Google Cloud の組織ポリシーサービスを使って、すべての新規 GCS バケットで公開アクセスを強制的に無効化したいと考えています。最も適切な方法はどれですか?
- A. バケット作成時に Uniform Bucket-Level Access を有効にするよう開発者に指示する
- B. すべての GCS バケットに対して IAM ポリシーで allUsers/allAuthenticatedUsers へのアクセスを明示的に拒否する
- C. Cloud Asset Inventory で定期的に公開バケットをスキャンしてアクセスを削除する
- D. 組織ポリシーの constraints/storage.publicAccessPrevention を Enforced に設定する
解答と解説を見る
正解: D
constraints/storage.publicAccessPrevention を Enforced に設定すると、組織・フォルダー・プロジェクト以下のすべての Cloud Storage バケットで、allUsers または allAuthenticatedUsers へのアクセス付与が API レベルで自動的にブロックされます。既存バケットを含め強制的に適用されます。Cloud Asset Inventory によるスキャンは事後検知です。各バケットへの IAM ポリシー設定は手動作業が多く、新規バケット作成時の自動適用がされません。開発者への指示はヒューマンエラーの余地があり、強制力がありません。