管理默认安全的组织资源

如果您是新客户,在以下情况下,Google Cloud 会自动为您的网域预配组织资源:

  • 您网域中的用户首次登录。
  • 用户创建的结算账号没有关联的组织资源。

此组织资源的默认配置(以无限制的访问权限为特征)可能会使基础架构容易遭到安全漏洞的侵害。例如,默认服务账号密钥创建功能是一个严重漏洞,会使系统面临潜在的入侵风险。

借助默认安全的组织政策强制执行功能,系统会在创建组织资源时强制执行一组组织政策,以解决不安全的状况。这些违规处置措施的示例包括停用服务账号密钥创建功能和停用服务账号密钥上传功能。

当现有用户创建组织时,新组织资源的安全状况可能会与现有组织资源不同。系统会对 2024 年 5 月 3 日当天或之后创建的所有组织强制执行“从设计上保证安全”组织政策。在 2024 年 2 月至 2024 年 4 月期间创建的一些组织可能也设置了这些默认政策强制执行。如需查看应用于贵组织的组织政策,请参阅查看组织政策

作为管理员,您可以通过以下方式自动应用这些组织政策强制执行:

  • Google Workspace 或 Cloud Identity 账号:如果您拥有 Google Workspace 或 Cloud Identity 账号,系统会创建一个与您的网域关联的组织资源。系统会自动对组织资源强制执行“原生安全性”组织政策。
  • 创建结算账号:如果您创建的结算账号未与组织资源相关联,系统会自动创建一个组织资源。系统会对组织资源强制执行默认安全的组织政策。此场景适用于 Google Cloud 控制台和 gcloud CLI。

所需权限

Identity and Access Management 角色 roles/orgpolicy.policyAdmin 可让管理员管理组织政策。您必须是组织政策管理员才能更改或替换组织政策。如需授予该角色,请运行以下命令:

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

替换以下内容:

  • ORGANIZATION:贵组织的唯一标识符。
  • PRINCIPAL:要添加绑定的主账号。此值应采用 user|group|serviceAccount:emaildomain:domain 格式。例如 user:222larabrown@gmail.com
  • ROLE:要授予主账号的角色。使用预定义角色的完整路径。在本例中,它应为 roles/orgpolicy.policyAdmin

对组织资源强制执行的组织政策

下表列出了在您创建组织资源时自动强制执行的组织政策限制。

组织政策名称 组织政策限制条件 说明 违规处置的影响
停用服务账号密钥创建功能 constraints/iam.disableServiceAccountKeyCreation 阻止用户为服务账号创建永久性密钥。如需了解如何管理服务账号密钥,请参阅提供创建服务账号密钥的替代方案 降低服务账号凭据泄露的风险。
停用服务账号密钥上传功能 constraints/iam.disableServiceAccountKeyUpload 阻止将外部公钥上传到服务账号。如需了解如何在不使用服务账号密钥的情况下访问资源,请参阅以下最佳实践 降低服务账号凭据泄露的风险。
停用对默认服务账号的自动角色授予功能 constraints/iam.automaticIamGrantsForDefaultServiceAccounts 防止默认服务账号在创建时获得权限过高的 IAM 角色 Editor Editor 角色允许服务账号为大多数 Google Cloud 服务创建和删除资源,如果服务账号遭到入侵,就会造成漏洞。
按网域限制身份 constraints/iam.allowedPolicyMemberDomains 将资源共享限制为属于特定组织资源的身份。 允许网域不属于客户的操作者访问组织资源会造成漏洞。
按网域限制联系人 constraints/essentialcontacts.allowedContactDomains 限制“重要联系人”名单,从而仅允许所选网域中受管理的用户接收平台通知。 系统可能会将使用其他网域的恶意行为者添加为重要联系人,导致安全状况受到损害。
统一存储桶级访问权限 constraints/storage.uniformBucketLevelAccess 阻止 Cloud Storage 存储分区使用按对象 ACL(与 IAM 政策不同的系统)来提供访问权限。 强制执行访问权限管理和审核的一致性。
默认使用可用区级 DNS constraints/compute.setNewProjectDefaultToZonalDNSOnly 设置限制,使应用开发者无法为 Compute Engine 实例选择全局 DNS 设置。 与可用区 DNS 设置相比,全局 DNS 设置的服务可靠性较低。
根据 IP 地址类型限制协议转发 constraints/compute.restrictProtocolForwardingCreationForTypes 将协议转发的配置限制为仅限内部 IP 地址。 保护目标实例免受外部流量的影响。

管理组织政策的强制执行

您可以通过以下方式管理组织政策的强制执行:

列出组织政策

如需检查是否对贵组织强制执行了默认安全的组织政策,请使用以下命令:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

ORGANIZATION_ID 替换为贵组织的唯一标识符。

停用组织政策

如需停用或删除组织政策,请运行以下命令:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

替换以下内容:

  • CONSTRAINT_NAME 是您要删除的组织政策约束条件的名称。示例见 iam.allowedPolicyMemberDomains
  • ORGANIZATION_ID 是您组织的唯一标识符。

为组织政策添加或更新值

如需为组织政策添加或更新值,您需要将值存储在 YAML 文件中。此文件的内容示例:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

如需添加或更新 YAML 文件中列出的这些值,请运行以下命令:

gcloud org-policies set-policy POLICY_FILE

POLICY_FILE 替换为包含组织政策值的 YAML 文件的路径。