Postura predefinida para o Cloud Storage, recursos essenciais
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos as políticas preventivas e de detecção incluídas na versão 1.0 da postura predefinida para o Cloud Storage, essentials. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui políticas da organização aplicáveis ao
Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis ao
Cloud Storage.
Use essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. É possível implantar essa postura predefinida sem fazer mudanças.
Restrições da política da organização
A tabela a seguir descreve as políticas da organização incluídas nessa postura.
Política
Descrição
Padrão de conformidade
storage.publicAccessPrevention
Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.
O valor é true para impedir o acesso público a
buckets.
Controle NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess
Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, garantindo a consistência do gerenciamento e da auditoria de acesso.
A tabela a seguir descreve os detectores do Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte
Descobertas de vulnerabilidades.
Nome do detector
Descrição
BUCKET_LOGGING_DISABLED
Esse detector verifica se há um bucket de armazenamento sem a geração de registros ativada.
LOCKED_RETENTION_POLICY_NOT_SET
Esse detector verifica se a política de retenção bloqueada está definida para os registros.
OBJECT_VERSIONING_DISABLED
Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.
BUCKET_CMEK_DISABLED
Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK).
BUCKET_POLICY_ONLY_DISABLED
Esse detector verifica se o acesso uniforme no nível do bucket está configurado.
PUBLIC_BUCKET_ACL
Esse detector verifica se um bucket está acessível ao público.
PUBLIC_LOG_BUCKET
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.
ORG_POLICY_LOCATION_RESTRICTION
Esse detector verifica se um recurso do Compute Engine não está em conformidade com a restrição constraints/gcp.resourceLocations.
Ver o modelo de postura
Para conferir o modelo de postura do Cloud Storage, Essentials, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[],[],null,["# Predefined posture for Cloud Storage, essentials\n\n| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers) (requires [organization-level activation](/security-command-center/docs/activate-scc-overview#overview_of_organization-level_activation))\n\nThis page describes the preventative and detective policies that are included in\nthe v1.0 version of the predefined posture for Cloud Storage, essentials. This posture\nincludes two policy sets:\n\n- A policy set that includes organization policies that apply to\n Cloud Storage.\n\n- A policy set that includes Security Health Analytics detectors that apply to\n Cloud Storage.\n\nYou can use this predefined posture to configure a security posture that helps\nprotect Cloud Storage. You can deploy this predefined posture without making\nany changes.\n\nOrganization policy constraints\n-------------------------------\n\nThe following table describes the organization policies that are included in\nthis posture.\n\nSecurity Health Analytics detectors\n-----------------------------------\n\nThe following table describes the Security Health Analytics detectors that are included in\nthe predefined posture. For more information about these detectors, see\n[Vulnerability findings](/security-command-center/docs/concepts-vulnerabilities-findings).\n\nView the posture template\n-------------------------\n\n\nTo view the posture template for Cloud Storage, essentials, do the following: \n\n### gcloud\n\n\nBefore using any of the command data below,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nExecute the\n\n\n[`gcloud scc posture-templates\ndescribe`](/sdk/gcloud/reference/scc/posture-templates/describe)\n\n\ncommand:\n\n#### Linux, macOS, or Cloud Shell\n\n```bash\ngcloud scc posture-templates describe \\\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential\n```\n\n#### Windows (PowerShell)\n\n```bash\ngcloud scc posture-templates describe `\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential\n```\n\n#### Windows (cmd.exe)\n\n```bash\ngcloud scc posture-templates describe ^\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential\n```\n\nThe response contains the posture template.\n\n### REST\n\n\nBefore using any of the request data,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nHTTP method and URL:\n\n```\nGET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential\n```\n\nTo send your request, expand one of these options:\n\n#### curl (Linux, macOS, or Cloud Shell)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) , or by using [Cloud Shell](/shell/docs), which automatically logs you into the `gcloud` CLI . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\ncurl -X GET \\\n -H \"Authorization: Bearer $(gcloud auth print-access-token)\" \\\n \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential\"\n```\n\n#### PowerShell (Windows)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\n$cred = gcloud auth print-access-token\n$headers = @{ \"Authorization\" = \"Bearer $cred\" }\n\nInvoke-WebRequest `\n -Method GET `\n -Headers $headers `\n -Uri \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential\" | Select-Object -Expand Content\n```\n\nThe response contains the posture template.\n\nWhat's next\n-----------\n\n- [Create a security posture using this predefined posture](/security-command-center/docs/how-to-use-security-posture)."]]