El servicio de política de organización ofrece a los clientes un control centralizado y programático para definir restricciones en los recursos de su organización. Cada tipo de restricción se define como una limitación y es conceptualmente similar a un plano que define los comportamientos que se controlan. Crear y mantener políticas de la organización puede ser complicado, ya que los requisitos de seguridad y cumplimiento cambian con el tiempo.
El recomendador de políticas de organización te ayuda a proteger tus Google Cloud recursos sin interrumpir los sistemas de los clientes. Analiza las configuraciones de las políticas de organización y genera recomendaciones sobre qué políticas de organización aplicar.
Descripción general de las recomendaciones de políticas de organización
Las recomendaciones de políticas de la organización las genera el recomendador de políticas de la organización. El recomendador de políticas de la organización es uno de los recomendadores que ofrece Recomendador.
Cada recomendación de política de organización sugiere que definas una política de organización concreta para mejorar la seguridad de tus Google Cloud recursos. Una política de la organización se compone de una restricción, que es una configuración de restricciones de un servicio de Google Cloud .
El recomendador de políticas de la organización usa estadísticas de políticas de la organización para identificar las políticas de la organización que no están definidas. Los datos valiosos de las políticas de organización son conclusiones sobre el estado de cumplimiento de una restricción de una política de organización en tus recursos y sobre si tus recursos infringen esa política de organización.
Se considera que un recurso infringe una política de organización si se encuentra en un estado restringido por esa política. Por ejemplo, la restricción iam.managed.disableServiceAccountKeyCreation te permite restringir la creación de claves de cuentas de servicio. Si se ha creado una clave de cuenta de servicio en un proyecto, el servicio de políticas de la organización considera que ese proyecto infringe la política de la organización.
Cómo se generan las estadísticas y las recomendaciones
Una recomendación es una sugerencia para optimizar el uso de losGoogle Cloud recursos. Incluye los pasos necesarios para tomar medidas en relación con la recomendación y se crea a partir de los registros y el análisis de las configuraciones de tus recursos para abordar las vulnerabilidades identificadas por la estadística.
Las estadísticas son conclusiones que puedes usar para centrarte de forma proactiva en patrones importantes del uso de recursos y contienen el contexto necesario para crear una recomendación.
El recomendador de políticas de la organización genera recomendaciones en el nivel más alto posible de la jerarquía de recursos. Por ejemplo, si no se infringe ninguna restricción admitida en ningún proyecto de una carpeta, el recomendador de políticas de organización genera la recomendación para esa carpeta en lugar de proporcionar recomendaciones para los proyectos.
Restricciones admitidas
Cada recomendación es específica de una restricción de política de la organización concreta.
Creación de claves de cuenta de servicio
De forma predeterminada, los usuarios con los permisos adecuados pueden crear claves de cuentas de servicio. Sin embargo, las claves de cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Con la restricción de la política de organización iam.managed.disableServiceAccountKeyCreation, puedes inhabilitar la creación de claves externas de cuentas de servicio para todas las cuentas de servicio de un proyecto, una carpeta o una organización.
El recomendador de políticas de la organización comprueba si existen cuentas de servicio gestionadas por usuarios y claves externas de estas cuentas de servicio de Identity and Access Management (IAM) para evaluar si infringen las restricciones sobre la creación de claves de cuentas de servicio.
Si no hay claves de cuenta de servicio creadas, el recomendador de políticas de la organización genera una recomendación para aplicar la restricción iam.managed.disableServiceAccountKeyCreation y los detalles de la recomendación en las estadísticas correspondientes.
Las estadísticas relacionadas con la restricción iam.managed.disableServiceAccountKeyCreation tienen el subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Subida de claves de cuenta de servicio
Los usuarios pueden subir la parte de clave pública de un par de claves gestionado por el usuario para asociarlo a una cuenta de servicio. Una vez que hayan subido la clave pública, podrán usar la clave privada del par de claves como clave de cuenta de servicio. Con la restricción de política de organización iam.managed.disableServiceAccountKeyUpload, puedes inhabilitar la subida de claves públicas externas a cuentas de servicio de un proyecto, una carpeta o una organización.
Si no se ha subido ninguna clave de cuenta de servicio, el recomendador de políticas de la organización genera una recomendación para aplicar la restricción iam.managed.disableServiceAccountKeyUpload y los detalles de la recomendación en las estadísticas correspondientes.
Las estadísticas de iam.managed.disableServiceAccountKeyUpload tienen el subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Reglas de reenvío de protocolos
La transferencia de protocolos usa una regla de reenvío regional para enviar paquetes de un protocolo específico a una sola instancia de máquina virtual (VM). La regla de reenvío puede tener una dirección IP interna o externa.
Con la restricción de política de organización compute.managed.restrictProtocolForwardingCreationForTypes, puedes restringir el tipo de objetos de reglas de reenvío de protocolos que puede crear un usuario.
Si no se han definido reglas de reenvío de protocolos externos, el recomendador de políticas de la organización genera una recomendación para aplicar la restricción compute.managed.restrictProtocolForwardingCreationForTypes y los detalles de la recomendación en las estadísticas correspondientes.
Las estadísticas de compute.managed.restrictProtocolForwardingCreationForTypes tienen el subtipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Prioridad y gravedad
La prioridad de las recomendaciones y la gravedad de las estadísticas te ayudan a entender la urgencia de una recomendación o una estadística y a priorizar en consecuencia.
Prioridad de las recomendaciones de políticas de organización
A cada recomendación se le asigna un nivel de prioridad en función de la urgencia percibida.
Los niveles de prioridad van de P1 (prioridad más alta) a P4 (prioridad más baja).
Todas las recomendaciones de políticas de organización tienen una prioridad de P1.
Gravedad de la recomendación de política de la organización
A las estadísticas se les asignan niveles de gravedad en función de la urgencia percibida. Los niveles de gravedad pueden ser LOW, MEDIUM, HIGH o CRITICAL.
Todas las estadísticas de las políticas de la organización tienen una gravedad HIGH.
Cómo se aplican las recomendaciones
El recomendador de políticas de la organización no aplica las recomendaciones automáticamente. En su lugar, debes revisar las recomendaciones y decidir si quieres aplicarlas o rechazarlas. Para saber cómo revisar, aplicar y rechazar recomendaciones de roles, consulta el artículo Revisar y aplicar recomendaciones de políticas de la organización.
Registros de auditoría
Cuando aplicas o rechazas una recomendación, el recomendador de políticas de la organización crea una entrada de registro. Puedes consultarlos en tus Google Cloud registros de auditoría.
Precios
Las recomendaciones de políticas de organización para las restricciones gestionadas están disponibles sin coste económico.
Para obtener más información, consulta las preguntas sobre la facturación.
Siguientes pasos
Revisa y aplica las recomendaciones de políticas de la organización.
Consulta más información sobre Recommender.
Consulta más información sobre las restricciones gestionadas en las políticas de organización.