組織のポリシー サービスを使用すると、組織のリソースに制限を設定するための集中管理とプログラマティックな制御が可能になります。各制限タイプは制約として定義され、制御される動作を定義するブループリントと概念的に似ています。セキュリティとコンプライアンスの要件は時間の経過とともに変化するため、組織のポリシーの作成と維持は複雑になる可能性があります。
組織のポリシーの推奨事項を使用すると、お客様のシステムを中断することなく、 Google Cloud リソースを保護できます。既存の組織のポリシー構成を分析し、適用する組織のポリシーに関する推奨事項を生成します。
組織のポリシーの推奨事項の概要
組織のポリシーの推奨事項は、組織のポリシーの推奨事項によって生成されます。組織のポリシーの推奨事項は、Recommender が提供する推奨事項の一つです。
各組織のポリシーの推奨事項では、 Google Cloud リソースのセキュリティを強化するために特定の組織のポリシーを設定することが推奨されています。組織のポリシーは、制約から構築されます。制約は、 Google Cloud サービスに対する制限の構成です。
組織のポリシー Recommender は、組織のポリシー分析情報を使用して、設定されていない組織のポリシーを特定します。組織のポリシーの分析情報は、リソースに対する組織のポリシーの制約の適用状況と、リソースがその組織のポリシーに違反しているかどうかに関する結果です。
リソースが組織のポリシーによって制限されている状態にある場合、そのリソースは組織のポリシーに違反していると見なされます。たとえば、iam.managed.disableServiceAccountKeyCreation
制約を使用すると、サービス アカウント キーの作成を制限できます。サービス アカウント キーがプロジェクトで作成されている場合、Organization Policy Service はそのプロジェクトが組織のポリシーに違反していると見なします。
分析情報と推奨事項の生成方法
推奨事項とは、Google Cloud リソースの使用を最適化するための提案です。推奨事項に対処するために必要な手順が含まれており、リソース構成のログと分析を使用して作成され、分析情報で特定された脆弱性に対処します。
分析情報は、リソース使用の重要なパターンに積極的に焦点を合わせるために利用できる知見です。また、推奨事項の作成に必要なコンテキストも含まれています。
組織のポリシー Recommender は、リソース階層で可能な限り高いレベルで推奨事項を生成します。たとえば、フォルダ内のどのプロジェクトでもサポートされている制約に違反していない場合、組織のポリシーの Recommender は、プロジェクトの推奨事項を提供するのではなく、そのフォルダの推奨事項を生成します。
サポートされている制約
各推奨事項は、特定の組織のポリシーの制約に固有のものです。
サービス アカウント キーの作成
デフォルトでは、適切な権限を持つユーザーはサービス アカウント キーを作成できます。ただし、サービス アカウント キーが正しく管理されていない場合は、セキュリティ リスクが発生します。iam.managed.disableServiceAccountKeyCreation
組織のポリシーの制約を使用すると、プロジェクト、フォルダ、組織に属するすべてのサービス アカウントに対して、新しい外部サービス アカウント キーの作成を無効にできます。
組織ポリシーの推奨事項は、Identity and Access Management(IAM)のユーザー管理サービス アカウントと、これらのサービス アカウントの外部キーの存在を確認して、サービス アカウント キーの作成制限に違反しているかどうかを評価します。
作成されたサービス アカウント キーがない場合、組織のポリシーの推奨事項は、iam.managed.disableServiceAccountKeyCreation
制約を適用する推奨事項と、対応する分析情報の推奨事項の詳細を生成します。
iam.managed.disableServiceAccountKeyCreation
制約に関連する分析情報のサブタイプは ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION
です。
サービス アカウント キーのアップロード
ユーザーは、ユーザーが管理する鍵ペアの公開鍵をアップロードして、サービス アカウントに関連付けることができます。公開鍵をアップロードすると、鍵ペアの秘密鍵をサービス アカウント キーとして使用できます。iam.managed.disableServiceAccountKeyUpload
組織のポリシーの制約を使用すると、プロジェクト、フォルダ、組織のサービス アカウントへの外部公開鍵のアップロードを無効にできます。
アップロードされたサービス アカウント キーがない場合、組織のポリシーの推奨事項は、iam.managed.disableServiceAccountKeyUpload
制約を適用する推奨事項と、対応する分析情報の推奨事項の詳細を生成します。
iam.managed.disableServiceAccountKeyUpload
の分析情報のサブタイプは ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD
です。
プロトコル転送ルール
プロトコル転送は、リージョン転送ルールを使用して、特定のプロトコルのパケットを単一の仮想マシン(VM)インスタンスに送信します。転送ルールには、内部 IP アドレスまたは外部 IP アドレスを指定できます。
compute.managed.restrictProtocolForwardingCreationForTypes
組織のポリシーの制約を使用すると、ユーザーが作成できるプロトコル転送ルール オブジェクトのタイプを制限できます。
外部プロトコル転送ルールが定義されていない場合、組織のポリシー Recommender は compute.managed.restrictProtocolForwardingCreationForTypes
制約を適用する推奨事項と、対応する分析情報で推奨事項のサポートの詳細を生成します。
compute.managed.restrictProtocolForwardingCreationForTypes
の分析情報のサブタイプは ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES
です。
優先度と重要度
推奨事項の優先度と分析情報の重要度は、推奨事項または分析情報の緊急度を理解し、優先順位を付けるために役立ちます。
組織のポリシーの推奨事項の優先度
推奨事項には、緊急度に基づき優先度が割り当てられます。優先度の範囲は P1
(最も高い優先度)から P4
(最も低い優先度)までです。
すべての組織のポリシーの推奨事項の優先度は P1
です。
組織のポリシーの推奨事項の重大度
分析情報には、緊急度に基づき重要度が割り当てられます。重要度は LOW
、MEDIUM
、HIGH
、CRITICAL
のいずれかです。
すべての組織のポリシー分析情報の重要度は HIGH
です。
最適化案の適用方法
組織のポリシー Recommender は、推奨事項を自動的に適用することはありません。ユーザーが推奨事項を確認し、適用するかどうかを判断します。ロールの推奨事項を確認、適用、非表示にする方法については、組織のポリシーの推奨事項を確認して適用するをご覧ください。
監査ロギング
1 つの推奨事項を適用または拒否するごとに、組織のポリシー Recommender はログエントリを 1 つ作成します。 Google Cloud 監査ログで確認できます。
料金
マネージド制約に関する組織のポリシーの推奨事項は無料で利用できます。
詳細については、お支払いについてをご覧ください。
次のステップ
Recommender の詳細を確認する。
組織のポリシーのマネージド制約の詳細を確認する。