借助组织政策服务,客户可以集中式地以编程方式控制其组织资源,并设置相关限制。每种类型的限制都被定义为一种限制条件,在概念上类似于定义受控行为的蓝图。创建和维护组织政策可能很复杂,因为安全和合规性要求会随着时间的推移而变化。
组织政策推荐器可帮助您保护 Google Cloud 资源,而不会中断客户系统。它会分析现有的组织政策配置,并针对要强制执行的组织政策生成建议。
组织政策建议概览
组织政策建议由组织政策推荐器生成。组织政策 Recommender 是 Recommender 提供的一种 Recommender。
每项组织政策建议都建议您设置特定的组织政策,以提高 Google Cloud 资源的安全程度。组织政策由限制条件构建而成,限制条件是对 Google Cloud 服务的限制配置。
组织政策推荐器使用组织政策数据分析来识别未设置的组织政策。组织政策数据分析是指与组织政策限制条件在资源上的强制执行状态有关的发现,以及资源是否违反了相应组织政策。
如果资源处于组织政策限制的状态,则视为违反了该组织政策。例如,iam.managed.disableServiceAccountKeyCreation
限制条件可让您限制服务账号密钥的创建。如果某个项目中已创建服务账号密钥,组织政策服务会认为该项目违反了相应组织政策。
分析洞见和建议的生成方式
建议是用于优化Google Cloud 资源使用情况的建议。其中包含对建议采取措施所需的步骤,并且是根据日志和资源配置分析结果创建的,旨在解决数据洞见发现的漏洞。
数据分析是可以用来主动关注重要资源使用模式的发现结果,并且包含创建建议所需的上下文。
组织政策推荐器会在资源层次结构中尽可能高的级别生成建议。例如,如果某个文件夹下的任何项目都没有违反受支持的限制,组织政策 Recommender 会为该文件夹生成建议,而不是为项目提供建议。
支持的限制条件
每项建议都针对特定的组织政策限制条件。
服务账号密钥创建
默认情况下,拥有相应权限的用户可以创建服务账号。不过,如果服务账号密钥未正确管理,则会带来安全风险。借助 iam.managed.disableServiceAccountKeyCreation
组织政策限制条件,您可以针对项目、文件夹或组织下的所有服务账号停用创建新外部服务账号密钥的功能。
组织政策推荐器会检查是否存在 Identity and Access Management (IAM) 用户代管式服务账号以及这些服务账号的外部密钥,以评估它们是否违反了有关服务账号密钥创建的限制。
如果未创建任何服务账号密钥,组织政策推荐器会生成一条建议,以强制执行 iam.managed.disableServiceAccountKeyCreation
限制条件,并在相应的数据洞见中提供该建议的支持详细信息。
与 iam.managed.disableServiceAccountKeyCreation
限制条件相关的数据分析的子类型为 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION
。
服务账号密钥上传
用户可以上传用户管理的密钥对的公钥部分,以将其与服务账号相关联。上传公钥后,他们可以将密钥对中的私钥用作服务账号密钥。使用 iam.managed.disableServiceAccountKeyUpload
组织政策限制条件,您可以禁止将外部公钥上传到项目、文件夹或组织下的服务账号。
如果没有已上传的服务账号密钥,组织政策推荐器会生成一条建议,以强制执行 iam.managed.disableServiceAccountKeyUpload
限制条件,并在相应的数据洞见中提供建议的支持详细信息。
iam.managed.disableServiceAccountKeyUpload
的数据分析的子类型为 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD
。
协议转发规则
协议转发使用区域级转发规则将特定协议的数据包传送到单个虚拟机 (VM) 实例。转发规则可以使用内部或外部 IP 地址。
借助 compute.managed.restrictProtocolForwardingCreationForTypes
组织政策限制条件,您可以限制用户可以创建的协议转发规则对象类型。
如果未定义任何外部协议转发规则,组织政策推荐器会生成一项建议,以强制执行 compute.managed.restrictProtocolForwardingCreationForTypes
限制,并在相应的数据洞见中提供建议的支持详细信息。
compute.managed.restrictProtocolForwardingCreationForTypes
的数据分析的子类型为 ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES
。
优先级和严重程度
建议优先级和数据分析严重程度有助于您了解建议或数据分析的紧急程度,并据此排定优先级。
组织政策建议优先级
系统会根据建议的紧急程度为其分配优先级。优先级范围为 P1
(最高优先级)到 P4
(最低优先级)。
所有组织政策建议的优先级均为 P1
。
组织政策建议严重程度
系统根据数据分析的紧急程度为其分配严重性级别。严重性级别可以是 LOW
、MEDIUM
、HIGH
或 CRITICAL
。
所有组织政策数据分析的严重程度均为 HIGH
。
建议的应用方式
组织政策 Recommender 不会自动应用建议。而是您必须查看建议并决定是应用还是拒绝建议。如需了解如何查看、应用和拒绝角色建议,请参阅查看和应用组织政策建议。
审核日志记录
当您应用或拒绝建议时,组织政策 Recommender 会创建一个日志条目。您可以在 Google Cloud 审核日志中查看这些操作。
价格
组织政策建议(针对托管式限制)可免费使用。
如需了解详情,请参阅结算问题。
后续步骤
详细了解 Recommender。
详细了解组织政策中的托管式限制。