Se sei un nuovo cliente, Google Cloud esegue automaticamente il provisioning di una risorsa dell'organizzazione per il tuo dominio nei seguenti scenari:
- Un utente del tuo dominio accede per la prima volta.
- Un utente crea un account di fatturazione a cui non è associata un'organizzazione risorsa.
La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da valori senza restrizioni all’accesso, può rendere l’infrastruttura suscettibile a violazioni della sicurezza. Per Ad esempio, la creazione di chiavi di account di servizio predefinite è una vulnerabilità critica l'esposizione dei sistemi a potenziali violazioni.
Con l'applicazione forzata dei criteri dell'organizzazione in modo sicuro, le posture vengono risolte con un pacchetto di criteri dell'organizzazione al momento della creazione di una risorsa dell'organizzazione. Esempi di queste applicazioni delle norme incluse la disattivazione della creazione delle chiavi dell'account di servizio e la disattivazione del caricamento della chiave dell'account di servizio.
Quando un utente esistente crea un'organizzazione, la security posture nuove risorse dell'organizzazione potrebbero essere diverse da quelle esistenti. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati a tutte le organizzazioni creato a partire dal 3 maggio 2024. Alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero aver impostato le applicazioni dei criteri predefiniti. Per visualizzare l'organizzazione i criteri applicati alla tua organizzazione, consulta Visualizzazione dei criteri dell'organizzazione.
In qualità di amministratore, di seguito sono riportati gli scenari in cui i criteri dell'organizzazione le applicazioni delle norme vengono applicate automaticamente:
- Account Google Workspace o Cloud Identity: se hai un account Google Workspace o Cloud Identity, viene creata una risorsa organizzazione che associati al tuo dominio. I criteri dell'organizzazione, sicuri per impostazione predefinita, in modo che sia applicata automaticamente alla risorsa dell'organizzazione.
- Creazione dell'account di fatturazione: se l'account di fatturazione creato non è associato con una risorsa organizzazione, questa viene automaticamente è stato creato. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati risorsa dell'organizzazione. Questo scenario funziona sia sulla console Google Cloud e gcloud CLI.
Autorizzazioni obbligatorie
Ruolo Identity and Access Management
roles/orgpolicy.policyAdmin attiva
e un amministratore per gestire i criteri dell'organizzazione. Devi essere un'organizzazione
amministratore dei criteri per modificare o eseguire l'override dei criteri dell'organizzazione.
Per concedere il ruolo, esegui questo comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Sostituisci quanto segue:
ORGANIZATION: identificatore univoco della tua organizzazione.PRINCIPAL: l'entità per cui aggiungere l'associazione. Deve essere di il modulouser|group|serviceAccount:emailodomain:domain. Ad esempio:user:222larabrown@gmail.com.ROLE: ruolo da concedere all'entità. Utilizza il percorso completo ruolo predefinito. In questo caso, dovrebbe essereroles/orgpolicy.policyAdmin.
Criteri dell'organizzazione applicati alle risorse dell'organizzazione
La tabella seguente elenca i vincoli dei criteri dell'organizzazione in modo forzato quando si crea una risorsa organizzazione.
| Nome criterio dell'organizzazione | Vincolo dei criteri dell'organizzazione | Descrizione | Impatto dell'applicazione delle norme |
|---|---|---|---|
| Disabilitare la creazione di chiavi dell'account di servizio | iam.disableServiceAccountKeyCreation |
Impedisci agli utenti di creare chiavi permanenti per gli account di servizio. Per informazioni sulla gestione delle chiavi degli account di servizio, vedi Fornire alternative alla creazione delle chiavi degli account di servizio. | Riduce il rischio di compromissione delle credenziali degli account di servizio. |
| Disattivare il caricamento delle chiavi dell'account di servizio | iam.disableServiceAccountKeyUpload |
Impedisci il caricamento di chiavi pubbliche esterne negli account di servizio. Per informazioni sull'accesso alle risorse senza chiavi dell'account di servizio, consulta queste best practice. | Riduce il rischio di compromissione delle credenziali degli account di servizio. |
| Disattivare le concessioni automatiche di ruoli agli account di servizio predefiniti | iam.automaticIamGrantsForDefaultServiceAccounts |
Impedisci agli account di servizio predefiniti di ricevere il ruolo IAM eccessivamente permissivo Editor al momento della creazione. |
Il ruolo Editor consente all'account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud, creando una vulnerabilità se l'account di servizio viene compromesso. |
| Limitare le identità in base al dominio | iam.allowedPolicyMemberDomains |
Limita la condivisione delle risorse alle identità che appartengono a una determinata risorsa dell'organizzazione. | Lasciare la risorsa dell'organizzazione aperta per l'accesso da parte di attori con domini diversi dei clienti crea una vulnerabilità. |
| Limitare i contatti in base al dominio | essentialcontacts.allowedContactDomains |
Limita i contatti necessari in modo da consentire solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. | Un utente malintenzionato con un dominio diverso potrebbe essere aggiunto come Contatti necessari, causando una compromissione della security posture. |
| Accesso uniforme a livello di bucket | storage.uniformBucketLevelAccess |
Impedisci ai bucket Cloud Storage di utilizzare ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso. | Garantisce la coerenza per la gestione e il controllo degli accessi. |
| Usa DNS di zona per impostazione predefinita | compute.setNewProjectDefaultToZonalDNSOnly |
Configura restrizioni per le quali gli sviluppatori di applicazioni non possono scegliere impostazioni DNS globali per le istanze di Compute Engine. | Le impostazioni DNS globali hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS di zona. |
Gestisci l'applicazione dei criteri dell'organizzazione
Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:
Elenca criteri dell'organizzazione
Per verificare se i criteri dell'organizzazione sicuri per impostazione predefinita sono applicati alla tua organizzazione, utilizza questo comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.
Disabilita criteri dell'organizzazione
Per disabilitare o eliminare un criterio dell'organizzazione, esegui questo comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAMEè il nome del criterio dell'organizzazione del vincolo che vuoi eliminare. Un esempio èiam.allowedPolicyMemberDomains.ORGANIZATION_IDè l'identificatore univoco della tua organizzazione.
Aggiungere o aggiornare i valori per un criterio dell'organizzazione
Per aggiungere o aggiornare i valori di un criterio dell'organizzazione, devi archiviare i valori in un file YAML. Ecco un esempio di come possono presentarsi i contenuti di questo file:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Per aggiungere o aggiornare questi valori elencati nel file YAML, esegui questo comando:
gcloud org-policies set-policy POLICY_FILE
Sostituisci POLICY_FILE con il percorso del file YAML che contiene
del criterio dell'organizzazione.