此页面由 Cloud Translation API 翻译。

Cloud Storage 的预定义状态（已延长）

本页介绍了 Cloud Storage 扩展版预定义安全配置 v1.0 中包含的预防性政策和检测性政策。此姿态包含两个政策集：

一种政策集，其中包含适用于 Cloud Storage 的组织政策。
包含适用于 Cloud Storage 的 Security Health Analytics 检测器的政策集。

您可以使用此预定义的安全状况来配置有助于保护 Cloud Storage 的安全状况。如果您想部署此预定义的安全状况，则必须自定义部分政策，使其适用于您的环境。

组织政策限制条件

下表介绍了此姿态中包含的组织政策。

政策说明合规标准

政策	说明	合规标准
`storage.publicAccessPrevention`	此政策可防止 Cloud Storage 存储分区向未经身份验证的公众开放。值为 `true`，可防止公开访问存储分区。	NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20
`storage.uniformBucketLevelAccess`	此政策可防止 Cloud Storage 存储分区使用按对象 ACL（与 IAM 政策分开的系统）来提供访问权限，从而确保访问管理和审核的一致性。该值为 `true`，用于强制实施统一存储桶级访问权限。	NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20
`storage.retentionPolicySeconds`	此限制条件定义了存储分区保留政策的时长（以秒为单位）。采用此预定义姿势时，您必须配置此值。	NIST SP 800-53 控制措施：SI-12

storage.publicAccessPrevention

此政策可防止 Cloud Storage 存储分区向未经身份验证的公众开放。

值为 true，可防止公开访问存储分区。

NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20

storage.uniformBucketLevelAccess

此政策可防止 Cloud Storage 存储分区使用按对象 ACL（与 IAM 政策分开的系统）来提供访问权限，从而确保访问管理和审核的一致性。

该值为 true，用于强制实施统一存储桶级访问权限。

NIST SP 800-53 控制措施：AC-3、AC-17 和 AC-20

storage.retentionPolicySeconds

此限制条件定义了存储分区保留政策的时长（以秒为单位）。

采用此预定义姿势时，您必须配置此值。

NIST SP 800-53 控制措施：SI-12

Security Health Analytics 检测器

下表介绍了预定义安全状况中包含的 Security Health Analytics 检测器。如需详细了解这些检测器，请参阅漏洞发现结果。

检测器名称	说明
`BUCKET_LOGGING_DISABLED`	此检测器会检查是否存在未启用日志记录功能的存储桶。
`LOCKED_RETENTION_POLICY_NOT_SET`	此检测器会检查是否已为日志设置锁定的保留政策。
`OBJECT_VERSIONING_DISABLED`	此检测器会检查具有接收器的存储分区是否启用了对象版本控制。
`BUCKET_CMEK_DISABLED`	此检测器会检查存储分区是否使用客户管理的加密密钥 (CMEK) 进行加密。
`BUCKET_POLICY_ONLY_DISABLED`	此检测器会检查是否配置了统一存储桶级访问权限。
`PUBLIC_BUCKET_ACL`	此检测器会检查存储桶是否可公开访问。
`PUBLIC_LOG_BUCKET`	此检测器会检查具有日志接收器的存储桶是否可公开访问。
`ORG_POLICY_LOCATION_RESTRICTION`	此检测器会检查 Compute Engine 资源是否违反了 `constraints/gcp.resourceLocations` 限制条件。

查看姿态模板

如需查看 Cloud Storage 扩展姿态模板，请执行以下操作：

gcloud

在使用下面的命令数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

执行 gcloud scc posture-templates describe 命令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

响应包含姿势模板。

REST

在使用任何请求数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

HTTP 方法和网址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

响应包含姿势模板。

后续步骤

使用此预定义安全状况创建安全状况。

Cloud Storage 的预定义状态（已延长） 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

组织政策限制条件

Security Health Analytics 检测器

查看姿态模板

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

后续步骤

Cloud Storage 的预定义状态（已延长）