Establece políticas de la organización para Cloud Storage

En esta página, se muestra cómo establecer políticas de la organización específicas de Cloud Storage al mismo nivel del proyecto o a nivel superior, que pueden ser de utilidad para administrar la configuración del depósito dentro de la organización. Por el momento, Cloud Storage tiene dos políticas de la organización disponibles: una para la aplicación del uso de las políticas de retención del bloqueo de depósitos y una para la aplicación del uso solo de la política del depósito.

Establece una restricción de política de retención

Para exigir que se creen depósitos en toda tu organización con las políticas de retención adecuadas sigue estos pasos:

gcloud

  1. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "constraints/storage.retentionPolicySeconds",
        "listPolicy": {
          "allowedValues": [SET_OF_TIMES_IN_SECONDS],
          "inheritFromParent": "[BOOLEAN]"
        }
      }

    Ten en cuenta que la restricción puede tener varios valores permitidos, por ejemplo:

    "allowedValues": [ "100", "200", "1000" ]
  2. Usa el comando gcloud beta resource-manager org-policies set-policy y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

API de JSON

  1. Obtén un token de autorización de acceso de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
  2. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "constraints/storage.retentionPolicySeconds",
        "listPolicy": {
          "allowedValues": [SET_OF_TIMES_IN_SECONDS],
          "inheritFromParent": "[BOOLEAN]"
        }
      }

    Ten en cuenta que la restricción puede tener varios valores permitidos, por ejemplo:

    "allowedValues": [ "100", "200", "1000" ]
  3. Usa cURL para llamar a la API de JSON con una solicitud POST y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Configura una restricción de solo política de depósito

Para exigir que se creen depósitos en toda tu organización solo con la política del depósito habilitada y evitar que los depósitos existentes inhabiliten solo la política del depósito:

gcloud

  1. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "constraints/storage.bucketPolicyOnly",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }

  2. Usa el comando gcloud beta resource-manager org-policies set-policy y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

API de JSON

  1. Obtén un token de autorización de acceso de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
  2. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "constraints/storage.bucketPolicyOnly",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }
  3. Usa cURL para llamar a la API de JSON con una solicitud POST y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Inhabilita la creación de claves de HMAC

Si quieres evitar que se creen claves HMAC para las cuentas de servicio en tu organización haz lo siguiente:

gcloud

  1. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "constraints/storage.disableServiceAccountHmacKeyCreation",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }

  2. Usa el comando gcloud beta resource-manager org-policies set-policy y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

API de JSON

  1. Obtén un token de autorización de acceso de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
  2. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "constraints/storage.disableServiceAccountHmacKeyCreation",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }
  3. Usa cURL para llamar a la API de JSON con una solicitud POST y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Quita una restricción de política de la organización

Para quitar una restricción de política de la organización existente realiza lo siguiente:

gcloud

  1. Usa el comando gcloud beta resource-manager org-policies delete y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    gcloud beta resource-manager org-policies delete [CONSTAINT_NAME] --[RESOURCE_TYPE]=[RESOURCE_NAME]

API de JSON

  1. Obtén un token de autorización de acceso de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
  2. Crea un archivo .json que contenga la siguiente información, mediante el reemplazo de [VALUES_IN_BRACKETS] por los valores adecuados:

    {
        "constraint": "[CONSTRAINT_NAME]",
      }
  3. Usa cURL para llamar a la API de JSON con una solicitud POST y reemplaza [VALUES_IN_BRACKETS] con los valores adecuados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:clearOrgPolicy"

Consideraciones para usar las políticas de la organización

  • Puedes aplicar una restricción a cualquier recurso a nivel de proyecto o superior, incluso para un recurso de la organización.

  • Las restricciones retentionPolicySeconds y bucketPolicyOnly se aplican cuando se crean depósitos nuevos en el recurso, así como cuando se agrega o se actualiza el parámetro correspondiente en depósitos existentes en el recurso.

  • Las restricciones retentionPolicySeconds y bucketPolicyOnly no se aplican de forma retroactiva en los depósitos existentes, excepto cuando el parámetro correspondiente se establece en ese depósito.

  • Si un recurso tiene claves HMAC existentes cuando habilitas la restricción disableServiceAccountHmacKeyCreation, esas claves seguirán existiendo.

  • Para las restricciones de la política de retención, si estableces varias restricciones en diferentes niveles de recursos, se aplicarán según la jerarquía. Por este motivo, se recomienda que establezcas el campo inheritFromParent en true y asegúrese de que también se tengan en cuenta las políticas de las capas superiores.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.