此页面由 Cloud Translation API 翻译。

Cloud Storage 的预定义状态（已延长）

本页介绍了 Cloud Storage 预定义状态（已扩展）v1.0 版本中包含的预防性和检测性政策。此状态包括两个政策集：

包含适用于 Cloud Storage 的组织政策的政策集。
包含适用于 Cloud Storage 的 Security Health Analytics 检测器的政策集。

您可以使用此预定义状态来配置有助于保护 Cloud Storage 的安全状态。如果您想部署此预定义状态，则必须自定义某些政策，以便将其应用于您的环境。

组织政策限制条件

下表介绍了此状态中包含的组织政策。

政策说明合规标准

政策	说明	合规标准
`storage.publicAccessPrevention`	此政策可防止 Cloud Storage 存储分区向未经身份验证的公众开放。值为 `true` 表示禁止对存储分区进行公开访问。	NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20
`storage.uniformBucketLevelAccess`	此政策可防止 Cloud Storage 存储分区使用按对象 ACL（与 IAM 政策不同的系统）来提供访问权限，从而强制执行访问权限管理和审核的一致性。值为 `true` 表示强制执行统一存储桶级访问权限。	NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20
`storage.retentionPolicySeconds`	此约束条件定义了存储分区保留政策的时长（以秒为单位）。采用此预定义状态时，您必须配置此值。	NIST SP 800-53 控制措施：SI-12

storage.publicAccessPrevention

此政策可防止 Cloud Storage 存储分区向未经身份验证的公众开放。

值为 true 表示禁止对存储分区进行公开访问。

NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20

storage.uniformBucketLevelAccess

此政策可防止 Cloud Storage 存储分区使用按对象 ACL（与 IAM 政策不同的系统）来提供访问权限，从而强制执行访问权限管理和审核的一致性。

值为 true 表示强制执行统一存储桶级访问权限。

NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20

storage.retentionPolicySeconds

此约束条件定义了存储分区保留政策的时长（以秒为单位）。

采用此预定义状态时，您必须配置此值。

NIST SP 800-53 控制措施：SI-12

Security Health Analytics 检测器

下表介绍了预定义状态中包含的 Security Health Analytics 检测器。如需详细了解这些检测器，请参阅漏洞发现结果。

检测器名称	说明
`BUCKET_LOGGING_DISABLED`	此检测器会检查是否存在未启用日志记录功能的存储桶。
`LOCKED_RETENTION_POLICY_NOT_SET`	此检测器会检查是否为日志设置了已锁定的保留政策。
`OBJECT_VERSIONING_DISABLED`	此检测器会检查包含接收器的存储分区是否启用了对象版本控制。
`BUCKET_CMEK_DISABLED`	此检测器会检查存储分区是否使用客户管理的加密密钥 (CMEK) 进行加密。
`BUCKET_POLICY_ONLY_DISABLED`	此检测器会检查是否配置了统一存储桶级访问权限。
`PUBLIC_BUCKET_ACL`	此检测器会检查存储桶是否可公开访问。
`PUBLIC_LOG_BUCKET`	此检测器会检查包含日志接收器的存储桶是否可公开访问。
`ORG_POLICY_LOCATION_RESTRICTION`	此检测器会检查 Compute Engine 资源是否违反了 `constraints/gcp.resourceLocations` 限制条件。

查看安全状况模板

如需查看 Cloud Storage（已扩展）的配置状态模板，请执行以下操作：

gcloud

在使用下面的命令数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

执行 gcloud scc posture-templates describe 命令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

响应包含配置状态模板。

REST

在使用任何请求数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

HTTP 方法和网址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

响应包含配置状态模板。

后续步骤

使用此预定义安全状况创建安全状况。