Questa pagina è stata tradotta dall'API Cloud Translation.

Prevenzione dell'accesso pubblico

Questa pagina illustra l'impostazione del bucket per la prevenzione dell'accesso pubblico e le un vincolo del criterio dell'organizzazione per la prevenzione dell'accesso pubblico. L'utilizzo dell'impostazione o della limitazione limita le entità, ad esempio gli utenti anonimi su internet, a cui può essere concesso l'accesso ai tuoi dati. Per una panoramica delle opzioni di controllo dell'accesso, consulta Panoramica del controllo dell'accesso.

Panoramica

La prevenzione dell'accesso pubblico protegge gli oggetti e i bucket Cloud Storage dall'esposizione accidentale al pubblico. Quando applichi la prevenzione dell'accesso pubblico, nessuno può rendere pubblici i dati nei bucket applicabili tramite i criteri IAM o gli ACL. Esistono due modi per imporre prevenzione dell'accesso:

Puoi applicare la prevenzione dell'accesso pubblico ai singoli bucket.
Se il bucket è contenuto in un'organizzazione, puoi applicare la prevenzione dell'accesso pubblico utilizzando il vincolo criteri dell'organizzazione storage.publicAccessPrevention a livello di progetto, cartella o organizzazione.

Dovresti usare la prevenzione dell'accesso pubblico?

Utilizza la prevenzione dell'accesso pubblico se sai che i tuoi dati non devono mai essere esposti su internet. Per garantire la massima sicurezza alle tue risorse, applica la prevenzione dell'accesso pubblico al livello più alto possibile della tua organizzazione.

Non devi utilizzare la prevenzione dell'accesso pubblico se devi mantenere il bucket pubblico per casi d'uso come l'hosting di siti web statici. Per creare eccezioni per ad esempio bucket nelle organizzazioni che applicano altrimenti la prevenzione dell'accesso pubblico, disattiva la prevenzione dell'accesso pubblico al progetto specifico che contiene di sincronizzare la directory di una VM con un bucket.

Comportamento quando applicato

Le risorse soggette alla prevenzione dell'accesso pubblico si comportano come segue:

Le richieste ai bucket e agli oggetti autorizzati utilizzando allUsers e allAuthenticatedUsers non vanno a buon fine con un codice di stato HTTP 401 o 403.
I criteri IAM ed ACL esistenti che consentono l'accesso a allUsers e allAuthenticatedUsers rimangono in vigore, ma vengono sostituiti dalla prevenzione dell'accesso pubblico.
Le richieste di creazione di bucket o oggetti con allUsers e allAuthenticatedUsers nei criteri IAM o negli ACL non vanno a buon fine, con la seguente eccezione:
- Se un bucket ha un ACL di oggetti predefinito contenente allUsers, richiede la creazione di oggetti nel bucket è andata a buon fine. Gli ACL per questi oggetti contengono allUsers, ma allUsers viene sostituito dalla prevenzione dell'accesso pubblico.
Richieste di aggiungere allUsers e allAuthenticatedUsers a un Il criterio IAM o l'ACL non hanno esito positivo con 412 Precondition Failed.

Ereditarietà

Anche se la prevenzione dell'accesso pubblico non è impostata esplicitamente nelle impostazioni di un bucket, potrebbe comunque ereditarla, se il vincolo dei criteri dell'organizzazione storage.publicAccessPrevention è impostato sul progetto, sulla cartella o sull'organizzazione in cui si trova il bucket. Per questo motivo, lo stato del bucket può essere impostato solo su enforced o inherited.

Se i metadati di prevenzione dell'accesso pubblico di un bucket sono impostati su enforced, la prevenzione dell'accesso pubblico viene applicata al bucket.
Se i metadati di prevenzione dell'accesso pubblico di un bucket sono impostati su inherited, la prevenzione dell'accesso pubblico è determinata dal vincolo del storage.publicAccessPrevention criterio dell'organizzazione:
- Se storage.publicAccessPrevention è impostato su True per il progetto che contiene il bucket, la prevenzione dell'accesso pubblico si applica di sincronizzare la directory di una VM con un bucket.
- Se storage.publicAccessPrevention è impostato su False per il progetto che contiene il bucket, la prevenzione dell'accesso pubblico non si applica di sincronizzare la directory di una VM con un bucket.
- Se storage.publicAccessPrevention non è impostato per il progetto che contiene il bucket, la prevenzione dell'accesso pubblico viene determinata dal valore storage.publicAccessPrevention impostato dalla cartella, se presente, che contiene il progetto.
  - Analogamente, se anche la cartella contenente il bucket non imposta alcun valore per storage.publicAccessPrevention, la prevenzione dell'accesso pubblico viene determinata dal valore storage.publicAccessPrevention impostato dall'organizzazione che contiene il progetto.
  - Se storage.publicAccessPrevention non è impostato per nessuna risorsa, la prevenzione dell'accesso pubblico non si applica al bucket.

Comportamento se disattivato

Quando la prevenzione dell'accesso pubblico non si applica più a una risorsa, avviene quanto segue:

I criteri IAM e gli ACL esistenti che consentono l'accesso a allUsers e allAuthenticatedUsers vengono applicati e rendono i dati accessibili al pubblico.
Le richieste di creazione di criteri IAM o ACL che consentono l'accesso a allUsers e allAuthenticatedUsers vanno a buon fine.
Un oggetto creato nella prevenzione dell'accesso pubblico senza ACL pubblici potrebbe diventare accessibile al pubblico se creata in un bucket pubblicamente accessibile.

Puoi disattivare la prevenzione dell'accesso pubblico per un progetto, una cartella o un'organizzazione in qualsiasi momento. I bucket con un'impostazione enforced continuano ad avere accesso pubblico prevenzione forzata, anche se la disabiliti per un progetto, una cartella che contiene il bucket.

Considerazioni

Quando applichi la prevenzione dell'accesso pubblico alle risorse esistenti, tutte le autorizzazioni esistenti e le nuove aggiunte di allUsers e allAuthenticatedUsers vengono bloccate. Ciò può influire sui bucket nei seguenti modi:
- Se un'applicazione dipende da allUsers e allAuthenticatedUsers per accedere ai dati o creare risorse pubbliche, abilitando l'accesso pubblico delle applicazioni può interrompere l'applicazione. Per informazioni su come identificare le risorse pubbliche alla quale potrebbero dipendere altre applicazioni attiva, espandi i seguenti contenuti:
  Come identificare le risorse pubbliche
  
  Prima di applicare la prevenzione dell'accesso pubblico, ti consigliamo di eseguire l'inventario delle risorse pubbliche per assicurarti di non interrompere altri carichi di lavoro che dipendono dalla visibilità pubblica dei dati. Puoi individuare bucket, oggetti e cartelle gestite che sono pubblici utilizzando seguenti metodi:
  - Per identificare i carichi di lavoro che potrebbero accedere ai tuoi dati pubblici, configurare i log di utilizzo, che può fornire informazioni sulle richieste di accesso ai dati inviate al pubblico. Google Cloud.
  - Per determinare se un bucket potrebbe essere accessibile al pubblico, verifica i criteri IAM del bucket. I criteri che concedono accesso in lettura all'entità "allUsers" o "allAuthenticatedUsers" rendono il bucket potenzialmente accessibile al pubblico. Come alternativa per ottenere il criterio IAM per i singoli bucket, puoi utilizzare Cloud Asset Inventory visualizzare i criteri per tutti i bucket in un progetto, in una cartella o in un'organizzazione.
    
    Se sono presenti cartelle gestite nel tuo bucket, potresti anche voler verifica i criteri IAM delle cartelle gestite per identificare le cartelle gestite che potrebbero essere accessibili al pubblico.
  - Per determinare se i singoli oggetti potrebbero essere accessibili al pubblico, verifica se nell'oggetto sono presenti ACL. Gli ACL che concedono l'accesso in lettura al principale "allUsers" o "allAuthenticatedUsers" rendono l'oggetto potenzialmente accessibile al pubblico.
    Nota: se un accesso uniforme a livello di bucket sia abilitata per il tuo bucket, Non è possibile usare gli ACL per controllare singolarmente l'accesso agli oggetti, quindi puoi è probabile che saltino questo passaggio. Consente di verificare se l'accesso uniforme a livello di bucket è abilitato per il tuo bucket, consulta la visualizzazione dello stato dell'accesso uniforme a livello di bucket.
- Cloud Audit Logs non tiene traccia dell'accesso agli oggetti pubblici. Se I log di accesso ai dati vengono abilitati quando applichi la prevenzione dell'accesso pubblico, potresti notare un aumento della generazione dei log, che viene conteggiata ai fini del calcolo di importazione e può comportare addebiti di Cloud Audit Logs. Questo aumento potrebbe perché un accesso che in precedenza era pubblico e non registrato potrebbe diventare associate ad autorizzazioni specifiche, che vengono registrate.
URL firmati, che concedono a chiunque un accesso limitato nel tempo e con ambito ristretto che li utilizzano, non sono interessati dalla prevenzione dell'accesso pubblico.
I progetti non associati a un'organizzazione non possono utilizzare i criteri dell'organizzazione. I bucket all'interno di un progetto di questo tipo devono utilizzare l'impostazione a livello di bucket.
La prevenzione dell'accesso pubblico è molto coerente per la lettura dopo l'aggiornamento, ma l'applicazione può richiedere fino a 10 minuti.
Una volta iniziata l'applicazione, gli oggetti potrebbero essere ancora accessibili pubblicamente tramite una cache di internet per un determinato periodo di tempo, a seconda dell'impostazione Cache-Control degli oggetti. Ad esempio, se il valore Cache-Control:max-age per un oggetto è impostato sul valore predefinito di 3600 secondi, l'oggetto potrebbe persistere in una cache di internet per questo periodo di tempo.

Passaggi successivi

Scopri come utilizzare la prevenzione dell'accesso pubblico.
Scopri di più sui criteri dell'organizzazione.