Nesta página, você encontra informações complementares sobre as restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar configurações de bucket para um projeto ou organização inteira.
Restrições do Cloud Storage
As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Storage:
Duração da política de retenção, em segundos
Nome da API: constraints/storage.retentionPolicySeconds
Ao aplicar a restrição retentionPolicySeconds
, você especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção do bucket precisam incluir uma das durações especificadas. retentionPolicySeconds
é aplicada com a criação de um novo bucket ou ao adicionar/atualizar o período de retenção de um bucket preexistente. No entanto, ela não é aplicada a buckets preexistentes.
Se você definir várias restrições retentionPolicySeconds
em diferentes níveis de recursos, elas serão aplicadas hierarquicamente. Por esse motivo, recomendamos definir o campo inheritFromParent
como true
, o que garante que as políticas em camadas mais altas também sejam consideradas.
Execute o acesso uniforme no nível do bucket
Nome da API: constraints/storage.uniformBucketLevelAccess
Ao aplicar a restrição uniformBucketLevelAccess
, os buckets precisam usar o acesso uniforme no nível do bucket. Essa restrição é aplicada com a criação de um novo bucket
e para qualquer intervalo preexistente com acesso uniforme no nível do bucket ativado.
No entanto, ela não é aplicada a buckets preexistentes com acesso uniforme no nível do bucket
desativado.
Modo de registro de auditoria detalhado
Nome da API: constraints/gcp.detailedAuditLoggingMode
Quando você aplica a restrição detailedAuditLoggingMode
, os registros de auditoria do Clou
associados a operações do Cloud Storage contêm informações detalhadas de
solicitação e resposta. Essa restrição é recomendada para uso em
conjunto com o Bloqueio de bucket ao buscar várias conformidades, como
a regra 17a-4(f) da SEC, a regra 1.31(c)-(d) da CFTC e a regra 4511(c) da FINRA.
As informações registradas incluem parâmetros de consulta, de caminho e de corpo da solicitação. Os registros excluem determinadas partes de solicitações e respostas associadas a informações confidenciais. Por exemplo:
- Credenciais, como
Authorization
,X-Goog-Signature
ouupload-id
- Informações da chave de criptografia, como
x-goog-encryption-key
- Dados brutos do objeto
Ao usar essa restrição, observe o seguinte:
Ativar o
detailedAuditLoggingMode
aumenta a quantidade de dados armazenados nos registros de auditoria, o que pode afetar suas cobranças do Cloud Logging em registros de acesso a dados.A ativação ou desativação do
detailedAuditLoggingMode
leva até 10 minutos para entrar em vigor.As solicitações e respostas registradas são gravadas em um formato genérico que corresponde aos nomes dos campos da API JSON.
A seguir
- Saiba mais sobre a Hierarquia de recursos que se aplica às políticas da organização.
- Consulte Como criar e gerenciar políticas da organização para ver instruções sobre como trabalhar com restrições e políticas da organização no Console do Google Cloud.
- Consulte Como usar restrições para ver instruções sobre como trabalhar com restrições e políticas da organização no gcloud.
- Consulte a documentação de referência da API Resource Manager para conhecer métodos de API relevantes, como
projects.setOrgPolicy
.