Consignes de protection des données

La contrainte booléenne storage.uniformBucketLevelAccess exige que les buckets utilisent l'accès uniforme au niveau du bucket. L'accès uniforme au niveau du bucket vous permet d'utiliser uniquement les autorisations Identity and Access Management (IAM) au niveau du bucket pour accorder l'accès à vos ressources Cloud Storage.

Il est complexe d'utiliser deux systèmes différents et incompatibles pour gérer les autorisations sur les buckets de stockage. C'est aussi une cause fréquente de fuites de données accidentelles. Ce paramètre désactive l'ancien système (listes de contrôle des accès, ou LCA) et fait du système moderne et centralisé (IAM) la source unique fiable pour toutes les autorisations.

Empêchez Cloud SQL d'avoir une adresse IP publique et d'être directement exposé à Internet en définissant la contrainte de règle d'administration constraints/sql.restrictPublicIp. En règle générale, les bases de données ne sont pas directement exposées à Internet.

Empêcher l'attribution d'adresses IP publiques à vos bases de données permet de s'assurer qu'elles restent privées et ne sont accessibles qu'à partir d'applications internes fiables.

La contrainte booléenne storage.publicAccessPrevention empêche l'accès aux buckets de stockage à partir de sources publiques sans authentification. Elle désactive et bloque les listes de contrôle des accès (LCA) et les autorisations Identity and Access Management (IAM) qui accordent l'accès à allUsers et allAuthenticatedUsers. Cette contrainte agit comme un filet de sécurité à l'échelle de l'organisation, en bloquant activement tout paramètre qui rendrait un bucket accessible au public.

Assurez-vous que BigQuery ne comporte pas d'ensembles de données accessibles au public, sauf si c'est l'objectif. Les ensembles de données BigQuery contiennent souvent des données sensibles.

L'examen de l'accès aux ensembles de données vous permet de vous assurer que vous n'exposez pas accidentellement ou involontairement des données sur Internet.

Créez une stratégie de gestion du chiffrement à l'aide de Cloud Key Management Service (Cloud KMS) avec Autokey, Cloud External Key Manager (Cloud EKM) ou les deux. Cette stratégie permet à votre organisation d'utiliser et de gérer ses propres clés de chiffrement pour répondre à ses besoins spécifiques. L'utilisation de vos propres clés de chiffrement vous permet de contrôler précisément et de manière auditable l'accès aux données, y compris la possibilité de bloquer immédiatement l'accès aux données en désactivant la clé.