O serviço de políticas da organização dá aos clientes um controlo centralizado e programático para definir restrições nos recursos da respetiva organização. Cada tipo de restrição é definido como uma restrição e é conceptualmente semelhante a um projeto que define os comportamentos controlados. A criação e a manutenção de políticas da organização podem ser complicadas, uma vez que os requisitos de segurança e conformidade mudam ao longo do tempo.
O recomendador de políticas da organização ajuda a proteger os seus Google Cloud recursos sem interromper os sistemas dos clientes. Analisa as configurações das políticas da organização existentes e gera recomendações sobre as políticas da organização a aplicar.
Vista geral das recomendações de políticas da organização
As recomendações de políticas da organização são geradas pelo recomendador de políticas da organização. O recomendador de políticas de organização é um dos recomendadores que o Recomendador oferece.
Cada recomendação de política de organização sugere que defina uma política de organização específica para melhorar a segurança dos seus Google Cloud recursos. Uma política da organização é criada a partir de uma restrição, que é uma configuração de restrições num Google Cloud serviço.
O recomendador de políticas da organização usa estatísticas das políticas da organização para identificar políticas da organização que não estão definidas. As informações da política da organização são conclusões relativas ao estado de aplicação de uma restrição da política da organização nos seus recursos e se os seus recursos estão em violação dessa política da organização.
Um recurso é considerado em violação de uma política da organização se estiver num estado restrito por essa política da organização. Por exemplo, a restrição iam.managed.disableServiceAccountKeyCreation permite restringir a criação de chaves de contas de serviço. Se tiver sido criada uma chave de conta de serviço num projeto, o serviço de políticas da organização considera que esse projeto está em violação dessa política da organização.
Como são geradas as estatísticas e as recomendações
Uma recomendação é uma sugestão para otimizar a sua utilização de Google Cloud recursos. Inclui os passos necessários para tomar medidas relativamente à recomendação e é criada através de registos e análises das configurações dos seus recursos para resolver as vulnerabilidades identificadas pela estatística.
As estatísticas são conclusões que pode usar para se focar proativamente em padrões importantes na utilização de recursos e contêm o contexto necessário para criar uma recomendação.
O recomendador de políticas da organização gera recomendações ao nível mais elevado possível na hierarquia de recursos. Por exemplo, se não existirem violações de uma restrição suportada em nenhum projeto numa pasta, o recomendador de políticas de organização gera a recomendação para essa pasta, em vez de fornecer recomendações para os projetos.
Restrições suportadas
Cada recomendação é específica de uma restrição de política da organização em particular.
Criação de chave de conta de serviço
Por predefinição, os utilizadores com as autorizações adequadas podem criar chaves de contas de serviço. No entanto, as chaves de conta de serviço representam um risco de segurança se não forem geridas corretamente. Usando a restrição da política da organização iam.managed.disableServiceAccountKeyCreation, pode desativar a criação de novas chaves de contas de serviço externas para todas as contas de serviço num projeto, numa pasta ou numa organização.
O recomendador de políticas da organização verifica a existência de contas de serviço geridas pelo utilizador da gestão de identidade e acesso (IAM) e chaves externas destas contas de serviço para avaliar se violam as restrições na criação de chaves de contas de serviço.
Se não existirem chaves de contas de serviço criadas, o recomendador de políticas da organização gera uma recomendação para aplicar a restrição iam.managed.disableServiceAccountKeyCreation e os detalhes de apoio da recomendação nas estatísticas correspondentes.
As estatísticas relacionadas com a restrição iam.managed.disableServiceAccountKeyCreation têm o subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Carregamento da chave da conta de serviço
Os utilizadores podem carregar a parte da chave pública de um par de chaves gerido pelo utilizador para a associar a uma conta de serviço. Depois de carregar a chave pública, podem usar a chave privada do par de chaves como uma chave de conta de serviço. Usando a restrição da política da organização iam.managed.disableServiceAccountKeyUpload, pode desativar o carregamento de chaves públicas externas para contas de serviço num projeto, numa pasta ou numa organização.
Se não existirem chaves de contas de serviço carregadas, o recomendador de políticas da organização gera uma recomendação para aplicar a restrição iam.managed.disableServiceAccountKeyUpload e os detalhes de apoio da recomendação nas estatísticas correspondentes.
As estatísticas para iam.managed.disableServiceAccountKeyUpload têm o subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regras de encaminhamento de protocolos
O encaminhamento de protocolos usa uma regra de encaminhamento regional para entregar pacotes de um protocolo específico a uma única instância de máquina virtual (VM). A regra de encaminhamento pode ter um endereço IP interno ou externo.
Ao usar a restrição da política da organização, pode restringir o tipo de objetos de regras de encaminhamento de protocolos que um utilizador pode criar.compute.managed.restrictProtocolForwardingCreationForTypes
Se não existirem regras de encaminhamento de protocolos externos definidas, o recomendador de políticas da organização gera uma recomendação para aplicar a restrição compute.managed.restrictProtocolForwardingCreationForTypes e os detalhes de apoio da recomendação nas estatísticas correspondentes.
As estatísticas para compute.managed.restrictProtocolForwardingCreationForTypes
têm o subtipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Prioridade e gravidade
A prioridade das recomendações e a gravidade das estatísticas ajudam a compreender a urgência de uma recomendação ou uma estatística e a dar-lhes prioridade em conformidade.
Prioridade da recomendação de política da organização
É atribuído um nível de prioridade a uma recomendação com base na urgência percebida.
Os níveis de prioridade variam de P1 (prioridade mais alta) a P4 (prioridade mais baixa).
Todas as recomendações de políticas da organização têm uma prioridade de P1.
Gravidade da recomendação da política da organização
As estatísticas são atribuídas a níveis de gravidade com base na urgência percebida. Os níveis de gravidade podem ser LOW, MEDIUM, HIGH ou CRITICAL.
Todas as estatísticas das políticas da organização têm uma gravidade de HIGH.
Como são aplicadas as recomendações
O recomendador de políticas da organização não aplica recomendações automaticamente. Em alternativa, tem de rever as recomendações e decidir se as aplica ou as ignora. Para saber como rever, aplicar e ignorar recomendações de funções, consulte o artigo Reveja e aplique recomendações de políticas da organização.
Registo de auditoria
Quando aplica ou ignora uma recomendação, o recomendador de políticas de organização cria uma entrada de registo. Pode vê-las nos seus Google Cloud registos de auditoria.
Preços
As recomendações de políticas da organização para restrições geridas estão disponíveis sem custo financeiro.
Para mais informações, consulte o artigo Perguntas sobre faturação.
O que se segue?
Saiba mais sobre o Recommender.
Saiba mais acerca das restrições geridas na política da organização.