Jika Anda adalah pelanggan baru, Google Cloud akan otomatis menyediakan resource organisasi untuk domain Anda dalam skenario berikut:
- Pengguna dari domain Anda login untuk pertama kalinya.
- Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.
Konfigurasi default resource organisasi ini, yang ditandai dengan akses tidak terbatas, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default merupakan kerentanan kritis yang mengekspos sistem terhadap potensi pelanggaran.
Dengan penerapan kebijakan organisasi yang aman secara default, postingan yang tidak aman ditangani dengan paket kebijakan organisasi yang diterapkan pada saat pembuatan resource organisasi. Contoh penerapan ini termasuk menonaktifkan pembuatan kunci akun layanan dan menonaktifkan upload kunci akun layanan.
Saat pengguna yang sudah ada membuat organisasi, postur keamanan untuk resource organisasi baru berbeda dengan resource organisasi yang sudah ada. Hal ini disebabkan oleh penerapan kebijakan organisasi yang aman secara default. Penegakan kebijakan ini akan berlaku untuk organisasi yang dibuat pada awal tahun 2024, saat fitur ini di-deploy secara bertahap.
Sebagai administrator, berikut adalah skenario saat penegakan kebijakan organisasi ini diterapkan secara otomatis:
- Akun Google Workspace atau Cloud Identity: Jika Anda memiliki akun Google Workspace atau Cloud Identity, resource organisasi yang terkait dengan domain Anda akan dibuat. Kebijakan organisasi yang aman secara default diberlakukan secara otomatis di resource organisasi.
- Pembuatan akun penagihan: Jika akun penagihan yang Anda buat tidak terkait dengan resource organisasi, resource organisasi akan otomatis dibuat. Kebijakan organisasi yang aman secara default diterapkan di resource organisasi. Skenario ini dapat dijalankan di Google Cloud Console dan gcloud CLI.
Izin yang diperlukan
Peran Identity and Access Management
roles/orgpolicy.policyAdmin memungkinkan
administrator mengelola kebijakan organisasi. Anda harus menjadi administrator kebijakan organisasi untuk mengubah atau mengganti kebijakan organisasi.
Untuk memberikan peran, jalankan perintah berikut:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Ganti kode berikut:
ORGANIZATION: ID unik organisasi Anda.PRINCIPAL: Entity utama yang akan ditambahkan binding. Format ini harususer|group|serviceAccount:emailataudomain:domain. Contohnya,user:222larabrown@gmail.comROLE: Peran yang akan diberikan ke akun utama. Gunakan jalur lengkap untuk peran standar. Dalam hal ini, nilainya adalahroles/orgpolicy.policyAdmin.
Kebijakan organisasi diterapkan pada resource organisasi
Tabel berikut mencantumkan batasan kebijakan organisasi yang otomatis diterapkan saat Anda membuat resource organisasi.
| Nama kebijakan organisasi | Batasan kebijakan organisasi | Deskripsi | Dampak penegakan kebijakan |
|---|---|---|---|
| Menonaktifkan pembuatan kunci akun layanan | iam.disableServiceAccountKeyCreation |
Cegah pengguna membuat kunci persisten untuk akun layanan. | Mengurangi risiko kredensial akun layanan terekspos. |
| Menonaktifkan upload kunci akun layanan | iam.disableServiceAccountKeyUpload |
Cegah upload kunci publik eksternal ke akun layanan. | Mengurangi risiko kredensial akun layanan terekspos. |
| Menonaktifkan pemberian peran otomatis ke akun layanan default | iam.automaticIamGrantsForDefaultServiceAccounts |
Cegah akun layanan default menerima peran IAM Editor yang terlalu permisif saat pembuatan. |
Peran Editor memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar layanan Google Cloud, yang menimbulkan kerentanan jika akun layanan disusupi. |
| Membatasi identitas menurut domain | iam.allowedPolicyMemberDomains |
Membatasi pembagian resource hanya untuk identitas milik resource organisasi tertentu. | Membiarkan resource organisasi tetap terbuka untuk diakses oleh pelaku yang memiliki domain selain domain pelanggan akan menciptakan kerentanan. |
| Membatasi kontak menurut domain | essentialcontacts.allowedContactDomains |
Batasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain tertentu untuk menerima notifikasi platform. | Pihak tidak bertanggung jawab dengan domain yang berbeda mungkin ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan yang disusupi. |
| Akses level bucket yang seragam | storage.uniformBucketLevelAccess |
Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses. | Menerapkan konsistensi untuk pengelolaan dan pengauditan akses. |
| Menggunakan DNS zona secara default | compute.setNewProjectDefaultToZonalDNSOnly |
Tetapkan batasan di mana developer aplikasi tidak dapat memilih setelan DNS global untuk instance Compute Engine. | Setelan DNS global memiliki keandalan layanan lebih rendah daripada setelan DNS zona. |
Mengelola penerapan kebijakan organisasi
Anda dapat mengelola pemberlakuan kebijakan organisasi dengan cara berikut:
Membuat daftar kebijakan organisasi
Untuk memeriksa apakah kebijakan organisasi yang aman secara default diterapkan pada organisasi Anda, gunakan perintah berikut:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ganti ORGANIZATION_ID dengan ID unik organisasi Anda.
Menonaktifkan kebijakan organisasi
Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:
gcloud delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ganti kode berikut:
CONSTRAINT_NAMEadalah nama batasan kebijakan organisasi yang ingin Anda hapus. Contohnya adalahiam.allowedPolicyMemberDomains.ORGANIZATION_IDadalah ID unik organisasi Anda.
Menambahkan atau memperbarui nilai untuk kebijakan organisasi
Untuk menambahkan atau memperbarui nilai untuk kebijakan organisasi, Anda harus menyimpan nilai tersebut dalam file YAML. Contoh tampilan isi file ini:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Untuk menambahkan atau memperbarui nilai-nilai yang tercantum dalam file YAML, jalankan perintah berikut:
gcloud org-policies set-policy POLICY_FILE
Ganti POLICY_FILE dengan jalur ke file YAML yang berisi nilai kebijakan organisasi.