機構政策服務可讓客戶透過程式以集中方式控管機構資源,並設定限制。每種限制類型都定義為限制,概念上類似於定義受控行為的藍圖。建立及維護機構政策可能很複雜,因為安全性與法規遵循要求會隨時間變更。
機構政策建議工具可協助您保護 Google Cloud 資源 ,同時確保客戶系統正常運作。這項工具會分析現有的機構政策設定,並建議要強制執行的機構政策。
機構政策建議總覽
機構政策建議是由機構政策建議工具產生。組織政策建議工具是 建議工具提供的其中一項建議工具。
每項機構政策建議都會建議您設定特定機構政策,以提升 Google Cloud 資源的安全性。機構政策是由限制所建構,限制是指對 Google Cloud 服務的限制設定。
機構政策建議工具會使用機構政策洞察,找出未設定的機構政策。機構政策洞察是關於資源機構政策限制強制執行狀態的發現,以及資源是否違反該機構政策。
如果資源處於機構政策限制的狀態,即視為違反機構政策。舉例來說,您可以透過 iam.managed.disableServiceAccountKeyCreation 限制服務帳戶金鑰的建立作業。如果專案中已建立服務帳戶金鑰,組織政策服務會將該專案視為違反組織政策。
深入分析和建議的產生方式
建議是針對如何最佳化Google Cloud 資源使用量提出的建議。這項建議會根據資源設定的記錄和分析結果建立,並提供相關步驟,協助您採取行動來解決洞察資訊發現的安全性弱點。
洞察是您可主動使用的發現,可協助您專注於資源用量的重大模式,並包含建立建議所需的背景資訊。
機構政策建議工具會在資源階層中,盡可能產生最高層級的建議。舉例來說,如果資料夾下的任何專案都沒有違反支援的限制,機構政策建議工具就會為該資料夾產生建議,而不是為專案提供建議。
支援的限制
每項建議都與特定機構政策限制相關。
建立服務帳戶金鑰
根據預設,具備適當權限的使用者可以建立服務帳戶金鑰。不過,如果服務帳戶金鑰管理不當,就會帶來安全風險。使用 iam.managed.disableServiceAccountKeyCreation 機構政策限制,您可以針對專案、資料夾或機構中的所有服務帳戶,停用建立新外部服務帳戶金鑰的功能。
組織政策建議工具會檢查身分與存取權管理 (IAM) 使用者管理的服務帳戶和這些服務帳戶的外部金鑰是否存在,評估是否違反服務帳戶金鑰建立限制。
如果沒有已建立的服務帳戶金鑰,機構政策建議工具會產生建議,強制執行 iam.managed.disableServiceAccountKeyCreation 限制,並在對應的洞察資料中提供建議的支援詳細資料。
與 iam.managed.disableServiceAccountKeyCreation 限制相關的洞察資訊具有 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION 子類型。
上傳服務帳戶金鑰
使用者可以上傳公開金鑰部分的使用者管理金鑰組,將其與服務帳戶建立關聯。上傳公開金鑰後,即可使用金鑰組的私密金鑰做為服務帳戶金鑰。您可以使用 iam.managed.disableServiceAccountKeyUpload 機構政策限制,停用將外部公開金鑰上傳至專案、資料夾或機構下服務帳戶的功能。
如果沒有上傳服務帳戶金鑰,組織政策建議工具會產生強制執行 iam.managed.disableServiceAccountKeyUpload 限制的建議,並在對應的洞察資料中提供建議的支援詳細資料。
「iam.managed.disableServiceAccountKeyUpload」的深入分析結果具有子類型 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD。
通訊協定轉送規則
通訊協定轉送會使用區域轉送規則,將特定通訊協定的封包傳送至單一虛擬機器 (VM) 執行個體。轉送規則可以有內部或外部 IP 位址。
使用 compute.managed.restrictProtocolForwardingCreationForTypes 機構政策限制,您可以限制使用者可建立的通訊協定轉送規則物件類型。
如果沒有定義任何外部通訊協定轉送規則,機構政策建議工具會產生建議,強制執行 compute.managed.restrictProtocolForwardingCreationForTypes 限制,並在對應的洞察資料中提供建議的支援詳細資料。
「compute.managed.restrictProtocolForwardingCreationForTypes」的深入分析結果具有 ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES 子類型。
優先順序和嚴重性
建議優先順序和洞察嚴重程度可協助您瞭解建議或洞察的緊急程度,並據此排定優先順序。
機構政策建議優先順序
系統會根據建議的迫切程度指派優先層級。
優先順序從 P1 (最高優先順序) 到 P4 (最低優先順序)。
所有機構政策建議的優先順序均為 P1。
機構政策建議嚴重程度
洞察資料會根據預期的迫切程度指派嚴重層級。嚴重程度可以是 LOW、MEDIUM、HIGH 或 CRITICAL。
所有機構政策洞察資訊的嚴重程度均為 HIGH。
如何套用最佳化建議
機構政策建議工具不會自動套用建議。您必須查看建議,然後決定是否要套用或捨棄。如要瞭解如何查看、套用及略過角色建議,請參閱「查看及套用機構政策建議」。
稽核記錄
套用或關閉建議時,機構政策建議工具會建立記錄項目。您可以在稽核記錄 Google Cloud 中查看這些變更。
定價
受管理限制的機構政策建議可免付費使用。
詳情請參閱「帳單問題」。