Le service de règles d'administration offre aux clients un contrôle centralisé et automatisé pour définir des restrictions sur les ressources de leur organisation. Chaque type de restriction est défini comme une contrainte et est conceptuellement semblable à un plan qui définit les comportements contrôlés. La création et la gestion des règles de l'organisation peuvent être compliquées, car les exigences de sécurité et de conformité évoluent au fil du temps.
Le Recommandeur de règles d'administration vous aide à sécuriser vos Google Cloud ressources sans perturber les systèmes des clients. Il analyse les configurations de règles d'administration existantes et génère des recommandations sur les règles d'administration à appliquer.
Présentation des recommandations concernant les règles d'administration
Les recommandations de règles d'administration sont générées par l'outil de recommandation de règles d'administration. L'outil de recommandation des règles d'administration est l'un des outils de recommandation proposés par Recommender.
Chaque recommandation de règle d'administration vous suggère de définir une règle d'administration particulière pour améliorer la sécurité de vos ressources. Google Cloud Une règle d'administration est créée à partir d'une contrainte, qui est une configuration de restrictions sur un service Google Cloud .
L'outil de recommandation des règles d'administration utilise les insights sur les règles d'administration pour identifier les règles d'administration qui ne sont pas définies. Les insights sur les règles d'administration sont des résultats concernant l'état d'application d'une contrainte liée aux règles d'administration sur vos ressources, et si vos ressources enfreignent cette règle d'administration.
Une ressource est considérée comme non conforme à une règle d'administration si elle se trouve dans un état restreint par cette règle. Par exemple, la contrainte iam.managed.disableServiceAccountKeyCreation vous permet de limiter la création de clés de compte de service. Si une clé de compte de service a été créée dans un projet, le service de règles d'administration de l'organisation considère que ce projet ne respecte pas cette règle.
Comment les insights et les recommandations sont-ils générés ?
Une recommandation est une suggestion pour optimiser votre utilisation des ressourcesGoogle Cloud . Elle inclut les étapes nécessaires à suivre pour mettre en œuvre la recommandation. Elle est créée à l'aide de journaux et d'une analyse de vos configurations de ressources pour résoudre les failles identifiées par l'insight.
Les insights sont des résultats qui peuvent vous servir à examiner de manière proactive les tendances importantes dans l'utilisation des ressources. Ils contiennent le contexte nécessaire pour créer une recommandation.
L'outil de recommandation des règles de l'organisation génère des recommandations au niveau le plus élevé possible dans la hiérarchie des ressources. Par exemple, si aucune contrainte compatible n'est violée dans les projets d'un dossier, l'outil de recommandation des règles de l'organisation génère une recommandation pour ce dossier, au lieu de fournir des recommandations pour les projets.
Contraintes acceptées
Chaque recommandation est spécifique à une contrainte liée aux règles d'administration.
Création d'une clé de compte de service
Par défaut, les utilisateurs disposant des autorisations appropriées peuvent créer des clés de compte de service. Toutefois, les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. À l'aide de la contrainte de règle d'administration iam.managed.disableServiceAccountKeyCreation, vous pouvez désactiver la création de clés de compte de service externes pour tous les comptes de service d'un projet, d'un dossier ou d'une organisation.
Le Recommandeur de règles d'administration vérifie l'existence de comptes de service gérés par l'utilisateur Identity and Access Management (IAM) et des clés externes de ces comptes de service pour déterminer s'ils ne respectent pas les restrictions de création de clés de compte de service.
Si aucune clé de compte de service n'est créée, le recommendeur de règles d'administration de l'organisation génère une recommandation pour appliquer la contrainte iam.managed.disableServiceAccountKeyCreation et les informations complémentaires de la recommandation dans les insights correspondants.
Les insights liés à la contrainte iam.managed.disableServiceAccountKeyCreation sont associés au sous-type ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Importation de clés de compte de service
Les utilisateurs peuvent importer la partie publique d'une paire de clés gérée par l'utilisateur pour l'associer à un compte de service. Une fois qu'il a importé la clé publique, il peut utiliser la clé privée de la paire de clés en tant que clé de compte de service. À l'aide de la contrainte de règle d'administration iam.managed.disableServiceAccountKeyUpload, vous pouvez désactiver l'importation de clés publiques externes dans des comptes de service au niveau d'un projet, d'un dossier ou d'une organisation.
Si aucune clé de compte de service n'est importée, le recommender de stratégie de l'organisation génère une recommandation pour appliquer la contrainte iam.managed.disableServiceAccountKeyUpload et les informations complémentaires de la recommandation dans les insights correspondants.
Les insights sur iam.managed.disableServiceAccountKeyUpload sont associés au sous-type ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Règles de transfert de protocole
Le transfert de protocole utilise une règle de transfert régionale pour transmettre les paquets d'un protocole spécifique à une seule instance de machine virtuelle (VM). La règle de transfert peut avoir une adresse IP interne ou externe.
À l'aide de la contrainte de règle d'administration compute.managed.restrictProtocolForwardingCreationForTypes, vous pouvez limiter le type d'objets de règle de transfert de protocole qu'un utilisateur peut créer.
Si aucune règle de transfert de protocole externe n'est définie, le recommender de règles d'organisation génère une recommandation pour appliquer la contrainte compute.managed.restrictProtocolForwardingCreationForTypes et les informations complémentaires de la recommandation dans les insights correspondants.
Les insights pour compute.managed.restrictProtocolForwardingCreationForTypes sont associés au sous-type ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorité et gravité
La priorité des recommandations et le niveau de gravité des insights vous aident à comprendre l'urgence d'une recommandation ou d'un insight, et à hiérarchiser les insights en conséquence.
Priorité des recommandations de règles d'administration
Un niveau de priorité est attribué à une recommandation en fonction de son degré d'urgence perçue.
Les niveaux de priorité vont de P1 (priorité la plus élevée) à P4 (priorité la plus basse).
Toutes les recommandations concernant les règles d'administration ont une priorité de P1.
Gravité des recommandations de règles d'administration
Les insights se voient attribuer des niveaux de gravité en fonction de leur degré d'urgence perçue. Les niveaux de gravité peuvent être LOW, MEDIUM, HIGH ou CRITICAL.
Tous les insights sur les règles d'administration ont une gravité de HIGH.
Comment les recommandations sont-elles appliquées ?
L'outil de recommandation de règles d'administration n'applique pas automatiquement les recommandations. Au lieu de cela, vous devez examiner vos recommandations et décider de les appliquer ou de les ignorer. Pour savoir comment examiner, appliquer et ignorer des recommandations de rôle, consultez la section Examiner et appliquer les recommandations de règles d'administration.
Journaux d'audit
Lorsque vous appliquez ou refusez une recommandation, l'outil de recommandation des règles d'administration crée une entrée de journal. Vous pouvez les consulter dans vos Google Cloud journaux d'audit.
Tarifs
Les recommandations de règles d'administration pour les contraintes gérées sont disponibles sans frais.
Pour en savoir plus, consultez Questions sur la facturation.
Étape suivante
Examinez et appliquez les recommandations concernant les règles d'administration.
Apprenez-en plus sur l'outil de recommandation.
En savoir plus sur les contraintes gérées dans les règles d'administration