao buscar várias conformidades, como a regra 17a-4(f) da SEC, a regra 1.31(c)-(d) da CFTC e a regra 4511(c) da FINRA.

As informações registradas incluem parâmetros de consulta, de caminho e de corpo da solicitação. Os registros excluem determinadas partes de solicitações e respostas associadas a informações confidenciais. Por exemplo:

  • Credenciais, como Authorization, X-Goog-Signature ou upload-id
  • Informações da chave de criptografia, como x-goog-encryption-key
  • Dados brutos do objeto

Ao usar essa restrição, observe o seguinte:

  • Não há garantia de informações detalhadas sobre as solicitações e respostas. em casos raros, registros vazios podem ser retornados.

  • Ativar o detailedAuditLoggingMode aumenta a quantidade de dados armazenados nos registros de auditoria, o que pode afetar suas cobranças do Cloud Logging em registros de acesso a dados.

  • A ativação ou desativação do detailedAuditLoggingMode leva até 10 minutos para entrar em vigor.

  • As solicitações e respostas registradas são gravadas em um formato genérico que corresponde aos nomes dos campos da API JSON.

Restringir tipos de autenticação

Nome da API: constraints/storage.restrictAuthTypes

Quando você aplica a restrição restrictAuthTypes, as solicitações para acessar os recursos do Cloud Storage usando o tipo de autenticação restrita falham, independentemente da validade da solicitação. Essa restrição é recomendada quando você precisa atender aos requisitos regulamentares ou aumentar a segurança dos dados.

Os seguintes tipos de autenticação podem ser restritos:

  • USER_ACCOUNT_HMAC_SIGNED_REQUESTS: restringe as solicitações assinadas pelas chaves HMAC da conta de usuário.

  • SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: restringe as solicitações assinadas por chaves HMAC da conta de serviço.

  • in:ALL_HMAC_SIGNED_REQUESTS: restringe as solicitações assinadas por chaves HMAC da conta de usuário ou da conta de serviço. Para atender aos requisitos de soberania de dados, recomendamos restringir todas as solicitações assinadas HMAC.

Quando você ativa essa restrição, ocorre o seguinte:

  • O Cloud Storage restringe o acesso a solicitações autenticadas com o tipo de autenticação restrito. As solicitações falham com o erro 403 Forbidden.

  • As entidades que foram autorizadas anteriormente a executar a solicitação recebem uma mensagem de erro explicando que o tipo de autenticação está desativado.

  • Se as chaves HMAC forem restritas:

    • Não é mais possível criar ou ativar chaves HMAC do tipo restrito no recurso em que a restrição é aplicada. As solicitações para criar ou ativar chaves HMAC falham com o erro 403 Forbidden.

    • As chaves HMAC permanecem, mas não são mais utilizáveis. Elas podem ser desativadas ou excluídas, mas não podem ser reativadas.

Ao usar a restrição restrictAuthTypes, esteja ciente dos recursos que dependem da autenticação HMAC. Por exemplo, se você migrou do Amazon Simple Storage Service (Amazon S3), o aplicativo provavelmente usará chaves HMAC para autenticar solicitações para o Cloud Storage. É possível usar a métrica do Cloud Monitoring storage.googleapis.com/authn/authentication_count para rastrear o número de vezes que as chaves HMAC foram usadas para autenticar solicitações.

Exigir o uso de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Nome da API: constraints/gcp.restrictNonCmekServices

Ao aplicar a restrição restrictNonCmekServices, você define os serviços com recursos que exigem o uso de chaves de criptografia gerenciadas pelo cliente. Para aplicar essa restrição a objetos ou buckets do Cloud Storage, adicione storage.googleapis.com à lista de serviços restritos com a restrição definida como Deny. Se sujeitos à restrição, os objetos do Cloud Storage precisam ser gravados usando uma chave do Cloud KMS, que é especificada na solicitação ou definida como a chave de criptografia padrão do bucket de destino Os buckets do Cloud Storage precisam ter uma chave do Cloud KMS definida como chave de criptografia padrão.

Se você tentar gravar um objeto ou criar um bucket que não seja criptografado por uma chave do Cloud KMS, receberá a seguinte mensagem de erro: "Uma chave de criptografia gerenciada pelo cliente (CMEK) é exigida por uma política da organização em vigor. Defina uma CMEK padrão no bucket ou especifique uma CMEK na sua solicitação."

Ao usar essa restrição, observe o seguinte:

  • Ativar restrictNonCmekServices pode causar alterações interruptivas se você gravar em um bucket sem uma chave padrão do Cloud KMS ou excluir uma chave do Cloud KMS na sua solicitação.

  • Os buckets atuais que não têm uma chave padrão do Cloud KMS não são afetados pela restrição. No entanto, se você definir uma chave do Cloud KMS em um bucket atual enquanto a restrição estiver ativada, esse bucket ficará sujeito à restrição.

  • Objetos atuais criptografados com chaves de criptografia gerenciadas pelo Google ou chaves de criptografia fornecidas pelo cliente não estão sujeitos a essa restrição. No entanto, as futuras substituições desses objetos estão sujeitas à restrição.

  • As mudanças no constraints/gcp.restrictNonCmekServices levam até 10 minutos para entrar em vigor.

Para mais informações sobre essa restrição, consulte políticas da organização de CMEK.

Restringir projetos com uma chave de criptografia válida gerenciada pelo cliente (CMEK)

Nome da API: constraints/gcp.restrictCmekCryptoKeyProjects

Ao aplicar a restrição restrictCmekCryptoKeyProjects, você define os projetos a partir dos quais uma chave do Cloud KMS pode ser usada em solicitações. Quando você aplica essa restrição:

  • Qualquer chave do Cloud KMS especificada em uma solicitação precisa vir de um projeto permitido pela política da organização.

  • Se você criar um novo bucket, qualquer chave do Cloud KMS definida nele precisará ser de um projeto permitido.

  • Falhas e gravações de objetos nos buckets atuais com uma chave inválida do Cloud KMS. Altere a chave padrão do Cloud KMS do bucket para uma chave proveniente de um projeto permitido ou remova o Cloud KMS do bucket. Não é possível remover uma chave do Cloud KMS de um bucket quando a restrição restrictNonCmekServices está ativada.

Se você tentar especificar uma chave do Cloud KMS em uma solicitação que não vem de um projeto permitido, receberá a seguinte mensagem de erro: "Não é possível usar a chave especificada porque o projeto está restrito por uma política da organização. Tente novamente com uma chave de criptografia gerenciada pelo cliente (CMEK) de um projeto permitido."

Se você tentar gravar em um bucket com uma chave do Cloud KMS que não vem de um projeto permitido, receberá a seguinte mensagem de erro: "O bucket usa uma chave padrão de um projeto restrito por uma política da organização em vigor. Defina uma chave de criptografia gerenciada pelo cliente (CMEK) permitida como o padrão para o bucket ou especifique uma CMEK permitida na sua solicitação."

Ao usar essa restrição, observe o seguinte:

  • Os objetos atuais não estão sujeitos a essa restrição.

  • Essa restrição por si só não impõe o uso de chaves de criptografia gerenciadas pelo cliente em projetos permitidos. Para impor o uso de chaves de criptografia gerenciadas pelo cliente em projetos permitidos, é preciso aplicar as restrições constraints/gcp.restrictNonCmekServices e constraints/gcp.restrictCmekCryptoKeyProjects.

  • As mudanças no constraints/gcp.restrictCmekCryptoKeyProjects levam até 10 minutos para entrar em vigor.

Para mais informações sobre essa restrição, consulte políticas da organização de CMEK.

A seguir