Si eres un cliente nuevo, Google Cloud aprovisiona de forma automática un recurso de organización para tu dominio en las siguientes situaciones:
- Un usuario de tu dominio accede por primera vez.
- Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.
La configuración predeterminada de este recurso de la organización, que se caracteriza por el acceso sin restricciones, puede hacer que la infraestructura sea susceptible a violaciones de la seguridad. Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad crítica que expone los sistemas a posibles violaciones de seguridad.
Con las aplicaciones de políticas de la organización que resguardan la seguridad de forma predeterminada, las posiciones inseguras se abordan con un conjunto de políticas de la organización que se aplican en el momento de la creación de un recurso de la organización. Algunos ejemplos de estas aplicaciones de política incluyen inhabilitar la creación de claves de cuentas de servicio y la inhabilitación de su carga.
Cuando un usuario existente crea una organización, la postura de seguridad del nuevo recurso de la organización es diferente de los recursos existentes de la organización. Esto se debe a la aplicación de políticas de la organización con seguridad predeterminada. La aplicación de estas políticas se aplicará a las organizaciones creadas a principios de 2024, ya que la función se implementa de forma gradual.
Como administrador, estas son las situaciones en las que estas aplicaciones de políticas de la organización se aplican de forma automática:
- Cuenta de Google Workspace o Cloud Identity: Cuando tienes una cuenta de Google Workspace o Cloud Identity, se crea un recurso de organización asociado con tu dominio. Las políticas de la organización que tienen seguridad predeterminada se aplican de forma automática al recurso de la organización.
- Creación de la cuenta de facturación: Si la cuenta de facturación que creas no está asociada con un recurso de la organización, se crea un recurso de la organización de forma automática. Las políticas de la organización de seguridad predeterminada se aplican al recurso de la organización. Esta situación funciona en la consola de Google Cloud y engcloud CLId.
Permisos necesarios
La función de administración de identidades y accesos roles/orgpolicy.policyAdmin permite a un administrador gestionar las políticas de la organización. Debes ser administrador de políticas de la organización para cambiarlas o anularlas.
Para otorgar el rol, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Reemplaza lo siguiente:
ORGANIZATION: Identificador único de tu organizaciónPRINCIPAL: La principal a la que se agregará la vinculación. Debe tener el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo,user:222larabrown@gmail.com.ROLE: Es el rol que se otorgará a la principal. Usa la ruta completa de un rol predefinido. En este caso, debería serroles/orgpolicy.policyAdmin.
Se aplican las políticas de la organización en los recursos de la organización
En la siguiente tabla, se enumeran las restricciones de las políticas de la organización que se aplican de forma automática cuando creas un recurso de la organización.
| Nombre de la política de la organización | Restricción de las políticas de la organización | Descripción | Impacto de la aplicación |
|---|---|---|---|
| Inhabilita la creación de claves de cuentas de servicio | iam.disableServiceAccountKeyCreation |
Impide que los usuarios creen claves persistentes para las cuentas de servicio. | Reduce el riesgo de credenciales de cuenta de servicio expuestas. |
| Inhabilitar la carga de claves de cuentas de servicio | iam.disableServiceAccountKeyUpload |
Evita la carga de claves públicas externas a las cuentas de servicio. | Reduce el riesgo de credenciales de cuenta de servicio expuestas. |
| Inhabilita las asignaciones de roles automáticas a las cuentas de servicio predeterminadas | iam.automaticIamGrantsForDefaultServiceAccounts |
Evita que las cuentas de servicio predeterminadas reciban el rol de IAM demasiado permisivo Editor durante la creación. |
El rol Editor permite que la cuenta de servicio cree y borre recursos para la mayoría de los servicios de Google Cloud, lo que crea una vulnerabilidad si la cuenta de servicio se ve comprometida. |
| Restringe identidades por dominio | iam.allowedPolicyMemberDomains |
Limita el uso compartido de recursos a identidades que pertenecen a un recurso de la organización en particular. | Dejar el recurso de la organización abierto al acceso por parte de actores con dominios que no sean el propio del cliente crea una vulnerabilidad. |
| Cómo restringir los contactos por dominio | essentialcontacts.allowedContactDomains |
Limita los contactos esenciales para permitir que solo las identidades de usuario administradas de los dominios seleccionados reciban notificaciones de la plataforma. | Es posible que se agregue a una persona que actúa de mala fe con un dominio diferente como contactos esenciales, lo que puede generar una postura de seguridad comprometida. |
| Acceso uniforme a nivel de bucket | storage.uniformBucketLevelAccess |
Evitar que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso | Aplica la coherencia para la administración de accesos y la auditoría. |
| Usa el DNS zonal de forma predeterminada | compute.setNewProjectDefaultToZonalDNSOnly |
Establece restricciones en las que los desarrolladores de aplicaciones no puedan elegir la configuración de DNS global para las instancias de Compute Engine. | La configuración de DNS global tiene menos confiabilidad de servicio que la configuración de DNS zonal. |
Administra la aplicación de las políticas de la organización
Puedes administrar la aplicación de las políticas de la organización de las siguientes maneras:
Mostrar lista de políticas de la organización
Para verificar si las políticas de la organización que protegen de forma predeterminada se aplican en tu organización, usa el siguiente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el identificador único de tu organización.
Inhabilita las políticas de la organización
Para inhabilitar o borrar una política de la organización, ejecuta el siguiente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Reemplaza lo siguiente:
CONSTRAINT_NAMEes el nombre de la restricción de la política de la organización que deseas borrar. Un ejemplo esiam.allowedPolicyMemberDomains.ORGANIZATION_IDes el identificador único de tu organización.
Agrega o actualiza valores para una política de la organización
Para agregar o actualizar valores en una política de la organización, debes almacenar los valores en un archivo YAML. A continuación, se muestra un ejemplo de cómo puede verse el contenido de este archivo:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para agregar o actualizar estos valores enumerados en el archivo YAML, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_FILE
Reemplaza POLICY_FILE por la ruta de acceso al archivo YAML que contiene los valores de la política de la organización.