云存储使企业能够降低成本和运营负担，更快地扩展，并释放其他云计算优势。同时，云服务器，他们还必须确保满足隐私和安全要求，以限制访问和保护敏感信息。

安全是我们从公司那里听到的一个共同问题，因为他们将数据移动到云端，这是我们所有产品的重中之重。云存储提供了简单、可靠、经济高效的存储和随时检索任意数量的数据，并具有内置的安全功能，如传输中和静止时的加密，以及一系列加密密钥管理选项，包括谷歌管理的、客户提供的、客户管理的和硬件安全模块。谷歌拥有世界上最大的私有网络之一，当您使用云存储时，什么是物联网工程，可以最大限度地减少您的数据暴露在公共互联网上。

使用云存储保护您的数据的最佳做法

保护企业存储数据需要提前规划，以保护您的数据免受未来的威胁和新的挑战。除了基本功能之外，云存储还提供了一些安全功能，如统一存储桶级访问、服务帐户HMAC密钥、IAM条件、委派令牌和V4签名。

我们想分享一些安全最佳实践，以帮助在规模上保护和保护您的数据：

#1:使用组织策略来集中控制和定义法规遵从性边界正如Google云一样，云存储遵循一个资源层次结构。bucket保存对象，返利软件，这些对象与项目相关联，然后这些项目与组织相关联。您还可以使用文件夹进一步分隔项目资源。组织策略是可以在组织文件夹中配置的设置，或项目级别来强制执行特定于服务的行为。

以下是我们建议启用的两个组织策略：

#2:考虑使用云IAM简化访问控制云存储提供了两个系统来为您的存储桶和对象授予权限：云IAM和访问控制列表（ACL）。要访问某个资源，只有其中一个系统需要授予权限。

ACL是对象级别的，授予对单个对象的访问权限。随着bucket中对象数量的增加，管理单个acl所需的开销也随之增加。很难评估一个桶内所有物体的安全性。想象一下，必须遍历数百万个对象才能查看单个用户是否具有正确的访问权限。

我们建议使用Cloud IAM来控制对资源的访问。云IAM支持一个Google云范围的、以平台为中心的、统一的机制来管理云存储数据的访问控制。当您启用统一的bucket级访问控制时，不允许对象ACL，并且bucket级的云IAM策略用于管理访问，因此在bucket级授予的权限将自动应用于bucket中的所有对象。

#3:如果您不能使用IAM策略，考虑acl的其他替代方案我们认识到，返利软件，有时我们的客户出于不同的原因继续使用acl，例如多云体系结构或与单个用户共享对象。但是，我们不建议将最终用户放在对象ACL上。

请考虑以下替代方法：

#4对服务帐户使用HMAC密钥，而不是用户帐户基于哈希的消息验证密钥（HMAC密钥）是一种凭据，用于创建云存储请求中包含的签名。一般来说，云教云，我们建议对服务帐户而不是用户帐户使用HMAC密钥。这有助于消除依赖个人用户持有的帐户所带来的安全和隐私问题。它还降低了服务访问中断的风险，因为当用户离开项目或公司时，用户帐户可能会被禁用。

为了进一步提高安全性，我们还建议：

要了解有关云存储的更多信息以及保持数据安全和合规的更多方法，请查看我们的访问控制文档，看我们下一个20:OnAir的云端会议。