Mengelola resource organisasi yang aman secara default

Jika Anda adalah pelanggan baru, Google Cloud akan otomatis menyediakan resource organisasi untuk domain Anda dalam skenario berikut:

  • Pengguna dari domain Anda login untuk pertama kalinya.
  • Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.

Konfigurasi default resource organisasi ini, yang ditandai dengan akses tanpa batasan, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default adalah kerentanan kritis yang mengekspos sistem terhadap potensi pelanggaran.

Dengan penerapan kebijakan organisasi yang aman secara default, postur yang tidak aman akan diatasi dengan paket kebijakan organisasi yang diterapkan pada saat pembuatan resource organisasi. Contoh penerapan ini meliputi menonaktifkan pembuatan kunci akun layanan dan menonaktifkan upload kunci akun layanan.

Saat pengguna yang ada membuat organisasi, postur keamanan untuk resource organisasi baru mungkin berbeda dengan resource organisasi yang ada. Kebijakan organisasi aman secara default diterapkan untuk semua organisasi yang dibuat pada atau setelah 3 Mei 2024. Beberapa organisasi yang dibuat antara Februari 2024 dan April 2024 mungkin juga telah menetapkan penerapan kebijakan default ini. Untuk melihat kebijakan organisasi yang diterapkan ke organisasi Anda, lihat Melihat kebijakan organisasi.

Sebagai administrator, berikut adalah skenario penerapan penerapan kebijakan organisasi ini secara otomatis:

  • Akun Google Workspace atau Cloud Identity: Jika Anda memiliki akun Google Workspace atau Cloud Identity, resource organisasi akan dibuat dan dikaitkan dengan domain Anda. Kebijakan organisasi yang aman secara default diterapkan secara otomatis pada resource organisasi.
  • Pembuatan akun penagihan: Jika akun penagihan yang Anda buat tidak dikaitkan dengan resource organisasi, resource organisasi akan otomatis dibuat. Kebijakan organisasi yang aman secara default diterapkan pada resource organisasi. Skenario ini berfungsi di konsol Google Cloud dan gcloud CLI.

Izin yang diperlukan

Peran Identity and Access Management roles/orgpolicy.policyAdmin memungkinkan administrator mengelola kebijakan organisasi. Anda harus menjadi administrator kebijakan organisasi untuk mengubah atau mengganti kebijakan organisasi. Untuk memberikan peran, jalankan perintah berikut:

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

Ganti kode berikut:

  • ORGANIZATION: ID unik organisasi Anda.
  • PRINCIPAL: Akun utama tempat binding akan ditambahkan. Formatnya harus user|group|serviceAccount:email atau domain:domain. Contohnya, user:222larabrown@gmail.com
  • ROLE: Peran yang akan diberikan kepada akun utama. Gunakan jalur lengkap peran yang telah ditetapkan. Dalam hal ini, nilainya harus roles/orgpolicy.policyAdmin.

Kebijakan organisasi yang diterapkan pada resource organisasi

Tabel berikut mencantumkan batasan kebijakan organisasi yang diterapkan secara otomatis saat Anda membuat resource organisasi.

Nama kebijakan organisasi Batasan kebijakan organisasi Deskripsi Dampak penerapan
Menonaktifkan pembuatan kunci akun layanan constraints/iam.disableServiceAccountKeyCreation Mencegah pengguna membuat kunci persisten untuk akun layanan. Untuk informasi tentang cara mengelola kunci akun layanan, lihat Menyediakan alternatif lain untuk membuat kunci akun layanan. Mengurangi risiko kredensial akun layanan yang terekspos.
Menonaktifkan upload kunci akun layanan constraints/iam.disableServiceAccountKeyUpload Mencegah upload kunci publik eksternal ke akun layanan. Untuk informasi tentang cara mengakses resource tanpa kunci akun layanan, lihat praktik terbaik ini. Mengurangi risiko kredensial akun layanan yang terekspos.
Menonaktifkan pemberian peran otomatis ke akun layanan default constraints/iam.automaticIamGrantsForDefaultServiceAccounts Mencegah akun layanan default menerima peran IAM Editor yang terlalu permisif saat pembuatan. Peran Editor memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar layanan Google Cloud, yang akan menimbulkan kerentanan jika akun layanan disusupi.
Membatasi identitas menurut domain constraints/iam.allowedPolicyMemberDomains Membatasi berbagi resource ke identitas yang termasuk dalam resource organisasi tertentu. Membiarkan resource organisasi terbuka untuk diakses oleh pelaku dengan domain selain domain pelanggan akan menimbulkan kerentanan.
Membatasi kontak menurut domain constraints/essentialcontacts.allowedContactDomains Batasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform. Pihak tidak bertanggung jawab dengan domain yang berbeda dapat ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan yang disusupi.
Akses level bucket yang seragam constraints/storage.uniformBucketLevelAccess Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses. Menerapkan konsistensi untuk pengelolaan dan audit akses.
Menggunakan DNS zona secara default constraints/compute.setNewProjectDefaultToZonalDNSOnly Menetapkan batasan agar developer aplikasi tidak dapat memilih setelan DNS global untuk instance Compute Engine. Setelan DNS global memiliki keandalan layanan yang lebih rendah daripada setelan DNS zona.
Membatasi penerusan protokol berdasarkan jenis alamat IP constraints/compute.restrictProtocolForwardingCreationForTypes Batasi konfigurasi penerusan protokol hanya untuk alamat IP internal. Melindungi instance target dari paparan traffic eksternal.

Mengelola penegakan kebijakan organisasi

Anda dapat mengelola penegakan kebijakan organisasi dengan cara berikut:

Mencantumkan kebijakan organisasi

Untuk memeriksa apakah kebijakan organisasi aman secara default diterapkan di organisasi Anda, gunakan perintah berikut:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID unik organisasi Anda.

Menonaktifkan kebijakan organisasi

Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Ganti kode berikut:

  • CONSTRAINT_NAME adalah nama batasan kebijakan organisasi yang ingin Anda hapus. Contohnya adalah iam.allowedPolicyMemberDomains.
  • ORGANIZATION_ID adalah ID unik organisasi Anda.

Menambahkan atau memperbarui nilai untuk kebijakan organisasi

Untuk menambahkan atau memperbarui nilai untuk kebijakan organisasi, Anda harus menyimpan nilai dalam file YAML. Contoh tampilan isi file ini:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

Untuk menambahkan atau memperbarui nilai yang tercantum dalam file YAML, jalankan perintah berikut:

gcloud org-policies set-policy POLICY_FILE

Ganti POLICY_FILE dengan jalur ke file YAML yang berisi nilai kebijakan organisasi.