Si eres un cliente nuevo, Google Cloud se aprovisiona automáticamente un recurso de organización para tu dominio en los siguientes casos:
- Un usuario de tu dominio inicia sesión por primera vez.
- Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.
La configuración predeterminada de este recurso de organización, que se caracteriza por un acceso sin restricciones, puede hacer que la infraestructura sea vulnerable a las brechas de seguridad. Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad crítica que expone los sistemas a posibles brechas de seguridad.
Con las implementaciones de políticas de organización seguras de forma predeterminada, las posturas no seguras se abordan con un paquete de políticas de organización que se implementan en el momento de crear un recurso de organización. Por ejemplo, se puede inhabilitar la creación y la subida de claves de cuentas de servicio.
Cuando un usuario crea una organización, la postura de seguridad del nuevo recurso de organización puede ser diferente de la de los recursos de organización que ya existían. Las políticas de la organización seguras por defecto se aplican a todas las organizaciones creadas a partir del 3 de mayo del 2024. Es posible que algunas organizaciones creadas entre febrero y abril del 2024 también tengan estas políticas predeterminadas. Para ver las políticas de organización que se aplican a tu organización, consulta Ver políticas de organización.
Como administrador, a continuación se indican los casos en los que estas medidas se aplican automáticamente:
- Cuenta de Google Workspace o Cloud Identity: si tienes una cuenta de Google Workspace o Cloud Identity, se crea un recurso de organización asociado a tu dominio. Las políticas de organización seguras de forma predeterminada se aplican automáticamente al recurso de organización.
- Creación de cuentas de facturación: si la cuenta de facturación que creas no está asociada a un recurso de organización, se creará automáticamente un recurso de organización. Las políticas de organización seguras por defecto se aplican al recurso de organización. Este caso práctico funciona tanto en la Google Cloud consola como en la interfaz de línea de comandos de gcloud.
Permisos obligatorios
El rol Gestión de Identidades y Accesos
roles/orgpolicy.policyAdmin
permite
a un administrador gestionar las políticas de la organización. Para cambiar o anular políticas de la organización, debes ser administrador de políticas de la organización.
Para asignar el rol, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Haz los cambios siguientes:
ORGANIZATION
: identificador único de tu organización.PRINCIPAL
: la cuenta principal a la que se va a añadir la vinculación. Debe tener el formatouser|group|serviceAccount:email
odomain:domain
. Por ejemplo,user:222larabrown@gmail.com
.ROLE
: rol que se va a asignar a la cuenta principal. Usa la ruta completa de un rol predefinido. En este caso, debería serroles/orgpolicy.policyAdmin
.
Políticas de organización aplicadas a los recursos de la organización
En la siguiente tabla se enumeran las restricciones de política de organización que se aplican automáticamente al crear un recurso de organización.
Nombre de la política de organización | Restricción de política de organización | Descripción | Impacto de la aplicación |
---|---|---|---|
Inhabilitar la creación de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyCreation |
Evita que los usuarios creen claves persistentes para cuentas de servicio. Para obtener información sobre cómo gestionar las claves de cuentas de servicio, consulta el artículo Ofrecer alternativas a la creación de claves de cuentas de servicio. | Reduce el riesgo de que se expongan las credenciales de las cuentas de servicio. |
Inhabilitar la subida de claves a cuentas de servicio | constraints/iam.disableServiceAccountKeyUpload |
Evita que se suban claves públicas externas a cuentas de servicio. Para obtener información sobre cómo acceder a recursos sin claves de cuentas de servicio, consulta estas prácticas recomendadas. | Reduce el riesgo de que se expongan las credenciales de las cuentas de servicio. |
Inhabilitar la concesión automática de roles a las cuentas de servicio predeterminadas | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Evita que las cuentas de servicio predeterminadas reciban el rol de gestión de identidades y accesos Editor , que tiene demasiados permisos, cuando se creen. |
El rol Editor permite que la cuenta de servicio cree y elimine recursos para la mayoría de los servicios Google Cloud , lo que crea una vulnerabilidad si la cuenta de servicio se ve comprometida. |
Restringir identidades por dominio | constraints/iam.allowedPolicyMemberDomains |
Limitar el uso compartido de recursos a identidades que pertenezcan a un recurso de organización concreto. | Si se deja abierto el acceso al recurso de la organización a agentes con dominios distintos al del cliente, se crea una vulnerabilidad. |
Restringir contactos por dominio | constraints/essentialcontacts.allowedContactDomains |
Limita los contactos esenciales para que solo las identidades de usuario gestionadas de los dominios seleccionados puedan recibir notificaciones de la plataforma. | Un agente malintencionado con un dominio diferente podría añadirse como contacto esencial, lo que provocaría que la seguridad se viera comprometida. |
Acceso uniforme a nivel de segmento | constraints/storage.uniformBucketLevelAccess |
Evita que los segmentos de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de permitir y denegar) para proporcionar acceso. | Aplica la coherencia en la gestión de accesos y la auditoría. |
Usar DNS zonal de forma predeterminada | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Definir restricciones para que los desarrolladores de aplicaciones no puedan elegir la configuración de DNS global para las instancias de Compute Engine. | La fiabilidad del servicio de la configuración de DNS global es inferior a la de la configuración de DNS zonal. |
Restricción del reenvío de protocolos en función del tipo de dirección IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Restringe la configuración del reenvío de protocolos solo a las direcciones IP internas. | Protege las instancias de destino frente a la exposición al tráfico externo. |
Gestionar la aplicación de las políticas de organización
Puede gestionar la aplicación de las políticas de la organización de las siguientes formas:
Mostrar políticas de organización
Para comprobar si las políticas de la organización seguras de forma predeterminada se aplican en tu organización, usa el siguiente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sustituye ORGANIZATION_ID
por el identificador único de tu organización.
Inhabilitar políticas de organización
Para inhabilitar o eliminar una política de la organización, ejecuta el siguiente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Haz los cambios siguientes:
CONSTRAINT_NAME
es el nombre de la restricción de la política de organización que quieres eliminar. Por ejemplo,iam.allowedPolicyMemberDomains
.ORGANIZATION_ID
es el identificador único de tu organización.
Añadir o actualizar valores de una política de organización
Para añadir o actualizar valores de una política de la organización, debes almacenarlos en un archivo YAML. A continuación, se muestra un ejemplo del contenido de este archivo:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para añadir o actualizar estos valores que se indican en el archivo YAML, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_FILE
Sustituye POLICY_FILE
por la ruta del archivo YAML que contiene los valores de la política de la organización.