O Organization Policy Service oferece aos clientes controle centralizado e programático para definir restrições nos recursos da organização. Cada tipo de restrição é definido como uma restrição e é conceitualmente semelhante a um modelo que define quais comportamentos são controlados. Criar e manter políticas da organização pode ser complicado, já que os requisitos de segurança e conformidade mudam com o tempo.
O recomendador de políticas da organização ajuda a proteger seus recursos do Google Cloud , sem interromper os sistemas do cliente. Ele analisa as configurações de política da organização e gera recomendações sobre quais políticas da organização aplicar.
Visão geral das recomendações de políticas da organização
As recomendações de políticas da organização são geradas pelo recomendador de políticas da organização. O recomendador de políticas da organização é um dos recomendadores oferecidos pelo Recommender.
Cada recomendação de política da organização sugere que você defina uma política específica para melhorar a segurança dos seus recursos do Google Cloud . Uma política da organização é criada a partir de uma restrição, que é uma configuração de restrições em um serviço do Google Cloud .
O recomendador de políticas da organização usa insights de políticas da organização para identificar políticas que não foram definidas. Os insights de políticas da organização são encontrados sobre o status de aplicação de uma restrição de política da organização aos seus recursos e se eles estão em violação dessa política.
Um recurso é considerado em violação de uma política da organização se estiver em um
estado restrito por essa política. Por exemplo, a
restrição iam.managed.disableServiceAccountKeyCreation permite que você restrinja a
criação de chaves de conta de serviço. Se uma chave de conta de serviço foi criada em um
projeto, o serviço de política da organização considera que esse projeto viola essa
política.
Como os insights e recomendações são gerados
Uma recomendação é uma sugestão para otimizar o uso de recursos doGoogle Cloud . Ele inclui as etapas necessárias para tomar uma ação com base na recomendação e é criado usando registros e análises das configurações de recursos para resolver as vulnerabilidades identificadas pelo insight.
Os insights são descobertas que você pode usar para se concentrar proativamente em padrões importantes no uso de recursos e conter o contexto necessário para criar uma recomendação.
O recomendador de políticas da organização gera recomendações no nível mais alto possível na hierarquia de recursos. Por exemplo, se não houver violações de uma restrição com suporte em nenhum projeto de uma pasta, o recomendador de políticas da organização vai gerar a recomendação para essa pasta, em vez de fornecer recomendações para os projetos.
Restrições compatíveis
Cada recomendação é específica para uma restrição específica da política da organização.
Criação de chave de conta de serviço
Por padrão, os usuários com as permissões adequadas podem
criar chaves de conta de serviço. No entanto, as chaves
de conta de serviço são um risco de segurança quando não são gerenciadas corretamente. Usando a
restrição de política da organização iam.managed.disableServiceAccountKeyCreation,
é possível desativar a criação de novas chaves de conta de serviço externas para todas
as contas de serviço em um projeto, pasta ou organização.
O recomendador de políticas da organização verifica a existência de contas serviço gerenciado pelo usuário e chaves externas do IAM para avaliar se elas violam as restrições de criação de chaves de conta de serviço.
Se não houver chaves de conta de serviço criadas, o recomendador de políticas da organização
gerará uma recomendação para aplicar a restrição
iam.managed.disableServiceAccountKeyCreation e os detalhes de suporte
da recomendação nos insights correspondentes.
Os insights relacionados à restrição iam.managed.disableServiceAccountKeyCreation
têm o subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Upload da chave da conta de serviço
Os usuários podem fazer upload da parte da chave pública de um
par de chaves gerenciado pelo usuário para associá-lo a uma conta de serviço. Depois de fazer upload
da chave pública, o usuário pode usar a chave privada do par de chaves como uma chave de conta
de serviço. Usando a restrição de política da organização iam.managed.disableServiceAccountKeyUpload,
é possível desativar o upload de chaves públicas externas para contas de serviço
em um projeto, uma pasta ou uma organização.
Se não houver chaves de conta de serviço enviadas, o recomendador de políticas da organização
gerará uma recomendação para aplicar a restrição
iam.managed.disableServiceAccountKeyUpload e os detalhes de suporte
da recomendação nos insights correspondentes.
Os insights de iam.managed.disableServiceAccountKeyUpload têm o
subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regras de encaminhamento de protocolo
O encaminhamento de protocolo usa uma regra de encaminhamento regional para entregar pacotes de um protocolo específico a uma única instância de máquina virtual (VM). A regra de encaminhamento pode ter um endereço IP interno ou externo.
Usando a restrição de política da organização compute.managed.restrictProtocolForwardingCreationForTypes, é possível restringir o tipo de objetos de regra de encaminhamento de protocolo que um usuário pode criar.
Se não houver regras de encaminhamento de protocolo externo definidas,
o recomendador de políticas da organização vai gerar uma recomendação para aplicar a
restrição compute.managed.restrictProtocolForwardingCreationForTypes e
detalhes de suporte da recomendação nos insights correspondentes.
Os insights para compute.managed.restrictProtocolForwardingCreationForTypes
têm o subtipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Prioridade e gravidade
A prioridade da recomendação e a gravidade do insight ajudam você a entender a urgência de uma recomendação ou um insight e a priorizar de acordo.
Prioridade de recomendação da política da organização
Uma recomendação recebe um nível de prioridade com base na urgência percebida.
Os níveis de prioridade variam de P1 (prioridade mais alta) a P4 (prioridade mais baixa).
Todas as recomendações de políticas da organização têm prioridade P1.
Gravidade da recomendação de política da organização
Os insights recebem níveis de gravidade com base na urgência percebida. Os níveis
de gravidade podem ser LOW, MEDIUM, HIGH ou CRITICAL.
Todos os insights de política da organização têm uma gravidade de HIGH.
Como as recomendações são aplicadas
O recomendador de políticas da organização não aplica recomendações automaticamente. Em vez disso, você precisa avaliar as recomendações e decidir se quer aplicá-las ou dispensá-las. Para saber como analisar, aplicar e dispensar recomendações de papéis, consulte Analisar e aplicar recomendações de políticas da organização.
Registro de auditoria
Quando você aplica ou dispensa uma recomendação, o recomendador de políticas da organização cria uma entrada de registro. Você pode acessar esses registros nos Google Cloud .
Preços
As recomendações de políticas da organização para restrições gerenciadas estão disponíveis sem custos financeiros.
Para mais informações, consulte Perguntas sobre faturamento.
A seguir
Analise e aplique as recomendações da política da organização.
Saiba mais sobre o Recomendador.
Saiba mais sobre as restrições gerenciadas na política da organização.