Questa pagina illustra l'impostazione del bucket per la prevenzione dell'accesso pubblico e il vincolo correlato della policy dell'organizzazione per la prevenzione dell'accesso pubblico. L'utilizzo dell'impostazione o della limitazione limita le entità, ad esempio gli utenti anonimi su internet, a cui può essere concesso l'accesso ai tuoi dati. Per una panoramica delle opzioni di controllo dell'accesso dell'accesso, consulta Panoramica del controllo dell'accesso.
Panoramica
La prevenzione dell'accesso pubblico protegge gli oggetti e i bucket Cloud Storage dall'esposizione accidentale al pubblico. Quando applichi la prevenzione dell'accesso pubblico, nessuno può rendere pubblici i dati nei bucket applicabili tramite i criteri IAM o gli ACL. Esistono due modi per applicare la prevenzione dell'accesso pubblico:
Puoi applicare la prevenzione dell'accesso pubblico ai singoli bucket.
Se il bucket è contenuto in un'organizzazione, puoi applicare la prevenzione dell'accesso pubblico utilizzando il vincolo Criteri dell'organizzazione
storage.publicAccessPrevention
a livello di progetto, cartella o organizzazione.
Devi utilizzare la prevenzione dell'accesso pubblico?
Utilizza la prevenzione dell'accesso pubblico se sai che i tuoi dati non devono mai essere esposti su internet. Per garantire la massima sicurezza alle tue risorse, applica la prevenzione dell'accesso pubblico al livello più alto possibile della tua organizzazione.
Non devi utilizzare la prevenzione dell'accesso pubblico se devi mantenere il bucket pubblico per casi d'uso come l'hosting di siti web statici. Per fare eccezioni per questi bucket nelle organizzazioni che altrimenti applicano la prevenzione dell'accesso pubblico, disattiva la prevenzione dell'accesso pubblico nel progetto specifico che contiene il bucket.
Comportamento quando viene applicato
Le risorse soggette alla prevenzione dell'accesso pubblico hanno il seguente comportamento:
Le richieste ai bucket e agli oggetti autorizzati utilizzando
allUsers
eallAuthenticatedUsers
non vanno a buon fine con un codice di stato HTTP401
o403
.I criteri IAM ed ACL esistenti che consentono l'accesso a
allUsers
eallAuthenticatedUsers
rimangono in vigore, ma vengono sostituiti dalla prevenzione dell'accesso pubblico.Le richieste di creazione di bucket o oggetti con
allUsers
eallAuthenticatedUsers
nei relativi criteri IAM o ACL non vanno a buon fine, con la seguente eccezione:- Se un bucket ha un ACL degli oggetti predefinito contenente
allUsers
, le richieste di creazione di oggetti in quel bucket vanno a buon fine. Le ACL per questi oggetti contengonoallUsers
, maallUsers
viene sostituito dalla prevenzione dell'accesso pubblico.
- Se un bucket ha un ACL degli oggetti predefinito contenente
Le richieste di aggiunta di
allUsers
eallAuthenticatedUsers
a un criterio IAM o a un'ACL non vanno a buon fine con412 Precondition Failed
.
Ereditarietà
Anche se la prevenzione dell'accesso pubblico non è impostata esplicitamente nelle impostazioni di un bucket, potrebbe comunque ereditarla, se il vincolo dei criteri dell'organizzazione storage.publicAccessPrevention
è impostato sul progetto, sulla cartella o sull'organizzazione in cui si trova il bucket. Per questo motivo, lo stato del bucket può essere impostato solo su enforced
o inherited
.
Se i metadati di prevenzione dell'accesso pubblico di un bucket sono impostati su
enforced
, la prevenzione dell'accesso pubblico viene applicata al bucket.Se i metadati di prevenzione dell'accesso pubblico di un bucket sono impostati su
inherited
, la prevenzione dell'accesso pubblico è determinata dal vincolo delstorage.publicAccessPrevention
criterio dell'organizzazione:Se
storage.publicAccessPrevention
è impostato suTrue
per il progetto che contiene il bucket, la prevenzione dell'accesso pubblico si applica al bucket.Se
storage.publicAccessPrevention
è impostato suFalse
per il progetto che contiene il bucket, la prevenzione dell'accesso pubblico non si applica al bucket.Se
storage.publicAccessPrevention
non è impostato per il progetto che contiene il bucket, la prevenzione dell'accesso pubblico viene determinata dal valorestorage.publicAccessPrevention
impostato dalla cartella, se presente, che contiene il progetto.Analogamente, se anche la cartella contenente il bucket non imposta alcun valore per
storage.publicAccessPrevention
, la prevenzione dell'accesso pubblico viene determinata dal valorestorage.publicAccessPrevention
impostato dall'organizzazione che contiene il progetto.Se
storage.publicAccessPrevention
non è impostato per nessuna risorsa, la prevenzione dell'accesso pubblico non si applica al bucket.
Comportamento se disattivato
Quando la prevenzione dell'accesso pubblico non si applica più a una risorsa, si verifica quanto segue:
I criteri IAM ed ACL esistenti che consentono l'accesso a
allUsers
eallAuthenticatedUsers
vengono applicati e rendono i dati accessibili al pubblico.Le richieste di creazione di criteri IAM o ACL che consentono l'accesso a
allUsers
eallAuthenticatedUsers
vanno a buon fine.Un oggetto creato con la prevenzione dell'accesso pubblico senza ACL pubblici potrebbe diventare accessibile al pubblico se è stato creato in un bucket accessibile pubblicamente.
Puoi disattivare la prevenzione dell'accesso pubblico per un progetto, una cartella o un'organizzazione
in qualsiasi momento. Per i bucket con un'impostazione enforced
, la prevenzione dell'accesso pubblico rimane applicata anche se la disattivi per un progetto, una cartella o un'organizzazione che contiene il bucket.
Considerazioni
Quando applichi la prevenzione dell'accesso pubblico alle risorse esistenti, tutte le autorizzazioni esistenti e le nuove aggiunte di
allUsers
eallAuthenticatedUsers
vengono bloccate. Ciò può influire sui bucket nei seguenti modi:Se un'applicazione dipende da
allUsers
eallAuthenticatedUsers
per accedere ai tuoi dati o creare risorse pubbliche, l'attivazione della prevenzione dell'accesso pubblico può interrompere l'applicazione. Per informazioni su come identificare le risorse pubbliche di cui altre applicazioni potrebbero dipendere, espandi i seguenti contenuti:Come identificare le risorse pubbliche
Prima di applicare la prevenzione dell'accesso pubblico, ti consigliamo di eseguire l'inventario delle risorse pubbliche per assicurarti di non interrompere altri carichi di lavoro che dipendono dalla visibilità pubblica dei dati. Puoi trovare i bucket, gli oggetti e le cartelle gestite pubblici utilizzando i seguenti metodi:
- Per contribuire a identificare i carichi di lavoro che potrebbero accedere ai tuoi dati pubblici, configura i log di utilizzo, che possono fornire informazioni sulle richieste di accesso ai dati effettuate alle risorse pubbliche.
-
Per determinare se un bucket potrebbe essere accessibile al pubblico, controlla i criteri IAM del bucket. I criteri che concedono ruoli all'entità
allUsers
oallAuthenticatedUsers
rendono il bucket potenzialmente accessibile al pubblico. In alternativa all'ottenimento del criterio IAM per i singoli bucket, puoi utilizzare Cloud Asset Inventory per visualizzare i criteri per tutti i bucket di un progetto, di una cartella o di un'organizzazione.Se nel tuo bucket sono presenti cartelle gestite, ti consigliamo anche di controllare i criteri IAM delle cartelle gestite per identificare quelle che potrebbero essere accessibili al pubblico.
- Per determinare se i singoli oggetti potrebbero essere accessibili al pubblico,
controlla se sono presenti ACL.
Gli ACL che concedono l'accesso all'entità
allUsers
oallAuthenticatedUsers
rendono l'oggetto potenzialmente accessibile al pubblico.
I log di controllo di Cloud non monitorano l'accesso agli oggetti pubblici. Se i log di accesso ai dati sono abilitati quando applichi la prevenzione dell'accesso pubblico, potresti notare un aumento della generazione di log, che vengono conteggiati ai fini della quota di importazione dei log e possono comportare addebiti per gli Cloud Audit Logs. Questo aumento potrebbe verificarsi perché l'accesso che in precedenza era pubblico e non registrato potrebbe essere associato a autorizzazioni specifiche, che vengono registrate.
Gli URL firmati, che offrono accesso a tempo limitato e con ambito ristretto a chiunque li utilizzi, non sono interessati dalla prevenzione dell'accesso pubblico.
I progetti non associati a un'organizzazione non possono utilizzare le relative norme. I bucket all'interno di un progetto di questo tipo devono utilizzare l'impostazione a livello di bucket.
La prevenzione dell'accesso pubblico è molto coerente per la lettura dopo l'aggiornamento, ma l'applicazione può richiedere fino a 10 minuti.
Una volta iniziata l'applicazione, gli oggetti potrebbero essere ancora accessibili pubblicamente tramite una cache di internet per un determinato periodo di tempo, a seconda dell'impostazione
Cache-Control
degli oggetti. Ad esempio, se il valoreCache-Control:max-age
per un oggetto è impostato sul valore predefinito di 3600 secondi, l'oggetto potrebbe persistere in una cache di internet per questo periodo di tempo.
Passaggi successivi
- Scopri come utilizzare la prevenzione dell'accesso pubblico.
- Scopri di più sui criteri dell'organizzazione.