Práticas recomendadas de controlo de acesso

Esta página descreve as práticas recomendadas para usar a gestão de identidade e de acesso (IAM) e as listas de controlo de acesso (ACLs) para gerir o acesso aos seus dados.

As políticas de IAM e as ACLs requerem uma gestão ativa para serem eficazes. Antes de tornar um contentor ou um objeto acessível a outros utilizadores, certifique-se de que sabe com quem quer partilhar o contentor ou o objeto e que funções quer que cada uma dessas pessoas tenha. Ao longo do tempo, as alterações na gestão de projetos, nos padrões de utilização e na propriedade organizacional podem exigir que modifique as definições de IAM ou ACL em contentores e projetos, especialmente se gerir o Cloud Storage numa organização grande ou para um grande grupo de utilizadores. Ao avaliar e planear as definições de controlo de acesso, tenha em atenção as seguintes práticas recomendadas:

  • Use o princípio do menor privilégio ao conceder acesso aos seus contentores ou objetos.

    O princípio do menor privilégio é uma diretriz de segurança para conceder acesso aos seus recursos. Quando concede acesso com base no princípio do menor privilégio, concede a autorização mínima necessária para um utilizador concluir a tarefa atribuída. Por exemplo, se quiser partilhar ficheiros com alguém, deve conceder-lhe a autorização da storage.objectViewerfunção de IAM ou das READERACLs e não a autorização da storage.adminfunção de IAM ou das OWNERACLs.

  • Evite conceder funções de IAM com a autorização setIamPolicy ou conceder a autorização OWNER da ACL a pessoas que não conhece.

    A concessão da autorização setIamPolicyIAM ou da autorização OWNER ACLs permite que um utilizador altere as autorizações e assuma o controlo dos dados. Deve usar funções com estas autorizações apenas quando quiser delegar o controlo administrativo sobre objetos e contentores.

  • Tenha cuidado com a forma como concede autorizações para utilizadores anónimos.

    Os tipos principais allUsers e allAuthenticatedUsers só devem ser usados quando for aceitável que qualquer pessoa na Internet leia e analise os seus dados. Embora estes âmbitos sejam úteis para algumas aplicações e cenários, normalmente, não é uma boa ideia conceder a todos os utilizadores determinadas autorizações, como as autorizações de IAM setIamPolicy, update, create ou delete, ou a autorização OWNER das ACLs.

  • Certifique-se de que delega o controlo administrativo dos seus contentores.

    Deve certificar-se de que os seus recursos continuam a poder ser geridos por outros membros da equipa se um indivíduo com acesso administrativo sair do grupo.

    Para evitar que os recursos fiquem inacessíveis, pode fazer qualquer uma das seguintes ações:

    • Conceda a função de IAM Administrador de armazenamento para o seu projeto a um grupo em vez de a um indivíduo

    • Conceda a função de IAM Administrador de armazenamento para o seu projeto a, pelo menos, duas pessoas

    • Conceda a autorização OWNER ACLs para o seu contentor a, pelo menos, dois indivíduos

  • Tenha em atenção o comportamento interoperável do Cloud Storage.

    Quando usar a API XML para acesso interoperável com outros serviços de armazenamento, como o Amazon S3, o identificador de assinatura determina a sintaxe da ACL. Por exemplo, se a ferramenta ou a biblioteca que está a usar fizer um pedido ao Cloud Storage para obter ACLs e o pedido usar o identificador de assinatura de outro fornecedor de armazenamento, o Cloud Storage devolve um documento XML que usa a sintaxe de ACL do fornecedor de armazenamento correspondente. Se a ferramenta ou a biblioteca que está a usar fizer um pedido ao Cloud Storage para aplicar LCAs e o pedido usar o identificador de assinatura de outro fornecedor de armazenamento, o Cloud Storage espera receber um documento XML que use a sintaxe de LCA do fornecedor de armazenamento correspondente.

    Para mais informações sobre a utilização da API XML para interoperabilidade com o Amazon S3, consulte o artigo Migração simples do Amazon S3 para o Cloud Storage.

O que se segue?