Nesta página, você encontra informações complementares sobre as restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar configurações de bucket para um projeto ou organização inteira.
Restrições do Cloud Storage
As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Storage:
Duração da política de retenção, em segundos
Nome da API: constraints/storage.retentionPolicySeconds
Ao aplicar a restrição retentionPolicySeconds, você especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção do bucket precisam incluir uma das durações especificadas. retentionPolicySeconds é aplicada com a criação de um novo bucket ou ao adicionar/atualizar o período de retenção de um bucket preexistente. No entanto, ela não é aplicada a buckets preexistentes.
Se você definir várias restrições retentionPolicySeconds em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent como true, o que garante que as políticas em camadas mais altas também sejam consideradas.
Execute o acesso uniforme no nível do bucket
Nome da API: constraints/storage.uniformBucketLevelAccess
Quando você aplica a restrição uniformBucketLevelAccess, os buckets novos precisam
ativar o recurso de acesso uniforme no nível do bucket e os buckets já existentes com esse
recurso ativado não podem desativá-lo. Os buckets preexistentes com
acesso uniforme no nível do bucket desativado não são necessários para ativá-lo.
Modo de registro de auditoria detalhado
Nome da API: constraints/gcp.detailedAuditLoggingMode
Quando você aplica a restrição detailedAuditLoggingMode, os registros de auditoria do Clou
associados a operações do Cloud Storage contêm informações detalhadas de
solicitação e resposta. Essa restrição é recomendada para uso em
conjunto com o Bloqueio de bucket ao buscar várias conformidades, como
a regra 17a-4(f) da SEC, a regra 1.31(c)-(d) da CFTC e a regra 4511(c) da FINRA.
As informações registradas incluem parâmetros de consulta, de caminho e de corpo da solicitação. Os registros excluem determinadas partes de solicitações e respostas associadas a informações confidenciais. Por exemplo:
- Credenciais, como
Authorization,X-Goog-Signatureouupload-id - Informações da chave de criptografia, como
x-goog-encryption-key - Dados brutos do objeto
Ao usar essa restrição, observe o seguinte:
Ativar o
detailedAuditLoggingModeaumenta a quantidade de dados armazenados nos registros de auditoria, o que pode afetar suas cobranças do Cloud Logging em registros de acesso a dados.A ativação ou desativação do
detailedAuditLoggingModeleva até 10 minutos para entrar em vigor.As solicitações e respostas registradas são gravadas em um formato genérico que corresponde aos nomes dos campos da API JSON.
A seguir
- Saiba mais sobre a Hierarquia de recursos que se aplica às políticas da organização.
- Consulte Como criar e gerenciar políticas da organização para ver instruções sobre como trabalhar com restrições e políticas da organização no Console do Google Cloud.
- Consulte Como usar restrições para ver instruções sobre como trabalhar com restrições e políticas da organização no gcloud.
- Consulte a documentação de referência da API Resource Manager para conhecer métodos de API relevantes, como
projects.setOrgPolicy.