Si vous êtes un nouveau client, Google Cloud provisionne automatiquement une ressource d'organisation pour votre domaine dans les cas suivants:
- Un utilisateur de votre domaine se connecte pour la première fois.
- Un utilisateur crée un compte de facturation auquel aucune ressource d'organisation n'est associée.
La configuration par défaut de cette ressource d'organisation, caractérisée par un accès non restreint, peut rendre l'infrastructure vulnérable aux brèches de sécurité. Par exemple, la création de clés de compte de service par défaut est une faille critique qui expose les systèmes à d'éventuelles violations.
Avec les mesures d'application des règles d'administration sécurisées par défaut, les postures non sécurisées sont traitées à l'aide d'un ensemble de règles d'administration d'administration appliquées au moment de la création d'une ressource d'organisation. Ces mesures d'application incluent la désactivation de la création de clés de compte de service et de l'importation de clés de compte de service.
Lorsqu'un utilisateur existant crée une organisation, la stratégie de sécurité de la nouvelle ressource d'organisation est différente de celle des ressources d'organisation existantes. Cela est dû à l'application des règles d'administration sécurisées par défaut. L'application de ces règles s'appliquera aux organisations créées début 2024, au fur et à mesure que la fonctionnalité sera déployée.
En tant qu'administrateur, voici les scénarios dans lesquels ces mesures d'application des règles d'administration sont appliquées automatiquement:
- Compte Google Workspace ou Cloud Identity: lorsque vous possédez un compte Google Workspace ou Cloud Identity, une ressource d'organisation associée à votre domaine est créée. Les règles d'administration sécurisées par défaut sont appliquées automatiquement à la ressource d'organisation.
- Création d'un compte de facturation: si le compte de facturation que vous créez n'est pas associé à une ressource Organisation, une ressource Organisation est automatiquement créée. Les règles d'administration sécurisées par défaut sont appliquées à la ressource d'organisation. Ce scénario fonctionne à la fois dans la console Google Cloud et dans gcloud CLI.
Autorisations requises
Le rôle Identity and Access Management roles/orgpolicy.policyAdmin permet à un administrateur de gérer les règles d'administration. Vous devez être administrateur des règles d'administration pour les modifier ou règles d'administration remplacer.
Pour accorder le rôle, exécutez la commande suivante:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Remplacez les éléments suivants :
ORGANIZATION: identifiant unique de votre organisation.PRINCIPAL: compte principal pour lequel ajouter la liaison. Elle doit être au formatuser|group|serviceAccount:emailoudomain:domain. Exemple :user:222larabrown@gmail.comROLE: rôle à attribuer au compte principal. Utilisez le chemin d'accès complet d'un rôle prédéfini. Dans ce cas, il doit s'agir deroles/orgpolicy.policyAdmin.
Règles d'administration appliquées aux ressources de l'organisation
Le tableau suivant répertorie les contraintes liées aux règles d'administration qui sont automatiquement appliquées lorsque vous créez une ressource d'organisation.
| Nom de la règle d'administration | Contrainte liée aux règles d'administration | Description | Impact de l'application des règles |
|---|---|---|---|
| Désactiver la création de clés de compte de service | iam.disableServiceAccountKeyCreation |
Empêchez les utilisateurs de créer des clés persistantes pour les comptes de service. | Réduit le risque d'exposition des identifiants du compte de service. |
| Désactiver l'importation de clés de compte de service | iam.disableServiceAccountKeyUpload |
Empêchez l'importation de clés publiques externes vers des comptes de service. | Réduit le risque d'exposition des identifiants du compte de service. |
| Désactiver l'attribution automatique de rôles aux comptes de service par défaut | iam.automaticIamGrantsForDefaultServiceAccounts |
Empêchez les comptes de service par défaut de recevoir le rôle IAM trop permissif Editor lors de la création. |
Le rôle Editor permet au compte de service de créer et de supprimer des ressources pour la plupart des services Google Cloud, ce qui crée une faille si le compte de service est compromis. |
| Restreindre les identités par domaine | iam.allowedPolicyMemberDomains |
Limitez le partage de ressources aux identités qui appartiennent à une ressource d'organisation particulière. | Le fait de laisser la ressource de l'organisation accessible à des acteurs disposant de domaines autres que le sien crée une faille. |
| Restreindre les contacts par domaine | essentialcontacts.allowedContactDomains |
Limiter les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à recevoir des notifications de la plate-forme. | Un acteur malintentionné associé à un autre domaine peut être ajouté en tant que contact essentiel, ce qui peut compromettre votre stratégie de sécurité. |
| Accès uniforme au niveau du bucket | storage.uniformBucketLevelAccess |
Empêchez les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour fournir l'accès. | Assure la cohérence de la gestion des accès et de l'audit. |
| Utiliser un DNS zonal par défaut | compute.setNewProjectDefaultToZonalDNSOnly |
Définissez des restrictions lorsque les développeurs d'applications ne peuvent pas choisir de paramètres DNS globaux pour les instances Compute Engine. | Les paramètres DNS globaux présentent une fiabilité de service inférieure à celle des paramètres DNS zonaux. |
Gérer l'application des règles d'administration
Vous pouvez gérer l'application des règles d'administration d'administration de différentes manières:
Répertorier les règles d'administration
Pour vérifier si les règles d'administration sécurisées par défaut sont appliquées à votre organisation, utilisez la commande suivante:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'identifiant unique de votre organisation.
Désactiver les règles d'administration
Pour désactiver ou supprimer une règle d'administration, exécutez la commande suivante:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Remplacez les éléments suivants :
CONSTRAINT_NAMEest le nom de la contrainte de règle d'administration que vous souhaitez supprimer. Exemple :iam.allowedPolicyMemberDomains.ORGANIZATION_IDest l'identifiant unique de votre organisation.
Ajouter ou mettre à jour des valeurs pour une règle d'administration
Pour ajouter ou mettre à jour les valeurs d'une règle d'administration, vous devez les stocker dans un fichier YAML. Voici un exemple de contenu de ce fichier:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Pour ajouter ou mettre à jour les valeurs listées dans le fichier YAML, exécutez la commande suivante:
gcloud org-policies set-policy POLICY_FILE
Remplacez POLICY_FILE par le chemin d'accès au fichier YAML contenant les valeurs de la règle d'administration.