如果您是新客户,Google Cloud 会自动为您 组织资源:
- 您网域中的用户首次登录。
- 用户创建了没有关联组织的结算账号 资源。
此组织资源的默认配置,特点是不受限制 使基础设施容易受到安全漏洞的影响。对于 例如,默认服务账号密钥的创建 使系统面临潜在的漏洞。
采用默认的组织政策强制执行时,不安全 安全状况通过一系列强制执行的组织政策来解决 在创建组织资源时指定。违规处置示例 包括停用服务账号密钥创建和停用服务账号密钥上传功能。
当现有用户创建组织时, 新组织资源可能与现有组织资源不同。 已针对所有组织强制执行默认安全的组织政策 创建日期为 2024 年 5 月 3 日或之后创建的。在 2024 年 2 月期间创建的一些组织 和 2024 年 4 月时可能也会设置这些默认的强制措施。查看组织 政策,请参阅 查看组织政策。
作为管理员,如果出现以下情况,这些组织政策将 系统会自动实施强制措施:
- Google Workspace 或 Cloud Identity 账号:如果您拥有 Google Workspace 或 Cloud Identity 账号后,系统会创建一个组织资源, 与您的网域相关联的电子邮件地址。默认安全的组织政策 自动对组织资源强制执行。
- 结算账号创建:您创建的结算账号未关联 组织资源,那么系统会自动创建 创建。默认情况下,系统会在 组织资源。此场景同时适用于 Google Cloud 控制台 和 gcloud CLI。
所需权限
Identity and Access Management 角色 roles/orgpolicy.policyAdmin 可让管理员管理组织政策。您必须是组织
政策管理员来更改或覆盖组织政策。
如需授予该角色,请运行以下命令:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
替换以下内容:
ORGANIZATION:贵组织的唯一标识符。PRINCIPAL:要为其添加绑定的主账号。此项应为 采用user|group|serviceAccount:email或domain:domain格式。例如user:222larabrown@gmail.com。ROLE:要授予主账号的角色。使用 预定义角色。在本例中,它应为roles/orgpolicy.policyAdmin。
对组织资源强制执行组织政策
下表列出了 系统会在您创建组织资源时自动强制执行此设置。
| 组织政策名称 | 组织政策限制条件 | 说明 | 违规处置的影响 |
|---|---|---|---|
| 停用服务账号密钥创建功能 | iam.disableServiceAccountKeyCreation |
禁止用户为服务账号创建永久性密钥。如需了解如何管理服务账号密钥,请参阅提供创建服务账号密钥的替代方案。 | 降低服务账号凭据遭泄露的风险。 |
| 停用服务账号密钥上传功能 | iam.disableServiceAccountKeyUpload |
阻止将外部公钥上传到服务账号。如需了解如何在没有服务账号密钥的情况下访问资源,请参阅这些最佳实践。 | 降低服务账号凭据遭泄露的风险。 |
| 停用向默认服务账号自动授予角色的功能 | iam.automaticIamGrantsForDefaultServiceAccounts |
防止默认服务账号在创建时获得权限过于宽松的 IAM 角色 Editor。 |
Editor 角色允许服务账号为大多数 Google Cloud 服务创建和删除资源,如果服务账号被盗用,这会造成漏洞。 |
| 按网域限制身份 | iam.allowedPolicyMemberDomains |
仅限属于特定组织资源的身份共享资源。 | 允许具有其他域的人员访问组织资源 这样便会导致漏洞 |
| 按网域限制联系人 | essentialcontacts.allowedContactDomains |
将重要联系人限制为仅允许所选网域中受管理的用户身份接收平台通知。 | 其他网域的不良行为者可能会被添加为重要联系人,从而导致安全状况受到损害。 |
| 统一存储桶级访问权限 | storage.uniformBucketLevelAccess |
阻止 Cloud Storage 存储分区使用对象 ACL(一个独立于 IAM 政策的系统)来提供访问权限。 | 对访问权限管理和审核强制执行一致性。 |
| 默认使用可用区级 DNS | compute.setNewProjectDefaultToZonalDNSOnly |
设置限制,使应用开发者无法为 Compute Engine 实例选择全局 DNS 设置。 | 全局 DNS 设置的服务可靠性低于可用区级 DNS 设置。 |
管理组织政策的执行
您可以通过以下方式管理组织政策的强制执行情况:
列出组织政策
如需检查您的组织是否强制执行了默认安全的组织政策, 请使用以下命令:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为您的组织的唯一标识符。
停用组织政策
如需停用或删除组织政策,请运行以下命令:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
替换以下内容:
CONSTRAINT_NAME是组织政策的名称 要删除的限制条件。例如iam.allowedPolicyMemberDomains。ORGANIZATION_ID是贵组织的唯一标识符。
为组织政策添加或更新值
如需为组织政策添加或更新值,您需要将值存储在 YAML 文件中。 此文件的内容可能如下所示:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
如需添加或更新 YAML 文件中列出的这些值,请运行以下命令:
gcloud org-policies set-policy POLICY_FILE
将 POLICY_FILE 替换为包含
组织政策的值