Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Restrições da política da organização para o Cloud Storage

Esta página fornece informações suplementares acerca das restrições da política da organização que se aplicam ao Cloud Storage. Use restrições para aplicar comportamentos de contentores e objetos a um projeto ou uma organização inteiros. As restrições da política da organização podem ser restrições booleanas ou restrições de listas.

Tenha em atenção que a aplicação ou a desativação de restrições pode demorar até 10 minutos a entrar em vigor.

Restrições do Cloud Storage

As seguintes restrições podem ser aplicadas a uma política da organização e estão relacionadas com o Cloud Storage:

Aplique a prevenção de acesso público

Nome da restrição: constraints/storage.publicAccessPrevention Tipo de restrição: boolean

Quando aplica a restrição publicAccessPrevention a um recurso, o acesso público é restrito para todos os contentores e objetos, novos e existentes, nesse recurso.

Duração da retenção da eliminação recuperável

Nome da restrição: constraints/storage.softDeletePolicySeconds Tipo de restrição: list

Quando aplica a restrição softDeletePolicySeconds, especifica uma ou mais durações como parte da restrição. Depois de definida, a política de eliminação reversível do contentor tem de incluir uma das durações especificadas. softDeletePolicySeconds é obrigatório quando cria um novo contentor e quando adiciona ou atualiza a duração da retenção da eliminação reversível (softDeletePolicy.retentionDuration) de um contentor pré-existente. No entanto, não afeta de outra forma os contentores pré-existentes.

Se definir várias restrições softDeletePolicySeconds a diferentes níveis de recursos, estas são aplicadas hierarquicamente. Por este motivo, recomendamos que defina o campo inheritFromParent como true, o que garante que as políticas em camadas superiores também são consideradas.

Duração da política de retenção do contentor em segundos

Nome da restrição: constraints/storage.retentionPolicySeconds Tipo de restrição: list

Quando aplica a restrição retentionPolicySeconds, especifica uma ou mais durações como parte da restrição. Depois de definidas, as políticas de retenção dos contentores têm de incluir uma das durações especificadas. retentionPolicySeconds é obrigatório quando cria um novo contentor e quando adiciona ou atualiza o período de retenção de um contentor pré-existente. No entanto, não é obrigatório noutros casos em contentores pré-existentes.

Se definir várias restrições retentionPolicySeconds a diferentes níveis de recursos, estas são aplicadas hierarquicamente. Por este motivo, recomendamos que defina o campo inheritFromParent como true, o que garante que as políticas em camadas superiores também são consideradas.

Exija o acesso uniforme ao nível do contentor

Nome da restrição: constraints/storage.uniformBucketLevelAccess Tipo de restrição: boolean

Quando aplica a restrição uniformBucketLevelAccess, os novos contentores têm de ativar a funcionalidade de acesso uniforme ao nível do contentor, e os contentores pré-existentes com esta funcionalidade ativada não a podem desativar. Não é necessário ativar os contentores pré-existentes com o acesso ao nível do contentor uniforme desativado.

Modo de registo de auditoria detalhado

Nome da restrição: constraints/gcp.detailedAuditLoggingMode Tipo de restrição: boolean

Quando aplica a restrição detailedAuditLoggingMode, os registos de auditoria do Cloud associados a operações do Cloud Storage contêm informações detalhadas de pedidos e respostas. Recomendamos que esta restrição seja usada em conjunto com o bloqueio de contentores e o bloqueio de retenção de objetos quando procurar várias conformidades, como a regra 17a-4(f) da SEC, a regra 1.31(c)-(d) da CFTC e a regra 4511(c) da FINRA.

As informações registadas incluem parâmetros de consulta, parâmetros de caminho e parâmetros do corpo do pedido. Os registos excluem determinadas partes de pedidos e respostas associadas a informações confidenciais. Por exemplo, os registos excluem:

Credenciais, como Authorization, X-Goog-Signature ou upload-id.
Informações da chave de encriptação, como x-goog-encryption-key.
Dados de objetos não processados.

Quando usar esta restrição, tenha em atenção o seguinte:

As informações detalhadas de pedidos e respostas não são garantidas. Em casos raros, podem ser devolvidos registos vazios.
Os pedidos e as respostas registados são gravados num formato genérico que corresponde aos nomes dos campos da API JSON.

Restrinja os tipos de autenticação

Nome da restrição: constraints/storage.restrictAuthTypes Tipo de restrição: list

Quando aplica a restrição restrictAuthTypes, os pedidos de acesso a recursos do Cloud Storage através do tipo de autenticação restrito falham, independentemente da validade do pedido. Pode usar a restrição restrictAuthTypes para restringir as chaves HMAC de modo a cumprir os requisitos regulamentares ou aumentar a segurança dos seus dados.

A restrição de lista nega explicitamente tipos de autenticação específicos, ao mesmo tempo que permite todos os outros. Para o fazer, tem de listar os tipos de autenticação restritos na chave deniedValues no rules da restrição restrictAuthTypes. Ocorre um erro se tentar listar os tipos de autenticação restritos na chave allowedValues.

Pode restringir os seguintes tipos de autenticação:

SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS: restringe os pedidos assinados por chaves HMAC de contas de serviço.
in:ALL_HMAC_SIGNED_REQUESTS: restringir pedidos assinados por qualquer chave HMAC. Se precisar de cumprir os requisitos de soberania dos dados, recomendamos que restrinja todos os pedidos assinados com HMAC.
in:ALL_SIGNED_REQUESTS: restringe os pedidos assinados por qualquer chave HMAC ou RSA.

Quando ativa esta restrição, ocorre o seguinte:

O Cloud Storage restringe o acesso para pedidos autenticados com o tipo de autenticação restrita. Os pedidos falham com o erro 403 Forbidden.
As entidades que foram autorizadas anteriormente a executar o pedido recebem uma mensagem de erro a explicar que o tipo de autenticação está desativado.
Se as chaves HMAC estiverem restritas:
- Já não é possível criar nem ativar chaves HMAC do tipo restrito no recurso no qual a restrição é aplicada. As solicitações para criar ou ativar chaves HMAC falham com o erro 403 Forbidden.
- As chaves HMAC existentes permanecem, mas já não são utilizáveis. Podem ser desativados ou eliminados, mas não podem ser reativados.

Quando usar a restrição restrictAuthTypes, tenha em atenção os recursos existentes que dependem da autenticação HMAC. Por exemplo, se migrou do Amazon Simple Storage Service (Amazon S3), a sua aplicação usa provavelmente chaves HMAC para autenticar pedidos ao Cloud Storage. Pode usar a métrica do Cloud Monitoring storage.googleapis.com/authn/authentication_count para acompanhar o número de vezes que as chaves HMAC foram usadas para autenticar pedidos.

Restrinja pedidos HTTP não encriptados

Nome da restrição: constraints/storage.secureHttpTransport Tipo de restrição: boolean

Quando aplica a restrição secureHttpTransport, todo o acesso HTTP não encriptado aos recursos do Cloud Storage é recusado.

Por predefinição, a API XML do Cloud Storage permite o acesso HTTP não encriptado.

Restrições adicionais

As seguintes restrições de políticas da organização aplicam-se de forma mais geral em todo o Trusted Cloud, mas são frequentemente aplicadas ao serviço Cloud Storage:

constraints/gcp.restrictNonCmekServices: exigir que os objetos novos e reescritos sejam encriptados com chaves de encriptação geridas pelo cliente e exigir que os novos contentores definam uma chave do Cloud KMS como a chave de encriptação predefinida.
constraints/gcp.restrictCmekCryptoKeyProjects: rejeitar pedidos ao Cloud Storage se o pedido incluir uma chave de encriptação gerida pelo cliente e a chave não pertencer a um projeto especificado pela restrição. Da mesma forma, rejeite pedidos que criem ou reescrevam um objeto se o objeto for encriptado pela chave de encriptação predefinida do contentor e essa chave não pertencer a um projeto especificado pela restrição.
constraints/gcp.restrictTLSVersion: Impedir o acesso ao armazenamento na nuvem por pedidos feitos através do Transport Layer Security (TLS) 1.0 ou 1.1.

Permita ou recuse condicionalmente restrições de políticas da organização

As etiquetas oferecem uma forma de permitir ou negar condicionalmente políticas da organização com base no facto de um contentor do Cloud Storage ter uma etiqueta específica. Consulte o artigo Definir uma política da organização com etiquetas para ver instruções detalhadas.

O que se segue?

Saiba mais sobre a hierarquia de recursos que se aplica às políticas da organização.
Consulte o artigo Criar e gerir políticas da organização para obter instruções sobre como trabalhar com restrições e políticas da organização na Trusted Cloud consola.
Consulte Usar restrições para obter instruções sobre como trabalhar com restrições e políticas de organização na CLI gcloud.
Saiba mais sobre as restrições personalizadas para o Cloud Storage.
Consulte a documentação de referência da API Resource Manager para ver métodos relevantes da API, como projects.setOrgPolicy.