O Organization Policy Service oferece aos clientes controle centralizado e programático para definir restrições nos recursos da organização. Cada tipo de restrição é definido como uma restrição e é conceitualmente semelhante a um esquema que define quais comportamentos são controlados. Criar e manter políticas da organização pode ser complicado, já que os requisitos de segurança e conformidade mudam com o tempo.
O recomendador de políticas da organização ajuda a proteger seus recursos do Google Cloud sem interromper os sistemas dos clientes. Ele analisa as configurações atuais de políticas da organização e gera recomendações sobre quais políticas aplicar.
Visão geral das recomendações de políticas da organização
As recomendações de políticas da organização são geradas pelo recomendador de políticas da organização. O recomendador de políticas da organização é um dos recomendadores oferecidos pelo Recommender.
Cada recomendação de política da organização sugere que você defina uma política específica para melhorar a segurança dos seus recursos do Google Cloud . Uma política da organização é criada com base em uma restrição, que é uma configuração de limitações em um serviço do Google Cloud .
O recomendador de políticas da organização usa insights de políticas da organização para identificar políticas que não estão definidas. Os insights de política da organização são descobertas sobre o status de aplicação de uma restrição de política da organização nos seus recursos e se eles estão em violação dessa política.
Um recurso é considerado em violação de uma política da organização se estiver em um estado restrito por essa política. Por exemplo, a restrição iam.managed.disableServiceAccountKeyCreation permite restringir a criação de chaves de conta de serviço. Se uma chave de conta de serviço for criada em um projeto, o serviço de política da organização vai considerar que esse projeto viola a política.
Como os insights e as recomendações são gerados
Uma recomendação é uma sugestão para otimizar o uso de recursos doGoogle Cloud . Ela inclui as etapas necessárias para tomar a recomendação e é criada usando registros e análises das configurações de recursos para resolver as vulnerabilidades identificadas pelo insight.
Os insights são descobertas que você pode usar para focar proativamente em padrões importantes no uso de recursos e contêm o contexto necessário para criar uma recomendação.
O recomendador de políticas da organização gera recomendações no nível mais alto possível da hierarquia de recursos. Por exemplo, se não houver violações de uma restrição compatível em nenhum projeto de uma pasta, o recomendador de políticas da organização vai gerar a recomendação para essa pasta, em vez de fornecer recomendações para os projetos.
Restrições aceitas
Cada recomendação é específica para uma restrição de política da organização.
Criação de chave de conta de serviço
Por padrão, os usuários com as permissões adequadas podem
criar chaves de conta de serviço. No entanto, as chaves de
conta de serviço são um risco de segurança quando não são gerenciadas corretamente. Com a restrição de política da organização iam.managed.disableServiceAccountKeyCreation, é possível desativar a criação de novas chaves de conta de serviço externas para todas as contas de serviço em um projeto, uma pasta ou uma organização.
O recomendador de políticas da organização verifica a existência de contas de serviço gerenciado pelo usuário do Identity and Access Management (IAM) e chaves externas dessas contas para avaliar se elas violam as restrições na criação de chaves de conta de serviço.
Se não houver chaves de conta de serviço criadas, o recomendador da política da organização
vai gerar uma recomendação para aplicar a restrição
iam.managed.disableServiceAccountKeyCreation e os detalhes
correspondentes nos insights.
Os insights relacionados à restrição iam.managed.disableServiceAccountKeyCreation têm o subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Upload de chaves da conta de serviço
Os usuários podem fazer upload da parte da chave pública de um
par de chaves gerenciadas pelo usuário para associá-la a uma conta de serviço. Depois de fazer upload
da chave pública, é possível usar a chave privada do par de chaves como uma chave de
conta de serviço. Com a restrição de política da organização iam.managed.disableServiceAccountKeyUpload, é possível desativar o upload de chaves públicas externas para contas de serviço em um projeto, uma pasta ou uma organização.
Se não houver chaves de conta de serviço enviadas, o Recomendador de políticas da organização vai gerar uma recomendação para aplicar a restrição iam.managed.disableServiceAccountKeyUpload e detalhes de suporte da recomendação nos insights correspondentes.
Os insights para o iam.managed.disableServiceAccountKeyUpload têm o
subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regras de encaminhamento de protocolo
O encaminhamento de protocolo usa uma regra de encaminhamento regional para entregar pacotes de um protocolo específico a uma única instância de máquina virtual (VM). A regra de encaminhamento pode ter um endereço IP interno ou externo.
Com a restrição de política da organização compute.managed.restrictProtocolForwardingCreationForTypes, é possível restringir o tipo de objetos de regra de encaminhamento de protocolo que um usuário pode criar.
Se não houver regras de encaminhamento de protocolo externo definidas, o recomendador de política da organização vai gerar uma recomendação para aplicar a restrição compute.managed.restrictProtocolForwardingCreationForTypes e os detalhes de suporte da recomendação nos insights correspondentes.
Os insights para o compute.managed.restrictProtocolForwardingCreationForTypes
têm o subtipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Prioridade e gravidade
A prioridade da recomendação e a gravidade do insight ajudam você a entender a urgência de uma recomendação ou um insight e a priorizar de acordo.
Prioridade de recomendação da política da organização
Uma recomendação recebe um nível de prioridade com base na urgência percebida.
Os níveis de prioridade variam de P1 (prioridade mais alta) a P4 (prioridade mais baixa).
Todas as recomendações de políticas da organização têm uma prioridade de P1.
Gravidade da recomendação de política da organização
Os insights recebem níveis de gravidade com base na urgência percebida. Os níveis
de gravidade podem ser LOW, MEDIUM, HIGH ou CRITICAL.
Todos os insights de política da organização têm uma gravidade de HIGH.
Como as recomendações são aplicadas
O recomendador de políticas da organização não aplica recomendações automaticamente. Em vez disso, você precisa avaliar as recomendações e decidir se quer aplicá-las ou dispensá-las. Para saber como analisar, aplicar e dispensar recomendações de papéis, consulte Analisar e aplicar recomendações de política da organização.
Registro de auditoria
Quando você aplica ou descarta uma recomendação, o recomendador de políticas da organização cria uma entrada de registro. É possível conferir essas informações nos Google Cloud registros de auditoria.
Preços
As recomendações de política da organização para restrições gerenciadas estão disponíveis sem custos financeiros.
Para mais informações, consulte Perguntas de faturamento.
A seguir
Analise e aplique as recomendações de políticas da organização.
Saiba mais sobre o Recomendador.
Saiba mais sobre as restrições gerenciadas na política da organização.