Questa pagina fornisce informazioni supplementari sui vincoli dei criteri dell'organizzazione che si applicano a Cloud Storage. Utilizza i vincoli per applicare i comportamenti di bucket e oggetti a livello di progetto o organizzazione. I vincoli dei criteri dell'organizzazione possono essere boolean constraints o vincoli degli elenchi.
Vincoli di Cloud Storage
I seguenti vincoli possono essere applicati a un criterio dell'organizzazione e riguardano Cloud Storage:
Forza la prevenzione dell'accesso pubblico
Nome vincolo: constraints/storage.publicAccessPrevention
Tipo di vincolo: boolean
Quando applichi il vincolo publicAccessPrevention
a una risorsa, l'accesso pubblico è limitato per tutti i bucket e gli oggetti, nuovi ed esistenti, all'interno di quella risorsa.
Tieni presente che l'attivazione o la disattivazione di publicAccessPrevention
potrebbe richiedere fino a 10 minuti prima che diventi effettiva.
Eliminazione temporanea della durata di conservazione
Nome vincolo: constraints/storage.softDeletePolicySeconds
Tipo di vincolo: list
Quando applichi il vincolo softDeletePolicySeconds
, specifichi una o più durate come parte del vincolo. Una volta impostato, il criterio di eliminazione temporanea del bucket deve includere una delle durate specificate. softDeletePolicySeconds
è obbligatorio quando crei un nuovo bucket e quando aggiungi o aggiorni la durata di conservazione dell'eliminazione temporanea (softDeletePolicy.retentionDuration
) di un bucket preesistente. Tuttavia, non influisce sui bucket preesistenti.
Se imposti più vincoli softDeletePolicySeconds
a livelli di risorsa diversi, questi vengono applicati in modo gerarchico. Per questo motivo, consigliamo di impostare il campo inheritFromParent
su true
, per garantire che vengano presi in considerazione anche i criteri ai livelli più elevati.
Durata del criterio di conservazione del bucket in secondi
Nome vincolo: constraints/storage.retentionPolicySeconds
Tipo di vincolo: list
Quando applichi il vincolo retentionPolicySeconds
, specifichi una o più durate come parte del vincolo. Una volta impostati, i criteri di conservazione dei bucket devono includere una delle durate specificate. retentionPolicySeconds
è obbligatorio quando si creano nuovi bucket e quando si aggiunge o aggiorna il periodo di conservazione di un bucket preesistente; tuttavia, non è altrimenti richiesto sui bucket preesistenti.
Se imposti più vincoli retentionPolicySeconds
a livelli di risorsa diversi, questi vengono applicati in modo gerarchico. Per questo motivo, consigliamo di impostare il campo inheritFromParent
su true
, per garantire che vengano presi in considerazione anche i criteri ai livelli più elevati.
Richiedi l'accesso uniforme a livello di bucket
Nome vincolo: constraints/storage.uniformBucketLevelAccess
Tipo di vincolo: boolean
Se applichi il vincolo uniformBucketLevelAccess
, i nuovi bucket devono abilitare la funzionalità di accesso uniforme a livello di bucket; i bucket preesistenti per cui è abilitata questa funzionalità non possono disabilitarla. Non è necessario abilitare i bucket preesistenti con
accesso uniforme a livello di bucket disabilitato.
Modalità di audit logging dettagliata
Nome vincolo: constraints/gcp.detailedAuditLoggingMode
Tipo di vincolo: boolean
Quando applichi il vincolo detailedAuditLoggingMode
, i log di Cloud Audit Logs associati alle operazioni di Cloud Storage contengono informazioni dettagliate relative a richieste e risposte. Ti consigliamo di utilizzare questo vincolo insieme a Blocco bucket e Blocco conservazione degli oggetti quando cerca diverse conformità, ad esempio la regola SEC 17a-4(f), la regola CFTC
1.31(c)-(d) e la regola FINRA 4511(c).
Le informazioni registrate includono parametri di ricerca, parametri di percorso e parametri del corpo delle richieste. I log escludono determinate parti di richieste e risposte associate a informazioni sensibili. Ad esempio, i log escludono:
- Credenziali, ad esempio
Authorization
,X-Goog-Signature
oupload-id
. - Informazioni sulla chiave di crittografia, ad esempio
x-goog-encryption-key
. - Dati di oggetti non elaborati.
Quando utilizzi questo vincolo, tieni presente quanto segue:
- Non sono garantite informazioni dettagliate sulle richieste e sulle risposte; in rari casi, potrebbero essere restituiti log vuoti.
- L'abilitazione di
detailedAuditLoggingMode
aumenta la quantità di dati archiviati negli audit log, con possibili ripercussioni sugli addebiti di Cloud Logging per i log di accesso ai dati. L'attivazione o la disattivazione di
detailedAuditLoggingMode
richiede fino a 10 minuti.Le richieste e le risposte registrate vengono registrate in un formato generico che corrisponde ai nomi dei campi dell'API JSON.
Limita tipi di autenticazione
Nome vincolo: constraints/storage.restrictAuthTypes
Tipo di vincolo: list
Quando applichi il vincolo restrictAuthTypes
, le richieste di accesso alle risorse di Cloud Storage utilizzando il tipo di autenticazione limitata non vanno a buon fine, indipendentemente dalla validità della richiesta. Questo vincolo è consigliato quando è necessario soddisfare requisiti normativi o aumentare la sicurezza dei dati.
I seguenti tipi di autenticazione possono essere limitati:
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS
: limita le richieste firmate da chiavi HMAC degli account di servizio.in:ALL_HMAC_SIGNED_REQUESTS
: limita le richieste firmate da qualsiasi chiave HMAC. Se devi soddisfare i requisiti di sovranità dei dati, è consigliabile limitare tutte le richieste firmate HMAC.
Quando abiliti questo vincolo, si verifica quanto segue:
Cloud Storage limita l'accesso per le richieste autenticate con il tipo di autenticazione limitata. Le richieste non vanno a buon fine con l'errore
403 Forbidden
.Le entità che erano precedentemente autorizzate a eseguire la richiesta ricevono un messaggio di errore che spiega che il tipo di autenticazione è disabilitato.
Se le chiavi HMAC sono limitate:
Le chiavi HMAC di tipo limitato non possono più essere create o attivate nella risorsa a cui viene applicato il vincolo. Le richieste di creazione o attivazione di chiavi HMAC non vanno a buon fine e viene restituito l'errore
403 Forbidden
.Le chiavi HMAC esistenti rimangono attive, ma non sono più utilizzabili. Possono essere disattivati o eliminati, ma non possono essere riattivati.
Quando utilizzi il vincolo restrictAuthTypes
, prendi in considerazione le risorse esistenti che dipendono dall'autenticazione HMAC. Ad esempio, se hai eseguito la migrazione da Amazon Simple Storage Service (Amazon S3), è probabile che la tua applicazione utilizzi chiavi HMAC per autenticare le richieste a Cloud Storage. Puoi utilizzare la metrica di Cloud Monitoring storage.googleapis.com/authn/authentication_count
per monitorare il numero di volte in cui le chiavi HMAC sono state utilizzate per autenticare le richieste.
Limita le richieste HTTP non criptate
Nome vincolo: constraints/storage.secureHttpTransport
Tipo di vincolo: boolean
Quando applichi il vincolo secureHttpTransport
, tutti gli accessi HTTP non criptati
alle risorse di Cloud Storage vengono rifiutati.
- Per impostazione predefinita, l'API Cloud Storage XML consente l'accesso HTTP non criptato.
Vincoli aggiuntivi
I seguenti vincoli dei criteri dell'organizzazione si applicano più in generale a Google Cloud, ma spesso vengono applicati al servizio Cloud Storage:
constraints/gcp.restrictNonCmekServices
: richiedi che gli oggetti nuovi e riscritti vengano criptati tramite chiavi di crittografia gestite dal cliente e che nuovi bucket impostino una chiave Cloud KMS come chiave di crittografia predefinita.constraints/gcp.restrictCmekCryptoKeyProjects
: rifiuta le richieste a Cloud Storage se la richiesta include una chiave di crittografia gestita dal cliente e la chiave non appartiene a un progetto specificato dal vincolo. Analogamente, rifiuta le richieste che creano o riscrivono un oggetto se l'oggetto è criptato dalla chiave di crittografia predefinita del bucket e questa chiave non appartiene a un progetto specificato dal vincolo.constraints/gcp.restrictTLSVersion
: impedisci l'accesso a Cloud Storage tramite richieste effettuate utilizzando TLS (Transport Layer Security) 1.0 o 1.1.
Consenti o nega in modo condizionale i vincoli dei criteri dell'organizzazione
I tag forniscono un modo per consentire o negare in modo condizionale i criteri dell'organizzazione a seconda che un bucket Cloud Storage abbia un tag specifico. Per istruzioni dettagliate, consulta Impostazione di un criterio dell'organizzazione con tag.
Passaggi successivi
- Scopri di più sulla gerarchia delle risorse che si applica ai criteri dell'organizzazione.
- Vedi Creazione e gestione dei criteri dell'organizzazione per istruzioni sull'utilizzo dei vincoli e dei criteri dell'organizzazione nella console Google Cloud.
- Per istruzioni sull'utilizzo dei vincoli e dei criteri dell'organizzazione nell'interfaccia alla gcloud CLI, consulta Utilizzo dei vincoli.
- Consulta la documentazione di riferimento dell'API Resource Manager per i metodi API pertinenti, come
projects.setOrgPolicy
.