Cloud Storage 的组织政策限制

本页面就适用于 Cloud Storage 的组织政策限制条件提供补充信息。使用限制条件可在整个项目或组织中实施存储分区设置。

Cloud Storage 限制条件

以下限制条件可应用于组织政策并与 Cloud Storage 相关:

保留政策时长(秒)

API 名称constraints/storage.retentionPolicySeconds

应用 retentionPolicySeconds 限制条件时,请指定一个或多个时长作为其中一项限制。设置完成后,存储分区保留政策中必须包含一个指定的时长。创建新桶或添加/更新现有存储分区的保留期限时实施 retentionPolicySeconds;但是,其他情况下不会在现有存储分区实施。

如果您在不同资源级层设置多个 retentionPolicySeconds 限制条件,则这些限制条件会被分层执行。因此,我们建议您将 inheritFromParent 字段设置为 true,以确保更高层级的政策也得到考虑。

实施统一存储分区级访问权限

API 名称constraints/storage.uniformBucketLevelAccess

应用 uniformBucketLevelAccess 限制条件时,存储分区必须使用统一存储分区级访问权限。创建新存储分区时,以及针对已启用统一存储分区级访问权限的任何现有存储分区,系统会实施此限制条件;但是,不会在已停用统一存储分区级访问权限的现有存储分区中实施。

详细的审核日志记录模式

API 名称constraints/gcp.detailedAuditLoggingMode

应用 detailedAuditLoggingMode 限制条件时,与 Cloud Storage 操作关联的 Cloud Audit Logs 日志包含详细的请求和响应信息。在力争满足各种合规性要求(例如 SEC Rule 17a-4(f)、CFTC Rule 1.31(c)-(d)、FINRA Rule 4511(c))时,建议将此限制条件与存储分区锁定结合使用。

记录的信息包括查询参数、路径参数和请求正文参数。日志不包括与敏感信息关联的请求和响应的某些部分。例如,日志不包括:

  • 凭据,例如 AuthorizationX-Goog-Signatureupload-id
  • 加密密钥信息,例如 x-goog-encryption-key
  • 原始对象数据。

使用此限制条件时,请注意以下事项:

  • 启用 detailedAuditLoggingMode 会增加审核日志中存储的数据量,这可能会影响数据访问日志的 Cloud Logging 费用

  • 启用或停用 detailedAuditLoggingMode 最多需要 10 分钟才能生效。

  • 请求和响应以通用格式记录,该格式与 JSON API 的字段名称相匹配。

后续步骤