Se você é um novo cliente, o Google Cloud provisiona automaticamente uma recurso de organização para seu domínio nos seguintes cenários:
- Um usuário do seu domínio faz login pela primeira vez.
- Um usuário cria uma conta de faturamento que não tem uma organização associada recurso.
A configuração padrão desse recurso da organização, caracterizada por acesso, pode tornar a infraestrutura suscetível a violações de segurança. Para Por exemplo, a criação de uma chave de conta de serviço padrão expondo os sistemas a possíveis violações.
Com a aplicação de segurança por padrão da política da organização, os clientes de segurança são abordadas com um pacote de políticas da organização que são aplicadas no momento da criação de um recurso da organização. Exemplos dessas restrições desativar a criação e o upload da chave da conta de serviço.
Quando um usuário cria uma organização, a postura de segurança da um novo recurso da organização pode ser diferente dos recursos da organização atual. As políticas da organização com segurança por padrão são aplicadas a todas as organizações. criado a partir de 3 de maio de 2024. Algumas organizações criadas entre fevereiro de 2024 e abril de 2024 também pode ter essas restrições de política padrão definidas. Para acessar a organização políticas aplicadas à sua organização, consulte Como visualizar as políticas da organização.
Como administrador, os cenários em que as políticas da organização são aplicadas automaticamente:
- Conta do Google Workspace ou do Cloud Identity: quando você tem uma conta do Google Workspace. ou do Cloud Identity, é criado um recurso da organização associados ao seu domínio. As políticas de segurança por padrão da organização são aplicada automaticamente ao recurso da organização.
- Criação da conta de faturamento: se a conta de faturamento criada não estiver associada a um recurso da organização, esse recurso é automaticamente criados. As políticas de segurança por padrão da organização são aplicadas recurso da organização. Esse cenário funciona no console do Google Cloud e CLI gcloud.
Permissões necessárias
O papel de gerenciamento de identidade e acesso
roles/orgpolicy.policyAdmin permite que um administrador gerencie políticas da organização. É necessário ser uma organização
administrador de políticas altere ou modifique as políticas da organização.
Para conceder o papel, execute o seguinte comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Substitua:
ORGANIZATION: identificador exclusivo da organização.PRINCIPAL: o principal para adicionar a vinculação. Isso deve ser de o formuláriouser|group|serviceAccount:emailoudomain:domain. Por exemplo,user:222larabrown@gmail.com.ROLE: papel a ser concedido ao principal. Use o caminho completo de uma predefinido. Nesse caso, precisa serroles/orgpolicy.policyAdmin.
Políticas da organização aplicadas nos recursos da organização
A tabela a seguir lista as restrições das políticas da organização são aplicadas automaticamente quando você cria um recurso da organização.
| Nome da política da organização | Restrição da política da organização | Descrição | Impacto da aplicação da política |
|---|---|---|---|
| Desativar a criação de chaves da conta de serviço | iam.disableServiceAccountKeyCreation |
Impeça que os usuários criem chaves persistentes para contas de serviço. Para informações sobre como gerenciar chaves conta de serviço, consulte Fornecer alternativas para a criação de conta de serviço serviço. | Reduz o risco de credenciais expostas da conta de serviço. |
| Desativar o upload de chave da conta de serviço | iam.disableServiceAccountKeyUpload |
Impeça o upload de chaves públicas externas para contas de serviço. Para informações sobre como acessar recursos sem chaves de conta de serviço, consulte estas práticas recomendadas. | Reduz o risco de credenciais expostas da conta de serviço. |
| Desativar atribuições automáticas de papéis a contas de serviço padrão | iam.automaticIamGrantsForDefaultServiceAccounts |
Impeça que as contas de serviço padrão recebam o papel do IAM excessivamente permissivo Editor na criação. |
O papel Editor permite que a conta de serviço crie e exclua recursos para a maioria dos serviços do Google Cloud, o que cria uma vulnerabilidade se a conta de serviço for comprometida. |
| Restringir identidades por domínio | iam.allowedPolicyMemberDomains |
Limitar o compartilhamento de recursos a identidades que pertencem a um recurso da organização específico. | Deixando o recurso da organização aberto ao acesso de atores com domínios diferentes do que o do cliente cria uma vulnerabilidade. |
| Restringir contatos por domínio | essentialcontacts.allowedContactDomains |
Limite os contatos essenciais para permitir que apenas identidades de usuário gerenciadas em domínios selecionados recebam notificações da plataforma. | Um usuário de má-fé com um domínio diferente pode ser adicionado como Contatos essenciais, levando a uma postura de segurança comprometida. |
| Acesso uniforme no bucket | storage.uniformBucketLevelAccess |
Impedir que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para conceder acesso. | Aplica consistência para gerenciamento e auditoria de acesso. |
| Usar DNS zonal por padrão | compute.setNewProjectDefaultToZonalDNSOnly |
Definir restrições em que os desenvolvedores de aplicativos não podem escolher configurações de DNS globais para instâncias do Compute Engine. | As configurações de DNS global têm confiabilidade de serviço menor do que as configurações de DNS por zona. |
Gerenciar a aplicação das políticas da organização
Você pode gerenciar a aplicação das políticas da organização das seguintes maneiras:
Listar políticas da organização
Para verificar se as políticas da organização segurança por padrão são aplicadas à sua organização, use este comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo identificador exclusivo da sua organização.
Desativar políticas da organização
Para desativar ou excluir uma política da organização, execute o seguinte comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Substitua:
CONSTRAINT_NAMEé o nome da política da organização. que você quer excluir. Um exemplo éiam.allowedPolicyMemberDomains.ORGANIZATION_IDé o identificador exclusivo da sua organização.
Adicionar ou atualizar valores para uma política da organização
Para adicionar ou atualizar valores a uma política da organização, você precisa armazenar os valores em um arquivo YAML. Um exemplo de como o conteúdo desse arquivo pode ser:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para adicionar ou atualizar os valores listados no arquivo YAML, execute o seguinte comando:
gcloud org-policies set-policy POLICY_FILE
Substitua POLICY_FILE pelo caminho para o arquivo YAML que contém o
da política da organização.