Layanan Kebijakan Organisasi memberi pelanggan kontrol terpusat dan terprogram untuk menetapkan batasan pada resource organisasi mereka. Setiap jenis pembatasan didefinisikan sebagai batasan, dan secara konseptual mirip dengan cetak biru yang menentukan perilaku apa yang dikontrol. Membuat dan mengelola kebijakan organisasi bisa jadi rumit, karena persyaratan keamanan dan kepatuhan berubah seiring waktu.
Pemberi rekomendasi Kebijakan Organisasi membantu Anda mengamankan Google Cloud resource tanpa mengganggu sistem pelanggan. Fitur ini menganalisis konfigurasi kebijakan organisasi yang ada dan membuat rekomendasi kebijakan organisasi yang akan diterapkan.
Ringkasan rekomendasi kebijakan organisasi
Rekomendasi kebijakan organisasi dibuat oleh pemberi rekomendasi Kebijakan Organisasi. Pemberi rekomendasi Kebijakan Organisasi adalah salah satu pemberi rekomendasi yang ditawarkan oleh Recommender.
Setiap rekomendasi kebijakan organisasi menyarankan agar Anda menetapkan kebijakan organisasi tertentu untuk meningkatkan keamanan Google Cloud resource Anda. Kebijakan organisasi dibuat dari batasan, yang merupakan konfigurasi batasan pada layanan Google Cloud .
Pemberi rekomendasi Kebijakan Organisasi menggunakan insight kebijakan organisasi untuk mengidentifikasi kebijakan organisasi yang belum ditetapkan. Insight kebijakan organisasi adalah temuan terkait status penerapan batasan kebijakan organisasi pada resource Anda, dan apakah resource Anda melanggar kebijakan organisasi tersebut.
Resource dianggap melanggar kebijakan organisasi jika berada dalam
status yang dibatasi oleh kebijakan organisasi tersebut. Misalnya, batasan
iam.managed.disableServiceAccountKeyCreation memungkinkan Anda membatasi
pembuatan kunci akun layanan. Jika kunci akun layanan telah dibuat dalam project, Organization Policy Service menganggap project tersebut melanggar kebijakan organisasi tersebut.
Cara insight dan rekomendasi dibuat
Rekomendasi adalah saran untuk mengoptimalkan penggunaan resource Google Cloud Anda. Insight ini mencakup langkah-langkah yang diperlukan untuk menindaklanjuti rekomendasi, dan dibuat menggunakan log dan analisis konfigurasi resource Anda untuk mengatasi kerentanan yang diidentifikasi oleh insight.
Insight adalah temuan yang dapat Anda gunakan untuk secara proaktif berfokus pada pola penting dalam penggunaan resource, dan berisi konteks yang diperlukan untuk membuat rekomendasi.
Pemberi rekomendasi Kebijakan Organisasi menghasilkan rekomendasi di tingkat tertinggi yang memungkinkan dalam hierarki resource. Misalnya, jika tidak ada pelanggaran batasan yang didukung di project mana pun dalam folder, pemberi rekomendasi Kebijakan Organisasi akan membuat rekomendasi untuk folder tersebut, bukan memberikan rekomendasi untuk project.
Batasan yang didukung
Setiap rekomendasi khusus untuk batasan kebijakan organisasi tertentu.
Pembuatan kunci akun layanan
Secara default, pengguna dengan izin yang sesuai dapat
membuat kunci akun layanan. Namun, kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Dengan menggunakan
batasan kebijakan organisasi iam.managed.disableServiceAccountKeyCreation, Anda dapat menonaktifkan pembuatan kunci akun layanan eksternal baru untuk semua akun layanan dalam project, folder, atau organisasi.
Pemberi rekomendasi Kebijakan Organisasi memeriksa keberadaan akun layanan yang dikelola pengguna dan kunci eksternal akun layanan tersebut untuk mengevaluasi apakah akun layanan tersebut melanggar batasan pembuatan kunci akun layanan.
Jika tidak ada kunci akun layanan yang dibuat, pemberi rekomendasi Kebijakan Organisasi akan membuat rekomendasi untuk menerapkan batasan iam.managed.disableServiceAccountKeyCreation dan detail rekomendasi yang mendukung dalam insight yang sesuai.
Insight yang terkait dengan batasan iam.managed.disableServiceAccountKeyCreation memiliki subjenis ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Upload kunci akun layanan
Pengguna dapat mengupload bagian kunci publik dari
pasangan kunci yang dikelola pengguna untuk mengaitkannya dengan akun layanan. Setelah mengupload
kunci publik, mereka dapat menggunakan kunci pribadi dari pasangan kunci sebagai kunci
akun layanan. Dengan menggunakan batasan kebijakan organisasi iam.managed.disableServiceAccountKeyUpload, Anda dapat menonaktifkan upload kunci publik eksternal ke akun layanan di project, folder, atau organisasi.
Jika tidak ada kunci akun layanan yang diupload, pemberi rekomendasi Kebijakan Organisasi akan membuat rekomendasi untuk menerapkan batasan iam.managed.disableServiceAccountKeyUpload dan detail pendukung rekomendasi dalam insight yang sesuai.
Insight untuk iam.managed.disableServiceAccountKeyUpload memiliki subjenis ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Aturan penerusan protokol
Penerusan protokol menggunakan aturan penerusan regional untuk mengirimkan paket protokol tertentu ke satu instance virtual machine (VM). Aturan penerusan dapat memiliki alamat IP internal atau eksternal.
Dengan menggunakan batasan kebijakan organisasi compute.managed.restrictProtocolForwardingCreationForTypes, Anda dapat membatasi jenis objek aturan penerusan protokol yang dapat dibuat oleh pengguna.
Jika tidak ada aturan penerusan protokol eksternal yang ditentukan, pemberi rekomendasi Kebijakan Organisasi akan membuat rekomendasi untuk menerapkan batasan compute.managed.restrictProtocolForwardingCreationForTypes dan detail pendukung rekomendasi dalam insight yang sesuai.
Insight untuk compute.managed.restrictProtocolForwardingCreationForTypes
memiliki subjenis ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Prioritas dan tingkat keparahan
Prioritas rekomendasi dan tingkat keparahan insight membantu Anda memahami urgensi rekomendasi atau insight dan memprioritaskannya dengan tepat.
Prioritas rekomendasi kebijakan organisasi
Rekomendasi diberi tingkat prioritas berdasarkan urgensinya.
Tingkat prioritas berkisar dari P1 (prioritas tertinggi) hingga P4 (prioritas terendah).
Semua rekomendasi kebijakan organisasi memiliki prioritas P1.
Tingkat keparahan rekomendasi kebijakan organisasi
Insight diberi tingkat keparahan berdasarkan urgensinya yang dirasakan. Tingkat keparahan
dapat berupa LOW, MEDIUM, HIGH, atau CRITICAL.
Semua insight kebijakan organisasi memiliki tingkat keparahan HIGH.
Cara rekomendasi diterapkan
Pemberi rekomendasi Kebijakan Organisasi tidak menerapkan rekomendasi secara otomatis. Sebagai gantinya, Anda harus meninjau rekomendasi dan memutuskan apakah akan menerapkan atau menutupnya. Untuk mempelajari cara meninjau, menerapkan, dan menolak rekomendasi peran, lihat Meninjau dan menerapkan rekomendasi kebijakan organisasi.
Logging audit
Saat Anda menerapkan atau menolak rekomendasi, pemberi rekomendasi Kebijakan Organisasi akan membuat entri log. Anda dapat melihatnya di log audit Google Cloud .
Harga
Rekomendasi kebijakan organisasi untuk batasan terkelola tersedia tanpa biaya.
Untuk mengetahui informasi selengkapnya, lihat Pertanyaan terkait penagihan.
Langkah berikutnya
Pelajari Pemberi Rekomendasi lebih lanjut.
Pelajari lebih lanjut batasan terkelola dalam kebijakan organisasi.