组织政策建议概览

借助组织政策服务，客户可以通过程序化方式对组织的资源进行集中控制，从而设置限制。每种类型的限制都定义为限制条件，在概念上类似于定义受控行为的蓝图。由于安全和合规性要求会随时间推移而变化，因此创建和维护组织政策可能很复杂。

组织政策建议工具可帮助您保护 Google Cloud 资源，而不会中断客户系统。它会分析现有的组织政策配置，并生成有关要强制执行哪些组织政策的建议。

组织政策建议概览

组织政策建议由组织政策建议工具生成。组织政策建议程序是 Recommender 提供的建议程序之一。

每个组织政策建议都建议您设置特定的组织政策，以提高 Google Cloud 资源的安全性。组织政策基于限制条件构建而成，限制条件是对 Google Cloud 服务的限制配置。

组织政策建议工具使用组织政策数据分析来识别未设置的组织政策。组织政策数据分析是指与组织政策限制条件对资源的强制执行状态以及资源是否违反该组织政策相关的发现。

如果资源处于受该组织政策限制的状态，则会被视为违反了该组织政策。例如，iam.managed.disableServiceAccountKeyCreation 约束条件可让您限制创建服务账号密钥。如果在项目中创建了服务账号密钥，组织政策服务会认为该项目违反了相应组织政策。

如何生成数据分析和建议

建议是指用于优化Google Cloud 资源使用情况的建议。其中包括对建议采取措施所需的步骤，并使用日志和资源配置分析创建，以解决数据分析中指出的漏洞。

数据分析是可以用来主动关注重要资源使用模式的发现结果，其中包含创建建议所需的上下文。

组织政策建议程序会在资源层次结构中的最高级别生成建议。例如，如果文件夹下的任何项目都没有违反受支持的约束条件，组织政策建议工具会为该文件夹生成建议，而不是为项目提供建议。

支持的约束条件

每条建议都针对特定的组织政策限制条件。

服务账号密钥创建

默认情况下，具有适当权限的用户可以创建服务账号。但是，如果服务账号密钥未正确管理，则会带来安全风险。您可以使用 iam.managed.disableServiceAccountKeyCreation 组织政策限制条件，为项目、文件夹或组织下的所有服务账号停用创建新的外部服务账号密钥的功能。

组织政策建议程序会检查是否存在 Identity and Access Management (IAM) 用户代管式服务账号以及这些服务账号的外部密钥，以评估它们是否违反了对服务账号密钥创建的限制。

如果未创建任何服务账号密钥，组织政策建议工具会在相应的分析中生成强制执行 iam.managed.disableServiceAccountKeyCreation 限制条件的建议，以及该建议的支持详细信息。

与 iam.managed.disableServiceAccountKeyCreation 约束条件相关的数据分析的子类型为 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION。

服务账号密钥上传

用户可以上传用户管理的密钥对的公钥部分，以将其与服务账号相关联。上传公钥后，他们可以将密钥对中的私钥用作服务账号密钥。您可以使用 iam.managed.disableServiceAccountKeyUpload 组织政策限制条件，禁止将外部公钥上传到项目、文件夹或组织下的服务账号。

如果未上传任何服务账号密钥，组织政策建议工具会在相应的分析中生成强制执行 iam.managed.disableServiceAccountKeyUpload 约束条件的建议，以及该建议的支持详细信息。

iam.managed.disableServiceAccountKeyUpload 的数据分析的子类型为 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD。

协议转发规则

协议转发使用区域级转发规则将特定协议的数据包传送到单个虚拟机 (VM) 实例。转发规则可以使用内部 IP 地址或外部 IP 地址。

您可以使用 compute.managed.restrictProtocolForwardingCreationForTypes 组织政策限制条件来限制用户可以创建的协议转发规则对象类型。

如果未定义任何外部协议转发规则，组织政策建议程序会在相应数据分析中生成强制执行 compute.managed.restrictProtocolForwardingCreationForTypes 约束条件的建议以及建议的支持详细信息。

compute.managed.restrictProtocolForwardingCreationForTypes 的数据分析的子类型为 ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES。

优先级和严重程度

建议优先级和数据分析严重程度有助于您了解建议或数据分析的紧急程度，并据此排定优先级。

组织政策建议优先级

系统会根据建议的紧急程度为其分配优先级。优先级范围为 P1（最高优先级）到 P4（最低优先级）。

所有组织政策建议的优先级均为 P1。

组织政策建议的严重程度

系统根据数据分析的紧急程度为其分配严重性级别。严重性级别可以是 LOW、MEDIUM、HIGH 或 CRITICAL。

所有组织政策数据分析的严重程度均为 HIGH。

建议的应用方式

组织政策建议工具不会自动应用建议。而是您必须查看建议并决定是应用还是拒绝建议。如需了解如何查看、应用和拒绝角色建议，请参阅查看和应用组织政策建议。

审核日志记录

当您应用或拒绝建议时，组织政策建议程序会创建一个日志条目。您可以在 Google Cloud 审核日志中查看这些日志。

价格

针对受管理的限制条件的组织政策建议是免费提供的。

如需了解详情，请参阅结算问题。

后续步骤

• 查看并应用组织政策建议。

• 详细了解 Recommender。

• 详细了解组织政策中的托管式限制。