組織のポリシー サービスを使用すると、組織のリソースに制限を設定するために、一元化されたプログラマティックな制御を行うことができます。各タイプの制限は制約として定義され、制御される動作を定義するブループリントに似ています。セキュリティとコンプライアンスの要件は時間とともに変化するため、組織のポリシーの作成と維持は複雑になる可能性があります。
組織のポリシー レコメンダーは、お客様のシステムを中断することなく、 Google Cloud リソースを保護するのに役立ちます。既存の組織のポリシー構成を分析し、適用する組織のポリシーに関する推奨事項を生成します。
組織のポリシーの推奨事項の概要
組織のポリシーの推奨事項は、組織のポリシー Recommender によって生成されます。組織のポリシー Recommender は、Recommender が提供する Recommender の 1 つです。
組織のポリシーに関する推奨事項は、 Google Cloud リソースのセキュリティを強化するために、特定の組織のポリシーを設定することを示唆しています。組織のポリシーは、制約から構築されます。制約は、 Google Cloud サービスに対する制限の構成です。
組織のポリシー Recommender は、組織のポリシー分析情報を使用して、設定されていない組織のポリシーを特定します。組織のポリシーに関する分析情報は、リソースに対する組織のポリシーの制約の適用ステータス、およびリソースがその組織のポリシーに違反しているかどうかに関する検出結果です。
リソースが組織のポリシーによって制限されている状態にある場合、そのリソースは組織のポリシーに違反していると見なされます。たとえば、iam.managed.disableServiceAccountKeyCreation 制約を使用すると、サービス アカウント キーの作成を制限できます。プロジェクトでサービス アカウント キーが作成されている場合、組織のポリシー サービスはそのプロジェクトが組織のポリシーに違反していると見なします。
分析情報と推奨事項の生成方法
推奨事項は、Google Cloud リソースの使用を最適化するための提案です。推奨事項に対処するために必要な手順が含まれます。分析情報で特定された脆弱性に対処するために、ログとリソース構成の分析を使用して作成されます。
分析情報は、リソース使用の重要なパターンに積極的に焦点を合わせるために利用できる知見です。推奨事項の作成に必要なコンテキストが含まれています。
組織のポリシー Recommender は、リソース階層の最上位レベルで推奨事項を生成します。たとえば、フォルダ内のプロジェクトでサポートされている制約に違反していない場合、組織のポリシー Recommender は、プロジェクトの推奨事項ではなく、そのフォルダの推奨事項を生成します。
サポートされている制約
各推奨事項は、特定の組織のポリシーの制約に固有のものです。
サービス アカウント キーの作成
デフォルトでは、適切な権限を持つユーザーはサービス アカウント キーを作成できます。ただし、サービス アカウント キーは、正しく管理されていないとセキュリティ リスクになります。iam.managed.disableServiceAccountKeyCreation 組織のポリシー制約を使用すると、プロジェクト、フォルダ、組織内のすべてのサービス アカウントに対して、新しい外部サービス アカウント キーの作成を無効にできます。
組織のポリシー レコメンダーは、Identity and Access Management(IAM)ユーザー管理サービス アカウントとこれらのサービス アカウントの外部キーの存在を確認し、サービス アカウント キーの作成に関する制限に違反しているかどうかを評価します。
作成されたサービス アカウント キーがない場合は、組織のポリシー レコメンデーターが、iam.managed.disableServiceAccountKeyCreation 制約を適用するための推奨事項と、対応する分析情報で推奨事項の詳細を生成します。
iam.managed.disableServiceAccountKeyCreation 制約に関連する分析情報のサブタイプは ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION です。
サービス アカウント キーのアップロード
ユーザーは、ユーザーが管理する鍵ペアの公開鍵をアップロードして、サービス アカウントに関連付けることができます。公開鍵をアップロードすると、鍵ペアの秘密鍵をサービス アカウント キーとして使用できます。iam.managed.disableServiceAccountKeyUpload 組織のポリシーの制約を使用すると、プロジェクト、フォルダ、組織のサービス アカウントへの外部公開鍵のアップロードを無効にできます。
アップロードされたサービス アカウント キーがない場合は、組織のポリシー レコメンデーターが、iam.managed.disableServiceAccountKeyUpload 制約を適用するための推奨事項と、対応する分析情報で推奨事項の補足情報を生成します。
iam.managed.disableServiceAccountKeyUpload の分析情報のサブタイプは ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD です。
優先度と重要度
推奨事項の優先度と分析情報の重要度は、推奨事項または分析情報の緊急度を理解し、優先順位を付けるために役立ちます。
組織のポリシーの推奨事項の優先度
推奨事項には、緊急度に基づき優先度が割り当てられます。優先度の範囲は P1(最も高い優先度)から P4(最も低い優先度)までです。
組織のポリシーに関する推奨事項の優先度はすべて P1 です。
組織のポリシーの推奨事項の重大度
分析情報には、緊急度に基づき重要度が割り当てられます。重要度は LOW、MEDIUM、HIGH、CRITICAL のいずれかです。
組織のポリシー分析情報の重要度はすべて HIGH です。
推奨事項の適用方法
組織のポリシー Recommender は、推奨事項を自動的に適用することはありません。ユーザーが推奨事項を確認し、適用するかどうかを判断します。ロールの推奨事項を確認、適用、拒否する方法については、組織のポリシーの推奨事項を確認して適用するをご覧ください。
監査ロギング
1 つの推奨事項を適用または拒否するごとに、組織のポリシー Recommender はログエントリを 1 つ作成します。 Google Cloud の監査ログで確認できます。
料金
マネージド制約に関する組織のポリシーの推奨事項は無料で利用できます。
詳細については、お支払いについてをご覧ください。
次のステップ
Recommender の詳細を確認する。
組織のポリシーのマネージド制約の詳細を確認する。