数据管理控制

Google Cloud 建议使用 Sensitive Data Protection。您选择的 infoType 或作业模板取决于您的具体系统。

仅限特定用户可以访问 BigQuery 数据集中的信息。如需配置此保护，您必须设置详细的角色。

仅限特定用户可以访问 BigQuery 数据集中的信息。如需配置此保护，您必须设置详细的角色。

如果您的组织要求您对 BigQuery 表中的个别值进行加密，请使用带有关联数据的身份验证加密 (AEAD) 加密功能。

借助授权视图，您可以将数据集中的部分数据共享给特定用户。例如，授权视图可让您与特定用户和群组共享查询结果，而无需为其授予底层源数据的访问权限。

使用 BigQuery 列级安全性创建政策，以便在查询时检查用户是否拥有适当的访问权限。BigQuery 通过政策标记或基于类型的数据分类，提供对敏感列的精细访问权限。

使用行级安全性和访问权限政策，对 BigQuery 表中的部分数据启用精细访问权限控制。

BigQuery 资源图表可让 BigQuery 管理员观察他们的组织、文件夹或预留如何使用 BigQuery 槽以及其查询性能。

storage.publicAccessPrevention 布尔值限制条件可防止在未经身份验证的情况下从公共来源访问存储分区。它会停用和屏蔽向 allUsers 和 allAuthenticatedUsers 授予访问权限的访问权限控制列表 (ACL) 和 Identity and Access Management (IAM) 权限。此限制条件可作为组织范围内的安全网，主动阻止任何会使存储桶可公开访问的设置。

storage.uniformBucketLevelAccess 布尔值限制条件要求存储桶使用统一的存储桶级访问权限。借助统一存储桶级访问权限，您只能使用存储桶级 Identity and Access Management (IAM) 权限来授予对 Cloud Storage 资源的访问权限。

使用两个不同且相互冲突的系统来管理存储分区的权限非常复杂，并且是导致意外数据泄露的常见原因。此设置会关闭旧版系统（访问权限控制列表，即 ACL），并使新式集中式系统 (IAM) 成为所有权限的唯一可靠来源。

HMAC 密钥是一种与 Cloud Storage 中的服务账号或用户账号相关联的长期有效的凭证。使用 HMAC 密钥创建签名，这些签名会包含在针对 Cloud Storage 的请求中。签名可证明用户或服务账号已授权某项请求。

与短期有效凭据（例如OAuth 2.0 令牌）不同，HMAC 密钥不会自动失效，在手动撤消之前会一直有效。HMAC 密钥是高风险凭证：如果泄露，它们会提供对您资源的持久访问权限。您必须确保已采取适当的机制来帮助保护这些数据。

服务账号是一种非人类身份，专为应用而设计，其行为可预测且自动化。通常，服务账号不需要列出各个存储桶，因为它们已经过映射。因此，如果您检测到某个服务账号尝试检索所有 Cloud Storage 存储桶的列表，请立即进行调查。侦察枚举通常被已获得服务账号访问权限的恶意方用作侦察技术。

配置一项提醒，用于检测 Cloud Storage 存储桶的 Identity and Access Management (IAM) 政策何时被修改为授予公开访问权限。当 allUsers 或 allAuthenticatedUsers 主账号添加到存储桶的 IAM 政策时，系统会触发此提醒。此提醒属于严重程度为“严重”的高严重性事件，因为该事件可能会暴露存储桶中的所有数据。请立即调查此提醒，以确认相应更改是否已获授权，或者是否表明存在配置错误或恶意方。

在提醒中，将 data.protoPayload.serviceData.policyData.bindingDeltas.member JSON 属性设置为 allUsers 或 allAuthenticatedUsers，并将操作设置为 ADD。

根据您的监管要求，确保每个 Cloud Storage 存储桶保留政策都已锁定。将保留期限设置为满足您要求的时间范围。

将生命周期规则应用于具有 SetStorageClass 操作类型的每个 Cloud Storage 存储桶。

确保已启用并配置 Cloud Storage 的生命周期管理。生命周期控制包含存储生命周期的配置。验证此设置中的政策是否符合您的要求。

确保已启用并配置 Cloud Storage 的生命周期管理规则。规则控制包含存储生命周期的配置。验证此设置中的政策是否符合您的要求。

找出所有将 temporaryHold 设置为 TRUE 的对象，并开始调查和验证流程。此评估适用于以下用例：

• 诉讼保全：为遵守数据存储方面的法律要求，暂时保全可用于防止删除可能与正在进行的调查或诉讼相关的敏感数据。
• 数据防丢失：为防止重要数据被意外删除，暂时保全可用作保护关键业务信息的安全措施。
• 内容审核：在可能敏感或不当的内容公开之前，暂时保全上传到 Cloud Storage 的内容，以便进一步检查和做出审核决定。

确保所有 Cloud Storage 存储桶都具有保留政策。

数据分类是任何数据治理和安全计划的基础组成部分。为每个存储桶应用分类标签（值可以是公开、内部、机密或受限）至关重要。

确认 google_storage_bucket.labels 是否包含用于分类的表达式，如果没有，则创建违规情况。

确保每个 Cloud Storage 存储桶都包含一个日志存储桶。

在 Cloud Storage 中，storage.buckets/lifecycle.rule.action.type 是指根据存储桶中的生命周期规则对特定对象采取的操作类型。此配置有助于自动管理和控制存储在云中的数据的生命周期。

配置 storage.buckets/lifecycle.rule.action.type 以确保对象从存储桶中永久删除。

对于删除规则，请确保相应规则的 isLive 条件设置为 false。

在 Cloud Storage 中，storage.buckets/lifecycle.rule.condition.isLive 是一个布尔值条件，用于在生命周期规则中确定对象是否被视为有效。此过滤条件有助于确保生命周期规则中的操作仅应用于所需的、处于有效状态的对象。

应用场景：

• 归档历史版本：仅归档对象的非当前版本，以节省存储费用，同时保持最新版本可随时访问。
• 清理已删除的对象：自动永久删除用户已删除的对象，从而释放存储桶中的空间。
• 保护现行数据：确保设置暂时保全等操作仅应用于现行对象，防止意外修改归档或已删除的版本

确保所有 Cloud Storage 存储桶都已启用版本控制。应用场景包括：

• 数据保护和恢复：防止覆盖数据，并支持恢复已删除或修改的数据，从而防范意外数据丢失。
• 合规性和审核：维护所有对象编辑的历史记录，以用于监管合规或内部审核。
• 版本控制：跟踪文件和数据集的更改，以便进行协作，并在必要时回滚到之前的版本。

确保 google_storage_bucket.labels 具有所有者的表达式。

根据用例，针对特定存储对象启用额外的日志记录。例如，记录对敏感数据桶的访问，以便您可以跟踪谁在何时获得了访问权限。启用额外的日志记录时，请考虑您可能会生成的日志量。