Layanan Kebijakan Organisasi memberi pelanggan kontrol terpusat dan terprogram untuk menetapkan batasan pada resource organisasi mereka. Setiap jenis pembatasan didefinisikan sebagai batasan, dan secara konseptual mirip dengan blueprint yang menentukan perilaku apa yang dikontrol. Membuat dan mengelola kebijakan organisasi dapat menjadi rumit, karena persyaratan keamanan dan kepatuhan berubah seiring waktu.
Rekomendasi Kebijakan Organisasi membantu Anda mengamankan resource Google Cloud tanpa mengganggu sistem pelanggan. Alat ini menganalisis konfigurasi kebijakan organisasi yang ada dan menghasilkan rekomendasi kebijakan organisasi mana yang akan diterapkan.
Ringkasan rekomendasi kebijakan organisasi
Rekomendasi kebijakan organisasi dibuat oleh pemberi rekomendasi Kebijakan Organisasi. Pemberi rekomendasi Kebijakan Organisasi adalah salah satu pembuat rekomendasi yang ditawarkan Rekomendasi.
Setiap rekomendasi kebijakan organisasi menyarankan agar Anda menetapkan kebijakan organisasi tertentu untuk meningkatkan keamanan resource Google Cloud . Kebijakan organisasi dibuat dari batasan, yang merupakan konfigurasi batasan pada layanan Google Cloud .
Pemberi rekomendasi Kebijakan Organisasi menggunakan insight kebijakan organisasi untuk mengidentifikasi kebijakan organisasi yang tidak ditetapkan. Insight kebijakan organisasi adalah temuan terkait status penerapan batasan kebijakan organisasi pada resource Anda, dan apakah resource Anda melanggar kebijakan organisasi tersebut.
Resource dianggap melanggar kebijakan organisasi jika berada dalam
status yang dibatasi oleh kebijakan organisasi tersebut. Misalnya, batasan iam.managed.disableServiceAccountKeyCreation memungkinkan Anda membatasi
pembuatan kunci akun layanan. Jika kunci akun layanan telah dibuat dalam project, Layanan Kebijakan Organisasi menganggap project tersebut melanggar kebijakan organisasi tersebut.
Cara insight dan rekomendasi dibuat
Rekomendasi adalah saran untuk mengoptimalkan penggunaan resourceGoogle Cloud . Panduan ini mencakup langkah-langkah yang diperlukan untuk mengambil tindakan atas rekomendasi, dan dibuat menggunakan log serta analisis konfigurasi resource Anda untuk mengatasi kerentanan yang diidentifikasi oleh insight.
Insight adalah temuan yang dapat Anda gunakan untuk secara proaktif berfokus pada pola penting dalam penggunaan resource, dan berisi konteks yang diperlukan untuk membuat rekomendasi.
Pemberi rekomendasi Kebijakan Organisasi menghasilkan rekomendasi pada tingkat tertinggi dalam hierarki resource. Misalnya, jika tidak ada pelanggaran terhadap batasan yang didukung dalam project apa pun di folder, rekomendasi Kebijakan Organisasi akan membuat rekomendasi untuk folder tersebut, bukan memberikan rekomendasi untuk project.
Batasan yang didukung
Setiap rekomendasi khusus untuk batasan kebijakan organisasi tertentu.
Pembuatan kunci akun layanan
Secara default, pengguna dengan izin yang sesuai dapat
membuat kunci akun layanan. Namun, kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Dengan menggunakan
batasan kebijakan organisasi iam.managed.disableServiceAccountKeyCreation,
Anda dapat menonaktifkan pembuatan kunci akun layanan eksternal baru untuk semua
kunci akun layanan dalam project, folder, atau organisasi.
Rekomendasi Kebijakan Organisasi memeriksa keberadaan akun layanan yang dikelola pengguna Identity and Access Management (IAM) dan kunci eksternal akun layanan ini untuk mengevaluasi apakah akun layanan tersebut melanggar batasan pembuatan kunci akun layanan.
Jika tidak ada kunci akun layanan yang dibuat, Rekomendasi Kebijakan Organisasi
akan membuat rekomendasi untuk menerapkan
batasan iam.managed.disableServiceAccountKeyCreation dan detail pendukung
rekomendasi dalam insight yang sesuai.
Insight yang terkait dengan batasan iam.managed.disableServiceAccountKeyCreation
memiliki subjenis ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Upload kunci akun layanan
Pengguna dapat mengupload bagian kunci publik dari
pasangan kunci yang dikelola pengguna untuk mengaitkannya dengan akun layanan. Setelah mengupload
kunci publik, mereka dapat menggunakan kunci pribadi dari pasangan kunci sebagai kunci
akun layanan. Dengan menggunakan batasan kebijakan organisasi iam.managed.disableServiceAccountKeyUpload, Anda dapat menonaktifkan upload kunci publik eksternal ke akun layanan dalam project, folder, atau organisasi.
Jika tidak ada kunci akun layanan yang diupload, Rekomendasi Kebijakan Organisasi
akan membuat rekomendasi untuk menerapkan
batasan iam.managed.disableServiceAccountKeyUpload dan detail pendukung
rekomendasi dalam insight yang sesuai.
Insight untuk iam.managed.disableServiceAccountKeyUpload memiliki
subjenis ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Prioritas dan tingkat keparahan
Prioritas rekomendasi dan tingkat keparahan insight membantu Anda memahami urgensi rekomendasi atau insight dan menentukan prioritasnya.
Prioritas rekomendasi kebijakan organisasi
Rekomendasi diberi tingkat prioritas berdasarkan anggapan urgensinya.
Tingkat prioritas berkisar dari P1 (prioritas tertinggi) hingga P4 (prioritas terendah).
Semua rekomendasi kebijakan organisasi memiliki prioritas P1.
Tingkat keparahan rekomendasi kebijakan organisasi
Insight diberi tingkat keparahan berdasarkan prioritasnya. Tingkat keparahan
dapat berupa LOW, MEDIUM, HIGH, atau CRITICAL.
Semua insight kebijakan organisasi memiliki tingkat keparahan HIGH.
Cara rekomendasi diterapkan
Rekomendasi Kebijakan Organisasi tidak menerapkan rekomendasi secara otomatis. Sebagai gantinya, Anda harus meninjau rekomendasi dan memutuskan apakah akan menerapkan atau menutupnya. Untuk mempelajari cara meninjau, menerapkan, dan menolak rekomendasi peran, lihat Meninjau dan menerapkan rekomendasi kebijakan organisasi.
Logging audit
Saat Anda menerapkan atau menolak rekomendasi, perekomendasikan Kebijakan Organisasi akan membuat entri log. Anda dapat melihatnya di log audit Google Cloud
Harga
Rekomendasi kebijakan organisasi untuk batasan terkelola tersedia tanpa biaya.
Untuk informasi selengkapnya, lihat Pertanyaan terkait penagihan.
Langkah selanjutnya
Pelajari Pemberi Rekomendasi lebih lanjut.
Pelajari lebih lanjut batasan terkelola dalam kebijakan organisasi.