Jika Anda adalah pelanggan baru, Google Cloud akan otomatis menyediakan resource organisasi untuk domain Anda dalam skenario berikut:
- Pengguna dari domain Anda login untuk pertama kalinya.
- Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.
Konfigurasi default resource organisasi ini, yang ditandai dengan akses tanpa batasan, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default adalah kerentanan kritis yang mengekspos sistem terhadap potensi pelanggaran.
Dengan penerapan kebijakan organisasi yang aman secara default, postur yang tidak aman akan diatasi dengan paket kebijakan organisasi yang diterapkan pada saat pembuatan resource organisasi. Contoh penerapan ini meliputi menonaktifkan pembuatan kunci akun layanan dan menonaktifkan upload kunci akun layanan.
Saat pengguna yang ada membuat organisasi, postur keamanan untuk resource organisasi baru mungkin berbeda dengan resource organisasi yang ada. Kebijakan organisasi aman secara default diterapkan untuk semua organisasi yang dibuat pada atau setelah 3 Mei 2024. Beberapa organisasi yang dibuat antara Februari 2024 dan April 2024 mungkin juga telah menetapkan penerapan kebijakan default ini. Untuk melihat kebijakan organisasi yang diterapkan ke organisasi Anda, lihat Melihat kebijakan organisasi.
Sebagai administrator, berikut adalah skenario penerapan penerapan kebijakan organisasi ini secara otomatis:
- Akun Google Workspace atau Cloud Identity: Jika Anda memiliki akun Google Workspace atau Cloud Identity, resource organisasi akan dibuat dan dikaitkan dengan domain Anda. Kebijakan organisasi yang aman secara default diterapkan secara otomatis pada resource organisasi.
- Pembuatan akun penagihan: Jika akun penagihan yang Anda buat tidak dikaitkan dengan resource organisasi, resource organisasi akan otomatis dibuat. Kebijakan organisasi yang aman secara default diterapkan pada resource organisasi. Skenario ini berfungsi di konsol Google Cloud dan gcloud CLI.
Izin yang diperlukan
Peran Identity and Access Management
roles/orgpolicy.policyAdmin
memungkinkan
administrator mengelola kebijakan organisasi. Anda harus menjadi administrator
kebijakan organisasi untuk mengubah atau mengganti kebijakan organisasi.
Untuk memberikan peran, jalankan perintah berikut:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Ganti kode berikut:
ORGANIZATION
: ID unik organisasi Anda.PRINCIPAL
: Akun utama tempat binding akan ditambahkan. Formatnya harususer|group|serviceAccount:email
ataudomain:domain
. Contohnya,user:222larabrown@gmail.com
ROLE
: Peran yang akan diberikan kepada akun utama. Gunakan jalur lengkap peran yang telah ditetapkan. Dalam hal ini, nilainya harusroles/orgpolicy.policyAdmin
.
Kebijakan organisasi yang diterapkan pada resource organisasi
Tabel berikut mencantumkan batasan kebijakan organisasi yang diterapkan secara otomatis saat Anda membuat resource organisasi.
Nama kebijakan organisasi | Batasan kebijakan organisasi | Deskripsi | Dampak penerapan |
---|---|---|---|
Menonaktifkan pembuatan kunci akun layanan | constraints/iam.disableServiceAccountKeyCreation |
Mencegah pengguna membuat kunci persisten untuk akun layanan. Untuk informasi tentang cara mengelola kunci akun layanan, lihat Menyediakan alternatif lain untuk membuat kunci akun layanan. | Mengurangi risiko kredensial akun layanan yang terekspos. |
Menonaktifkan upload kunci akun layanan | constraints/iam.disableServiceAccountKeyUpload |
Mencegah upload kunci publik eksternal ke akun layanan. Untuk informasi tentang cara mengakses resource tanpa kunci akun layanan, lihat praktik terbaik ini. | Mengurangi risiko kredensial akun layanan yang terekspos. |
Menonaktifkan pemberian peran otomatis ke akun layanan default | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Mencegah akun layanan default menerima peran IAM Editor yang terlalu permisif saat pembuatan. |
Peran Editor memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar layanan Google Cloud, yang akan menimbulkan kerentanan jika akun layanan disusupi. |
Membatasi identitas menurut domain | constraints/iam.allowedPolicyMemberDomains |
Membatasi berbagi resource ke identitas yang termasuk dalam resource organisasi tertentu. | Membiarkan resource organisasi terbuka untuk diakses oleh pelaku dengan domain selain domain pelanggan akan menimbulkan kerentanan. |
Membatasi kontak menurut domain | constraints/essentialcontacts.allowedContactDomains |
Batasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform. | Pihak tidak bertanggung jawab dengan domain yang berbeda dapat ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan yang disusupi. |
Akses level bucket yang seragam | constraints/storage.uniformBucketLevelAccess |
Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses. | Menerapkan konsistensi untuk pengelolaan dan audit akses. |
Menggunakan DNS zona secara default | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Menetapkan batasan agar developer aplikasi tidak dapat memilih setelan DNS global untuk instance Compute Engine. | Setelan DNS global memiliki keandalan layanan yang lebih rendah daripada setelan DNS zona. |
Membatasi penerusan protokol berdasarkan jenis alamat IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Batasi konfigurasi penerusan protokol hanya untuk alamat IP internal. | Melindungi instance target dari paparan traffic eksternal. |
Mengelola penegakan kebijakan organisasi
Anda dapat mengelola penegakan kebijakan organisasi dengan cara berikut:
Mencantumkan kebijakan organisasi
Untuk memeriksa apakah kebijakan organisasi aman secara default diterapkan di organisasi Anda, gunakan perintah berikut:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ganti ORGANIZATION_ID
dengan ID unik organisasi Anda.
Menonaktifkan kebijakan organisasi
Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ganti kode berikut:
CONSTRAINT_NAME
adalah nama batasan kebijakan organisasi yang ingin Anda hapus. Contohnya adalahiam.allowedPolicyMemberDomains
.ORGANIZATION_ID
adalah ID unik organisasi Anda.
Menambahkan atau memperbarui nilai untuk kebijakan organisasi
Untuk menambahkan atau memperbarui nilai untuk kebijakan organisasi, Anda harus menyimpan nilai dalam file YAML. Contoh tampilan isi file ini:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Untuk menambahkan atau memperbarui nilai yang tercantum dalam file YAML, jalankan perintah berikut:
gcloud org-policies set-policy POLICY_FILE
Ganti POLICY_FILE
dengan jalur ke file YAML yang berisi nilai kebijakan organisasi.