Como definir políticas da organização para o Cloud Storage

Nesta página, você aprenderá como definir políticas da organização específicas para o Cloud Storage no nível do projeto ou acima dele. Isso pode ser usado para gerenciar configurações de intervalos da sua organização. Atualmente, o Cloud Storage tem duas políticas desse tipo disponíveis: uma para aplicar o uso de políticas de retenção de bloqueio do intervalo e outra para aplicar o uso do recurso Somente política do intervalo.

Como definir uma restrição de política de armazenamento

Para exigir que os intervalos da sua organização sejam criados com as políticas de retenção adequadas:

gcloud

  1. Crie um arquivo .json que contenha as informações a seguir, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    {
        "constraint": "constraints/storage.retentionPolicySeconds",
        "listPolicy": {
          "allowedValues": [SET_OF_TIMES_IN_SECONDS],
          "inheritFromParent": "[BOOLEAN]"
        }
      }

    Observe que a restrição pode ter vários valores permitidos, por exemplo:

    "allowedValues": [ "100", "200", "1000" ]
  2. Use o comando gcloud beta resource-manager org-policies set-policy, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

API JSON

  1. Consiga um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.
  2. Crie um arquivo .json que contenha as informações a seguir, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    {
        "constraint": "constraints/storage.retentionPolicySeconds",
        "listPolicy": {
          "allowedValues": [SET_OF_TIMES_IN_SECONDS],
          "inheritFromParent": "[BOOLEAN]"
        }
      }

    Observe que a restrição pode ter vários valores permitidos, por exemplo:

    "allowedValues": [ "100", "200", "1000" ]
  3. Use cURL (em inglês) para chamar a API JSON com uma solicitação POST, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Como definir uma restrição ao recurso Somente política do intervalo

Para exigir que os intervalos da sua organização sejam criados com o recurso Somente a política do intervalo ativado e impedir que os intervalos atuais desativem o recurso:

gcloud

  1. Crie um arquivo .json que contenha as informações a seguir, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    {
        "constraint": "constraints/storage.bucketPolicyOnly",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }

  2. Use o comando gcloud beta resource-manager org-policies set-policy, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    gcloud beta resource-manager org-policies set-policy [JSON_FILE_NAME].json --[RESOURCE_TYPE]=[RESOURCE_NAME]

API JSON

  1. Consiga um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.
  2. Crie um arquivo .json que contenha as informações a seguir, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    {
        "constraint": "constraints/storage.bucketPolicyOnly",
        "booleanPolicy": {
          "enforced": "[BOOLEAN]"
        }
      }
  3. Use cURL (em inglês) para chamar a API JSON com uma solicitação POST, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:setOrgPolicy"

Como remover uma restrição da política da organização

Para remover uma restrição de uma política da organização:

gcloud

  1. Use o comando gcloud beta resource-manager org-policies delete, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    gcloud beta resource-manager org-policies delete [CONSTAINT_NAME] --[RESOURCE_TYPE]=[RESOURCE_NAME]

API JSON

  1. Consiga um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.
  2. Crie um arquivo .json que contenha as informações a seguir, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    {
        "constraint": "[CONSTRAINT_NAME]",
      }
  3. Use cURL (em inglês) para chamar a API JSON com uma solicitação POST, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
    -H "Authorization: Bearer [OAUTH2_TOKEN]" \
    -H "Content-Type: application/json" \
    "https://cloudresourcemanager.googleapis.com/v1/[RESOURCE_TYPE]/[RESOURCE_ID]:clearOrgPolicy"

Considerações ao usar políticas da organização

  • É possível aplicar uma restrição a qualquer recurso no nível do projeto ou superior, inclusive para um recurso da organização.

  • Uma restrição é aplicada ao criar novos intervalos no recurso, bem como ao adicionar ou atualizar o parâmetro relevante em intervalos atuais no recurso.

  • A restrição não é aplicada retroativamente nos intervalos atuais, exceto quando o parâmetro relevante está sendo definido em um determinado intervalo.

  • Para restrições de políticas de retenção, ao definir várias restrições em diferentes níveis do recurso, elas serão aplicadas hierarquicamente. Por esse motivo, recomenda-se definir o campo inheritFromParent como true, garantindo que ele seja aplicado a políticas em camadas superiores.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.