Le service de règles d'administration permet aux clients de contrôler de manière centralisée et programmatique les restrictions à appliquer aux ressources de leur organisation. Chaque type de restriction est défini comme une contrainte et est conceptuellement semblable à un plan qui définit les comportements contrôlés. La création et la gestion des règles d'administration peuvent être complexes, car les exigences en matière de sécurité et de conformité évoluent au fil du temps.
Le service de recommandation de règles d'administration vous aide à sécuriser vos ressources Google Cloud sans perturber les systèmes des clients. Il analyse les configurations existantes des règles d'administration et génère des recommandations sur les règles d'administration à appliquer.
Présentation des recommandations concernant les règles d'administration
Les recommandations de règles d'administration sont générées par l'outil de recommandation des règles d'administration. L'outil de recommandation de règles d'administration fait partie des outils de recommandation proposés par Recommender.
Chaque recommandation de règle d'administration suggère de définir une règle d'administration spécifique pour améliorer la sécurité de vos ressources Google Cloud . Une règle d'administration est basée sur une contrainte, qui est une configuration de restrictions sur un service Google Cloud .
L'outil de recommandation de règles d'administration utilise les insights sur les règles d'administration pour identifier les règles d'administration qui ne sont pas définies. Les insights sur les règles d'administration sont des conclusions concernant l'état d'application d'une contrainte de règle d'administration sur vos ressources et la question de savoir si vos ressources enfreignent cette règle d'administration.
Une ressource est considérée comme enfreignant une règle d'administration si elle se trouve dans un état limité par cette règle. Par exemple, la contrainte iam.managed.disableServiceAccountKeyCreation
vous permet de restreindre la création de clés de compte de service. Si une clé de compte de service a été créée dans un projet, le service de règles d'administration considère que ce projet ne respecte pas cette règle d'administration.
Comment les insights et les recommandations sont-ils générés ?
Une recommandation est une suggestion pour optimiser votre utilisation des ressourcesGoogle Cloud . Elle inclut les étapes nécessaires à suivre pour mettre en œuvre la recommandation. Elle est créée à partir des journaux et de l'analyse des configurations de vos ressources afin de corriger les failles identifiées par l'insight.
Les insights sont des résultats qui peuvent vous servir à examiner de manière proactive les tendances importantes dans l'utilisation des ressources. Ils contiennent le contexte nécessaire pour créer une recommandation.
L'outil de recommandation de règles d'organisation génère des recommandations au niveau le plus élevé possible de la hiérarchie des ressources. Par exemple, si aucune contrainte compatible n'est enfreinte dans les projets d'un dossier, l'outil de recommandation de règles relatives à l'organisation génère la recommandation pour ce dossier au lieu de fournir des recommandations pour les projets.
Contraintes acceptées
Chaque recommandation est spécifique à une contrainte de règle d'administration particulière.
Création d'une clé de compte de service
Par défaut, les utilisateurs disposant des autorisations appropriées peuvent créer des clés de compte de service. Toutefois, les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. La contrainte de règle d'administration iam.managed.disableServiceAccountKeyCreation
vous permet de désactiver la création de clés de compte de service externes pour tous les comptes de service d'un projet, d'un dossier ou d'une organisation.
Le moteur de recommandation de règles d'administration vérifie l'existence de comptes de service gérés par l'utilisateur Identity and Access Management (IAM) et des clés externes de ces comptes de service pour évaluer s'ils enfreignent les restrictions concernant la création de clés de compte de service.
Si aucune clé de compte de service n'a été créée, le recommander de règles d'administration génère une recommandation pour appliquer la contrainte iam.managed.disableServiceAccountKeyCreation
et fournit des informations supplémentaires sur la recommandation dans les insights correspondants.
Les insights liés à la contrainte iam.managed.disableServiceAccountKeyCreation
ont le sous-type ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION
.
Importation de clés de compte de service
Les utilisateurs peuvent importer la partie publique d'une paire de clés gérée par l'utilisateur pour l'associer à un compte de service. Une fois la clé publique importée, ils peuvent utiliser la clé privée de la paire de clés en tant que clé de compte de service. La contrainte de règle d'administration iam.managed.disableServiceAccountKeyUpload
vous permet de désactiver l'importation de clés publiques externes dans des comptes de service sous un projet, un dossier ou une organisation.
Si aucune clé de compte de service n'est importée, le recommander de règles d'administration de l'organisation génère une recommandation pour appliquer la contrainte iam.managed.disableServiceAccountKeyUpload
et fournit des informations complémentaires sur la recommandation dans les insights correspondants.
Les insights pour iam.managed.disableServiceAccountKeyUpload
ont le sous-type ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD
.
Règles de transfert de protocole
Le transfert de protocole utilise une règle de transfert régionale pour transmettre les paquets d'un protocole spécifique à une seule instance de machine virtuelle (VM). La règle de transfert peut avoir une adresse IP interne ou externe.
En utilisant la contrainte de règle d'administration compute.managed.restrictProtocolForwardingCreationForTypes
, vous pouvez limiter le type d'objets de règle de transfert de protocole qu'un utilisateur peut créer.
Si aucune règle de transfert de protocole externe n'est définie, le moteur de recommandation de règles d'administration génère une recommandation pour appliquer la contrainte compute.managed.restrictProtocolForwardingCreationForTypes
et les détails associés dans les insights correspondants.
Les insights pour compute.managed.restrictProtocolForwardingCreationForTypes
ont le sous-type ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES
.
Priorité et gravité
La priorité des recommandations et le niveau de gravité des insights vous aident à comprendre l'urgence d'une recommandation ou d'un insight, et à hiérarchiser les insights en conséquence.
Priorité des recommandations de règles d'administration
Une recommandation se voit attribuer un niveau de priorité en fonction de son degré d'urgence perçue.
Les niveaux de priorité vont de P1
(priorité la plus élevée) à P4
(priorité la plus basse).
Toutes les recommandations concernant les règles d'administration ont une priorité de P1
.
Niveau de gravité des recommandations de règles d'administration
Les insights se voient attribuer des niveaux de gravité en fonction de leur degré d'urgence perçue. Les niveaux de gravité peuvent être LOW
, MEDIUM
, HIGH
ou CRITICAL
.
Tous les insights sur les règles d'administration ont une gravité de HIGH
.
Comment les recommandations sont-elles appliquées ?
L'outil de recommandation de règles d'administration n'applique pas automatiquement les recommandations. Au lieu de cela, vous devez examiner vos recommandations et décider de les appliquer ou de les ignorer. Pour savoir comment examiner, appliquer et ignorer des recommandations de rôle, consultez Examiner et appliquer les recommandations de règles d'administration.
Journaux d'audit
Lorsque vous appliquez ou ignorez une recommandation, l'outil de recommandation de règles d'administration crée une entrée de journal. Vous pouvez les consulter dans vos journaux d'audit Google Cloud .
Tarifs
Les recommandations de règles d'administration pour les contraintes gérées sont disponibles sans frais.
Pour en savoir plus, consultez Questions sur la facturation.
Étapes suivantes
Examinez et appliquez les recommandations concernant les règles d'administration.
Apprenez-en plus sur l'outil de recommandation.
En savoir plus sur les contraintes gérées dans les règles d'administration