Organisationsrichtlinien für Cloud Storage einrichten

Auf dieser Seite erfahren Sie, wie Sie Cloud Storage-spezifische Organisationsrichtlinien auf oder oberhalb der Projektebene festlegen. Dies kann für die Verwaltung von Bucket-Einstellungen in Ihrer Organisation hilfreich sein. Cloud Storage verfügt derzeit über zwei Organisationsrichtlinien dieser Art: eine zur Erzwingung von Aufbewahrungsrichtlinien für Bucket-Sperren und eine zur Erzwingung der Funktion Nur Bucket-Richtlinie.

Beschränkung bezüglich Aufbewahrungsrichtlinien festlegen

So legen Sie fest, dass im gesamten Unternehmen Buckets mit den richtigen Aufbewahrungsrichtlinien erstellt werden:

gcloud

  1. Erstellen Sie eine .json-Datei, die die folgenden Informationen enthält, und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    {
        "constraint": "constraints/storage.retentionPolicySeconds",
        "listPolicy": {
          "allowedValues": [SET_OF_TIMES_IN_SECONDS],
          "inheritFromParent": "[BOOLEAN]"
        }
      }

    Beachten Sie, dass die Beschränkung mehrere zulässige Werte enthalten kann. Beispiel:

    "allowedValues": [ "100", "200", "1000" ]
  2. Verwenden Sie den Befehl gcloud beta resource-manager org-policies set-policy und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

JSON API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.
  2. Erstellen Sie eine .json-Datei, die die folgenden Informationen enthält, und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    {
        "constraint": "constraints/storage.retentionPolicySeconds",
        "listPolicy": {
          "allowedValues": [SET_OF_TIMES_IN_SECONDS],
          "inheritFromParent": "[BOOLEAN]"
        }
      }

    Beachten Sie, dass die Beschränkung mehrere zulässige Werte enthalten kann. Beispiel:

    "allowedValues": [ "100", "200", "1000" ]
  3. Verwenden Sie cURL, um die JSON API mit einer POST-Anfrage aufzurufen. Ersetzen Sie dabei [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Beschränkung "Nur Bucket-Richtlinie" festlegen

So können Sie festlegen, dass Buckets in Ihrer Organisation mit der Funktion Nur Bucket-Richtlinie erstellt werden müssen, und verhindern, dass die Funktion für vorhandene Buckets deaktiviert wird:

gcloud

  1. Erstellen Sie eine .json-Datei, die die folgenden Informationen enthält, und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    {
        "constraint": "constraints/storage.bucketPolicyOnly",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }

  2. Verwenden Sie den Befehl gcloud beta resource-manager org-policies set-policy und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

JSON API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.
  2. Erstellen Sie eine .json-Datei, die die folgenden Informationen enthält, und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    {
        "constraint": "constraints/storage.bucketPolicyOnly",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }
  3. Verwenden Sie cURL, um die JSON API mit einer POST-Anfrage aufzurufen. Ersetzen Sie dabei [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Beschränkung für Organisationsrichtlinien entfernen

So entfernen Sie eine vorhandene Beschränkung für eine Organisationsrichtlinie:

gcloud

  1. Verwenden Sie den Befehl gcloud beta resource-manager org-policies delete und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    gcloud beta resource-manager org-policies delete [CONSTAINT_NAME] --[RESOURCE_TYPE]=[RESOURCE_NAME]

JSON API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.
  2. Erstellen Sie eine .json-Datei, die die folgenden Informationen enthält, und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    {
        "constraint": "[CONSTRAINT_NAME]",
      }
  3. Verwenden Sie cURL, um die JSON API mit einer POST-Anfrage aufzurufen. Ersetzen Sie dabei [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:clearOrgPolicy"

Überlegungen bei der Verwendung von Organisationsrichtlinien

  • Sie können eine Beschränkung für jede Ressource auf und oberhalb der Projektebene anwenden, auch für eine Organisationsressource.

  • Eine Beschränkung wird für das Erstellen neuer Buckets in der Ressource sowie für das Einfügen bzw. Aktualisieren der relevanten Parameter für vorhandene Buckets in der Ressource durchgesetzt.

  • Eine Beschränkung wird nicht rückwirkend für vorhandene Buckets durchgesetzt, es sei denn, der relevante Parameter wird für den Bucket festgelegt.

  • Wenn Sie mehrere Beschränkungen für Aufbewahrungsrichtlinien auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund empfiehlt es sich, das Feld inheritFromParent auf true zu setzen, damit Richtlinien auf höheren Ebenen ebenfalls berücksichtigt werden.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...