Wenn Sie ein neuer Kunde sind, stellt Google Cloud in den folgenden Fällen automatisch eine Organisationsressource für Ihre Domain bereit:
- Ein Nutzer aus Ihrer Domain meldet sich zum ersten Mal an.
- Ein Nutzer erstellt ein Abrechnungskonto, das keiner Organisationsressource zugeordnet ist.
Die Standardkonfiguration dieser Organisationsressource, die sich durch unbegrenzten Zugriff auszeichnet, kann die Infrastruktur anfällig für Sicherheitsverletzungen machen. Das Erstellen von Standarddienstkontoschlüsseln ist beispielsweise eine kritische Sicherheitslücke, die Systeme potenziellen Sicherheitsverletzungen aussetzt.
Bei der Durchsetzung von standardmäßig sicheren Organisationsrichtlinien werden unsichere Sicherheitsstatus mit einem Bündel von Organisationsrichtlinien angegangen, die beim Erstellen einer Organisationsressource erzwungen werden. Beispiele für diese Erzwingungen sind das Deaktivieren des Erstellens und Hochladens von Dienstkontoschlüsseln.
Wenn ein vorhandener Nutzer eine Organisation erstellt, kann die Sicherheitskonfiguration für die neue Organisationsressource von den vorhandenen Organisationsressourcen abweichen. Standardmäßig sichere Organisationsrichtlinien werden für alle Organisationen erzwungen, die am oder nach dem 3. Mai 2024 erstellt wurden. Bei einigen Organisationen, die zwischen Februar 2024 und April 2024 erstellt wurden, sind diese Standardrichtlinien möglicherweise ebenfalls aktiviert. Informationen zu den auf Ihre Organisation angewendeten Organisationsrichtlinien finden Sie unter Organisationsrichtlinien aufrufen.
Als Administrator können Sie die folgenden Szenarien festlegen, in denen diese Erzwingungen von Organisationsrichtlinien automatisch angewendet werden:
- Google Workspace- oder Cloud Identity-Konto: Wenn Sie ein Google Workspace- oder Cloud Identity-Konto haben, wird eine Organisationsressource erstellt, die mit Ihrer Domain verknüpft ist. Die standardmäßigen Sicherheitsrichtlinien der Organisation werden automatisch auf die Organisationsressource angewendet.
- Erstellen eines Rechnungskontos: Wenn das von Ihnen erstellte Rechnungskonto nicht mit einer Organisationsressource verknüpft ist, wird automatisch eine Organisationsressource erstellt. Die standardmäßig sicheren Organisationsrichtlinien werden auf die Organisationsressource angewendet. Dieses Szenario funktioniert sowohl in der Google Cloud Console als auch in der gcloud CLI.
Erforderliche Berechtigungen
Die IAM-Rolle (Identity and Access Management) roles/orgpolicy.policyAdmin
ermöglicht einem Administrator die Verwaltung von Organisationsrichtlinien. Sie müssen Administrator für Organisationsrichtlinien sein, um Organisationsrichtlinien ändern oder überschreiben zu können.
Führen Sie zum Zuweisen der Rolle den folgenden Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Ersetzen Sie Folgendes:
ORGANIZATION
: Eindeutige Kennung Ihrer Organisation.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Dieser muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben. Beispiel:user:222larabrown@gmail.com
ROLE
: Rolle, die dem Hauptkonto gewährt werden soll. Verwenden Sie den vollständigen Pfad einer vordefinierten Rolle. In diesem Fall sollte esroles/orgpolicy.policyAdmin
sein.
Organisationsrichtlinien, die für Organisationsressourcen erzwungen werden
In der folgenden Tabelle sind die Einschränkungen der Organisationsrichtlinie aufgeführt, die automatisch erzwungen werden, wenn Sie eine Organisationsressource erstellen.
Name der Organisationsrichtlinie | Einschränkung der Organisationsrichtlinie | Beschreibung | Auswirkungen der Erzwingung |
---|---|---|---|
Erstellen von Dienstkontoschlüsseln deaktivieren | constraints/iam.disableServiceAccountKeyCreation |
Verhindern, dass Nutzer persistente Schlüssel für Dienstkonten erstellen Informationen zum Verwalten von Dienstkontoschlüsseln finden Sie unter Alternativen zum Erstellen von Dienstkontoschlüsseln anbieten. | Das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden, wird verringert. |
Hochladen von Dienstkontoschlüsseln deaktivieren | constraints/iam.disableServiceAccountKeyUpload |
Verhindert das Hochladen externer öffentlicher Schlüssel in Dienstkonten. Informationen zum Zugriff auf Ressourcen ohne Dienstkontoschlüssel finden Sie in diesen Best Practices. | Das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden, wird verringert. |
Standarddienstberechtigungen für Standarddienstkonten deaktivieren | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Verhindert, dass Standarddienstkonten beim Erstellen die IAM-Rolle Editor mit übermäßigen Berechtigungen erhalten. |
Mit der Rolle Editor kann das Dienstkonto Ressourcen für die meisten Google Cloud-Dienste erstellen und löschen. Dies stellt eine Sicherheitslücke dar, wenn das Dienstkonto manipuliert wird. |
Identitäten nach Domain einschränken | constraints/iam.allowedPolicyMemberDomains |
Beschränken Sie die Ressourcenfreigabe auf Identitäten, die zu einer bestimmten Organisationsressource gehören. | Wenn die Ressourcen der Organisation für Akteure mit anderen Domains als der des Kunden zugänglich sind, entsteht eine Sicherheitslücke. |
Kontakte nach Domain einschränken | constraints/essentialcontacts.allowedContactDomains |
Beschränken Sie „Wichtige Kontakte“ so, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten. | Böswillige Akteure mit einer anderen Domain können als wichtige Kontakte hinzugefügt werden, was zu einer beeinträchtigten Sicherheit führt. |
Einheitlicher Zugriff auf Bucket-Ebene | constraints/storage.uniformBucketLevelAccess |
Verhindern, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. | Erzwingt Konsistenz bei der Zugriffsverwaltung und -prüfung. |
Zonales DNS standardmäßig verwenden | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Sie können Einschränkungen festlegen, durch die Anwendungsentwickler keine globalen DNS-Einstellungen für Compute Engine-Instanzen auswählen können. | Globale DNS-Einstellungen bieten eine geringere Dienstzuverlässigkeit als zonale DNS-Einstellungen. |
Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken | constraints/compute.restrictProtocolForwardingCreationForTypes |
Beschränken Sie die Konfiguration der Protokollweiterleitung auf interne IP-Adressen. | Schützt Zielinstanzen vor externem Traffic. |
Durchsetzung von Organisationsrichtlinien verwalten
Sie haben folgende Möglichkeiten, die Durchsetzung von Organisationsrichtlinien zu verwalten:
Organisationsrichtlinien auflisten
Mit dem folgenden Befehl können Sie prüfen, ob die standardmäßig sicheren Organisationsrichtlinien für Ihre Organisation erzwungen werden:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID
durch die eindeutige Kennzeichnung Ihrer Organisation.
Organisationsrichtlinien deaktivieren
Führen Sie den folgenden Befehl aus, um eine Organisationsrichtlinie zu deaktivieren oder zu löschen:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME
ist der Name der Einschränkung der Organisationsrichtlinie, die Sie löschen möchten. Ein Beispiel dafür istiam.allowedPolicyMemberDomains
.ORGANIZATION_ID
ist die eindeutige Kennzeichnung Ihrer Organisation.
Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren
Wenn Sie Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren möchten, müssen Sie die Werte in einer YAML-Datei speichern. Hier ein Beispiel für den Inhalt dieser Datei:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Führen Sie den folgenden Befehl aus, um diese in der YAML-Datei aufgeführten Werte hinzuzufügen oder zu aktualisieren:
gcloud org-policies set-policy POLICY_FILE
Ersetzen Sie POLICY_FILE
durch den Pfad zur YAML-Datei, die die Werte der Organisationsrichtlinie enthält.