Wenn Sie Neukunde sind, stellt Google Cloud in den folgenden Szenarien automatisch eine Organisationsressource für Ihre Domain bereit:
- Ein Nutzer aus Ihrer Domain meldet sich zum ersten Mal an.
- Ein Nutzer erstellt ein Rechnungskonto, dem keine Organisationsressource zugeordnet ist.
Die Standardkonfiguration dieser Organisationsressource, die durch uneingeschränkten Zugriff gekennzeichnet ist, kann die Infrastruktur anfällig für Sicherheitsverstöße machen. Das Erstellen von Standarddienstkontoschlüsseln ist beispielsweise eine kritische Sicherheitslücke, durch die Systeme potenziellen Datenpannen ausgesetzt werden.
Mit den standardmäßig sicheren Erzwingungen von Organisationsrichtlinien werden unsichere Sicherheitsmaßnahmen mit einer Reihe von Organisationsrichtlinien behandelt, die beim Erstellen einer Organisationsressource erzwungen werden. Beispiele für diese Maßnahmen sind das Deaktivieren der Erstellung von Dienstkontoschlüsseln und das Deaktivieren des Hochladens von Dienstkontoschlüsseln.
Wenn ein bestehender Nutzer eine Organisation erstellt, unterscheidet sich der Sicherheitsstatus der neuen Organisationsressource von den vorhandenen Organisationsressourcen. Dies liegt an der Erzwingung von standardmäßig sicheren Organisationsrichtlinien. Diese Richtlinien werden für Organisationen erzwungen, die Anfang 2024 erstellt wurden, da die Funktion nach und nach bereitgestellt wird.
Als Administrator werden diese Erzwingungen von Organisationsrichtlinien in den folgenden Szenarien automatisch angewendet:
- Google Workspace- oder Cloud Identity-Konto: Wenn Sie ein Google Workspace- oder Cloud Identity-Konto haben, wird eine Organisationsressource erstellt, die mit Ihrer Domain verknüpft ist. Die standardmäßig sicheren Organisationsrichtlinien werden automatisch für die Organisationsressource erzwungen.
- Rechnungskontoerstellung: Wenn das von dir erstellte Rechnungskonto nicht mit einer Organisationsressource verknüpft ist, wird automatisch eine Organisationsressource erstellt. Die standardmäßig sicheren Organisationsrichtlinien werden für die Organisationsressource erzwungen. Dieses Szenario funktioniert sowohl in der Google Cloud Console als auch in der gcloud CLI.
Erforderliche Berechtigungen
Die IAM-Rolle (Identity and Access Management) roles/orgpolicy.policyAdmin
ermöglicht einem Administrator die Verwaltung von Organisationsrichtlinien. Sie müssen Administrator für Organisationsrichtlinien sein, um Organisationsrichtlinien ändern oder überschreiben zu können.
Führen Sie den folgenden Befehl aus, um die Rolle zu gewähren:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Ersetzen Sie Folgendes:
ORGANIZATION
: Eindeutige Kennung Ihrer Organisation.PRINCIPAL
: Das Hauptkonto, für das die Bindung hinzugefügt werden soll. Diese sollte das Formatuser|group|serviceAccount:email
oderdomain:domain
haben. Beispiel:user:222larabrown@gmail.com
ROLE
: Rolle, die dem Hauptkonto gewährt werden soll. Verwenden Sie den vollständigen Pfad einer vordefinierten Rolle. In diesem Fall sollteroles/orgpolicy.policyAdmin
lauten.
Organisationsrichtlinien für Organisationsressourcen erzwungen
In der folgenden Tabelle sind die Einschränkungen für Organisationsrichtlinien aufgeführt, die beim Erstellen einer Organisationsressource automatisch erzwungen werden.
Name der Organisationsrichtlinie | Einschränkung der Organisationsrichtlinie | Beschreibung | Auswirkungen der Durchsetzung |
---|---|---|---|
Erstellen von Dienstkontoschlüsseln deaktivieren | iam.disableServiceAccountKeyCreation |
Verhindern, dass Nutzer dauerhafte Schlüssel für Dienstkonten erstellen. | Reduziert das Risiko, dass Anmeldedaten für Dienstkonten preisgegeben werden. |
Upload von Dienstkontoschlüsseln deaktivieren | iam.disableServiceAccountKeyUpload |
Verhindert das Hochladen externer öffentlicher Schlüssel in Dienstkonten. | Reduziert das Risiko, dass Anmeldedaten für Dienstkonten preisgegeben werden. |
Automatische Rollenzuweisungen für Standarddienstkonten deaktivieren | iam.automaticIamGrantsForDefaultServiceAccounts |
Verhindern Sie, dass Standarddienstkonten beim Erstellen die zu moderate IAM-Rolle Editor erhalten. |
Mit der Rolle Editor kann das Dienstkonto Ressourcen für die meisten Google Cloud-Dienste erstellen und löschen. Dadurch entsteht eine Sicherheitslücke, wenn das Dienstkonto manipuliert wird. |
Identitäten nach Domain einschränken | iam.allowedPolicyMemberDomains |
Beschränken Sie die Ressourcenfreigabe auf Identitäten, die zu einer bestimmten Organisationsressource gehören. | Wenn Nutzer mit anderen Domains als der des Kunden auf die Organisationsressource zugreifen können, entsteht eine Sicherheitslücke. |
Kontakte nach Domain einschränken | essentialcontacts.allowedContactDomains |
Sie können für „Wichtige Kontakte“ festlegen, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten dürfen. | Ein böswilliger Akteur mit einer anderen Domain kann als wichtige Kontakte hinzugefügt werden, was zu einem kompromittierten Sicherheitsstatus führt. |
Einheitlicher Zugriff auf Bucket-Ebene | storage.uniformBucketLevelAccess |
Verhindern Sie, dass Cloud Storage-Buckets eine Objekt-ACL (ein separates System von IAM-Richtlinien) für den Zugriff verwenden. | Erzwingt Konsistenz für Zugriffsverwaltung und Auditing. |
Standardmäßig zonales DNS verwenden | compute.setNewProjectDefaultToZonalDNSOnly |
Legen Sie Einschränkungen für Anwendungsentwickler fest, die keine globalen DNS-Einstellungen für Compute Engine-Instanzen auswählen können. | Globale DNS-Einstellungen haben eine geringere Dienstzuverlässigkeit als zonale DNS-Einstellungen. |
Durchsetzung von Organisationsrichtlinien verwalten
Sie können die Erzwingung von Organisationsrichtlinien auf folgende Arten verwalten:
Organisationsrichtlinien auflisten
Verwenden Sie den folgenden Befehl, um zu prüfen, ob die standardmäßigen Organisationsrichtlinien für Ihre Organisation erzwungen werden:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID
durch die eindeutige ID Ihrer Organisation.
Organisationsrichtlinien deaktivieren
Führen Sie den folgenden Befehl aus, um eine Organisationsrichtlinie zu deaktivieren oder zu löschen:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME
ist der Name der Organisationsrichtlinieneinschränkung, die Sie löschen möchten. Ein Beispiel dafür istiam.allowedPolicyMemberDomains
.ORGANIZATION_ID
ist die eindeutige Kennung Ihrer Organisation.
Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren
Wenn Sie Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren möchten, müssen Sie die Werte in einer YAML-Datei speichern. Hier ein Beispiel für den Inhalt dieser Datei:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Führen Sie den folgenden Befehl aus, um die in der YAML-Datei aufgeführten Werte hinzuzufügen oder zu aktualisieren:
gcloud org-policies set-policy POLICY_FILE
Ersetzen Sie POLICY_FILE
durch den Pfad zur YAML-Datei, die die Werte der Organisationsrichtlinie enthält.