Organization Policy fornisce vincoli predefiniti per Cloud Storage. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nelle norme della tua organizzazione, puoi anche creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione.
Questa pagina descrive come impostare vincoli personalizzati per applicare i criteri alle risorse Cloud Storage.
Per testare un nuovo vincolo prima che venga applicato all'ambiente di produzione, utilizza Policy Simulator.
Ereditarietà delle norme
Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a un'organizzazione, Google Cloud il criterio viene applicato a tutti i progetti dell'organizzazione. Per scoprire di più su questo comportamento e su come modificarlo, consulta le regole di valutazione della gerarchia.
Prezzi
Il servizio Organization Policy, inclusi i vincoli predefiniti e personalizzati, viene offerto senza costi.
Limitazioni
I vincoli personalizzati per le risorse Cloud Storage possono essere configurati solo utilizzando la console Google Cloud o Google Cloud CLI.
I vincoli personalizzati possono essere applicati solo ai metodi
CREATEoUPDATEper le risorse Cloud Storage.I vincoli personalizzati appena applicati non vengono applicati automaticamente alle risorse esistenti. Le risorse esistenti devono essere aggiornate affinché il vincolo venga applicato.
Per trovare le risorse esistenti che dovranno essere aggiornate, puoi applicare una policy dell'organizzazione dry run.
I vincoli personalizzati non possono essere utilizzati per vincolare ACL o criteri IAM su oggetti o bucket.
Risorse supportate di Cloud Storage
Per Cloud Storage, puoi impostare vincoli personalizzati sulla seguente risorsa:
- Bucket:
storage.googleapis.com/Bucket
Ruoli obbligatori
Per informazioni sui ruoli richiesti per gestire le policy dell'organizzazione con vincoli personalizzati, consulta Ruoli richiesti.
Oltre a gestire i criteri dell'organizzazione, potresti voler testare i vincoli personalizzati che crei. Per testare i vincoli personalizzati, ti consigliamo di utilizzare il ruolo predefinito o personalizzato meno permissivo che contenga le autorizzazioni necessarie per testare il vincolo specifico. Per vedere quali autorizzazioni e ruoli sono necessari, consulta le sezioni relative a ruoli e autorizzazioni per Cloud Storage.
Configurare un vincolo personalizzato
Console
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
Seleziona il selettore di progetti nella parte superiore della pagina.
Nel selettore di progetti, seleziona la risorsa per cui vuoi impostare il criterio dell'organizzazione.
Fai clic su Vincolo personalizzato.
Nel campo Nome visualizzato, inserisci un nome comprensibile per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri. Non utilizzare PII o dati sensibili nei nomi dei vincoli, perché potrebbero essere esposti nei messaggi di errore.
Nella casella ID vincolo, inserisci il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con
custom.e può includere solo lettere maiuscole, minuscole o numeri, ad esempiocustom.enforceBucketVersioning. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio,organizations/123456789/customConstraints/custom..Nel campo Descrizione, inserisci una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.
Nel campo Tipo di risorsa, seleziona il nome della risorsa REST Google Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio,
storage.googleapis.com/Bucket.In Metodo di applicazione forzata, seleziona se applicare il vincolo al metodo REST
CREATEoUPDATE.Per definire una condizione, fai clic su Modifica condizione.
Nel riquadro Aggiungi condizione, crea una condizione CEL che faccia riferimento a una risorsa di servizio supportata, ad esempio
resource.versioning.enabled == true. Questo campo ha una lunghezza massima di 1000 caratteri.Fai clic su Salva.
In Azione, seleziona se consentire o negare il metodo valutato se la condizione viene soddisfatta.
Fai clic su Crea vincolo.
Dopo aver inserito un valore in ogni campo, a destra viene visualizzata la configurazione YAML equivalente per questo vincolo personalizzato.
gcloud
Per creare un vincolo personalizzato utilizzando Google Cloud CLI, crea un file YAML per il vincolo personalizzato:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID organizzazione, ad esempio123456789.CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare concustom.e può includere solo lettere maiuscole, minuscole o numeri, ad esempiocustom.enforceBucketVersioning. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio,organizations/123456789/customConstraints/custom..RESOURCE_NAME: il nome completo della risorsa RESTGoogle Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio:storage.googleapis.com/Bucket.METHOD1,METHOD2: un elenco di metodi RESTful per i quali applicare il vincolo. Può essereCREATEoCREATEeUPDATE.CONDITION: una condizione CEL che fa riferimento a una risorsa di servizio supportata, ad esempio"resource.versioning.enabled == true". Questo campo ha una lunghezza massima di 1000 caratteri. Per informazioni dettagliate sull'utilizzo di CEL, vedi Common Expression Language.ACTION: l'azione da intraprendere se la condizioneconditionè soddisfatta. Può essereALLOWoDENY.DISPLAY_NAME: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri.
Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione nella tua organizzazione. Per configurare un vincolo personalizzato, utilizza
il comando gcloud org-policies set-custom-constraint:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH con il percorso completo del tuo file di vincoli personalizzati. Ad esempio: /home/user/customconstraint.yaml.
Una volta completati, i vincoli personalizzati sono disponibili come policy dell'organizzazione
nell'elenco delle policy dell'organizzazione Google Cloud .
Per verificare che il vincolo personalizzato esista, utilizza il
comando gcloud org-policies list-custom-constraints:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID con l'ID della risorsa dell'organizzazione.
Per saperne di più, consulta Visualizzare le policy dell'organizzazione.
Se la richiesta riesce, l'output è simile al seguente:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME
custom.uniformBucketLevelAccess DENY CREATE,UPDATE storage.googleapis.com/Bucket Enable object versioning
Per ulteriori informazioni sulla configurazione e la gestione dei vincoli personalizzati, vedi Creare e gestire vincoli personalizzati.
Imporre un vincolo
Puoi applicare un vincolo creando un criterio dell'organizzazione che lo fa riferimento e poi applicando questo criterio dell'organizzazione a una risorsa. Google CloudConsole
- Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
- Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
- Dall'elenco nella pagina Criteri organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli criterio relativa a quel vincolo.
- Per configurare la policy dell'organizzazione per questa risorsa, fai clic su Gestisci policy.
- Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
- Fai clic su Aggiungi una regola.
- Nella sezione Applicazione, seleziona se l'applicazione di questa policy dell'organizzazione è attiva o disattivata.
- (Facoltativo) Per rendere la policy dell'organizzazione condizionale in base a un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola incondizionata o la policy non può essere salvata. Per saperne di più, vedi Impostazione di un criterio dell'organizzazione con tag.
- Fai clic su Testa modifiche per simulare l'effetto della policy dell'organizzazione. La simulazione delle policy non è disponibile per i vincoli gestiti legacy. Per saperne di più, consulta Testare le modifiche alle policy dell'organizzazione con Policy Simulator.
- Per completare e applicare la policy dell'organizzazione, fai clic su Imposta policy. L'applicazione del criterio richiede fino a 15 minuti.
gcloud
Per creare una policy dell'organizzazione con regole booleane, crea un file YAML della policy che faccia riferimento al vincolo:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
-
PROJECT_ID: il progetto su cui vuoi applicare il vincolo. -
CONSTRAINT_NAME: il nome che hai definito per il vincolo personalizzato. Ad esempio,custom.uniformBucketLevelAccess
Per applicare il criterio dell'organizzazione contenente il vincolo, esegui questo comando:
gcloud org-policies set-policy POLICY_PATH
Sostituisci POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio richiede fino a 15 minuti.
Le richieste rifiutate per violazione di un vincolo personalizzato non vanno a buon fine e viene generato un errore
412: CUSTOM_ORGPOLICY_CONSTRAINT_FAILED.
Esempio: crea un vincolo che impone le chiavi di crittografia gestite dal cliente sui bucket
gcloud
Crea un file di vincoli
enforceCMEK.yamlcon le seguenti informazioni:name: organizations/ORGANIZATION_ID/customConstraints/custom.customerManagedEncryptionKeys resource_types: storage.googleapis.com/Bucket method_types: – CREATE – UPDATE condition: "has(resource.encryption.defaultKmsKeyName)" action_type: ALLOW display_name: Enforce Cloud KMS key description: When this constraint is enforced, newly created buckets and newly updated buckets must be encrypted with a Cloud KMS key. The Cloud KMS key on existing buckets can be updated but not deleted.
Imposta il vincolo personalizzato.
gcloud org-policies set-custom-constraint enforceCMEK.yaml
Crea un file di criteri
enforceCMEK-policy.yamlcon le seguenti informazioni.name: projects/PROJECT_ID/policies/custom.customerManagedEncryptionKeys spec: rules: – enforce: true
Sostituisci
PROJECT_IDcon l'ID progetto.In questo esempio, applichiamo questo vincolo a livello di progetto, ma puoi impostarlo anche a livello di organizzazione o cartella.
Applica le norme.
gcloud org-policies set-policy enforceCMEK-policy.yaml
Esempio di vincoli personalizzati per casi d'uso comuni
Le sezioni seguenti forniscono la sintassi di alcuni vincoli personalizzati che potresti trovare utili:
| Caso d'uso | Sintassi |
|---|---|
| I criteri di conservazione dei bucket devono avere un periodo compreso tra le durate specificate | name: organizations/ORGANIZATION_ID/customConstraints/custom.retentionPolicy method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.retentionPolicy.retentionPeriod not in [3600, 2678400]" action_type: DENY display_name: Bucket retention policy is either 3,600 seconds or 2,678,400 seconds description: Newly created buckets and newly updated buckets must have a retention policy that's either 3,600 seconds or 2,678,400 seconds. |
| Per i bucket deve essere abilitato il controllo delle versioni degli oggetti | name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.versioning.enabled == true" action_type: ALLOW display_name: Buckets must have Object Versioning enabled description: Newly created buckets and newly updated buckets must have Object Versioning enabled. |
| I bucket devono essere denominati utilizzando un'espressione regolare specifica | name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketName method_types: – CREATE resource_types: storage.googleapis.com/Bucket condition: "resource.name.matches('^[a-zA-Z]+$')" action_type: ALLOW display_name: Bucket names must match the specified regular expression description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name. |
| I bucket non possono avere Bucket Lock abilitato | name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.retentionPolicy.isLocked == true" action_type: DENY display_name: Prohibit the use of Bucket Lock description: Newly created buckets and newly updated buckets cannot have Bucket Lock enabled. |
| I bucket non possono avere abilitato il blocco della conservazione degli oggetti | name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.objectRetention.mode == 'Enabled'" action_type: DENY display_name: Objects cannot have retention configurations description: Newly created buckets and newly updated buckets cannot have Object Retention Lock enabled. |
I bucket che si trovano nelle multiregioni US o EU
devono avere un periodo di conservazione di 86.400 secondi |
name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400" action_type: DENY display_name: All buckets in US and EU must have a retention policy of 86,400 seconds description: Newly created buckets and newly updated buckets located in US and EU regions must have a retention policy of 86,400 seconds. |
| I bucket devono avere etichette1 | name: organizations/ORGANIZATION_ID/customConstraints/custom.labels method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']" action_type: ALLOW display_name: Buckets must have a label classifying the contents of the bucket description: Newly created buckets and newly updated buckets must have the label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or SOURCE_VIDEOS key. |
| I bucket devono trovarsi in una doppia regione | name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations" action_type: ALLOW display_name: Buckets must be located in a dual-region description: Newly created buckets and newly updated buckets must be located in a dual-region composed of the us-east1 and us-east4 regions. |
| I bucket non possono utilizzare le classi di archiviazione legacy | name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass method_types: – CREATE – UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']" action_type: ALLOW display_name: Buckets cannot use legacy storage classes description: Newly created buckets and newly updated buckets must use Standard storage, Nearline storage, Coldline storage, or Archive storage. |
| Il filtro IP del bucket deve limitare le richieste provenienti da tutta la rete internet pubblica | name: organizations/ORGANIZATION_ID/customConstraints/custom.IpFilter method_types: – CREATE resource_types: storage.googleapis.com/Bucket condition: "!has(resource.ipFilter) || (resource.ipFilter.mode == 'Disabled' || resource.ipFilter.publicNetworkSource.allowedIpCidrRanges.size() > 0)" action_type: DENY display_name: Bucket IP filter rules must restrict all the public network description: Newly created buckets must have IP filtering and IP filtering rules must restrict all public network resources. |
|
1 La specifica di una chiave di etichetta del bucket non esistente restituisce un errore |
|
Campi dell'espressione per le condizioni
La tabella seguente contiene i campi dell'espressione che puoi utilizzare per creare condizioni. Le condizioni sono scritte in Common Expression Language (CEL). Tieni presente che il valore di questi campi dell'espressione è sensibile alle maiuscole.
Per le descrizioni dei seguenti campi dell'espressione e dei valori che puoi specificare, consulta la rappresentazione della risorsa Buckets per l'API JSON.
| Campo Espressione | Tipo di valore |
|---|---|
billing.requesterPays |
bool |
cors |
list |
cors.maxAgeSeconds |
int |
cors.method |
list |
cors.origin |
list |
cors.responseHeader |
list |
customPlacementConfig.dataLocations1 |
list |
defaultEventBasedHold |
bool |
encryption.defaultKmsKeyName |
string |
iamConfiguration.publicAccessPrevention |
string |
iamConfiguration.uniformBucketLevelAccess.enabled |
bool |
labels |
map |
lifecycle.rule |
list |
lifecycle.rule.action.storageClass1 |
string |
lifecycle.rule.action.type |
string |
lifecycle.rule.condition.age |
int |
lifecycle.rule.condition.createdBefore |
string |
lifecycle.rule.condition.customTimeBefore |
string |
lifecycle.rule.condition.daysSinceCustomTime |
int |
lifecycle.rule.condition.daysSinceNoncurrentTime |
int |
lifecycle.rule.condition.isLive |
bool |
lifecycle.rule.condition.matchesPrefix |
list |
lifecycle.rule.condition.matchesStorageClass |
list |
lifecycle.rule.condition.matchesSuffix |
list |
lifecycle.rule.condition.noncurrentTimeBefore |
string |
lifecycle.rule.condition.numNewerVersions |
int |
location1 |
string |
locationType |
string |
logging.logBucket |
string |
logging.logObjectPrefix |
string |
ipFilter.mode |
string |
ipFilter.publicNetworkSource |
object |
ipFilter.publicNetworkSource.allowedIpCidrRanges |
list |
ipFilter.vpcNetworkSources |
list |
ipFilter.vpcNetworkSources.network |
string |
ipFilter.vpcNetworkSources.allowedIpCidrRanges |
list |
objectRetention.mode |
string |
name |
string |
projectNumber2 |
string |
retentionPolicy.isLocked3 |
bool |
retentionPolicy.retentionPeriod |
int |
rpo |
string |
softDeletePolicy.retentionDurationSeconds |
int |
storageClass1 |
string |
versioning.enabled |
bool |
website.mainPageSuffix |
string |
website.notFoundPage |
string |
1 Il valore di questo campo deve essere scritto in maiuscolo.
2 Questo campo è obsoleto.
3 Questo campo può essere utilizzato solo per vietare l'utilizzo del blocco bucket, non per imporlo.
Considerazioni
Le etichette dei bucket non sono consigliate per l'utilizzo nelle condizioni dei vincoli personalizzati. Utilizza invece i tag, che possono essere impostati solo da persone con i ruoli IAM richiesti e sono controllati in modo più rigoroso rispetto alle etichette.