Se sei un nuovo cliente, Google Cloud esegue automaticamente il provisioning di una risorsa dell'organizzazione per il tuo dominio nei seguenti scenari:
- Un utente del tuo dominio accede per la prima volta.
- Un utente crea un account di fatturazione a cui non è associata una risorsa dell'organizzazione.
La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da accesso illimitato, può rendere l'infrastruttura vulnerabile a violazioni della sicurezza. Ad esempio, la creazione della chiave dell'account di servizio predefinita è una vulnerabilità critica che espone i sistemi a potenziali violazioni.
Con l'applicazione dei criteri dell'organizzazione sicuri per impostazione predefinita, le configurazioni di sicurezza non sicure vengono affrontate con un insieme di criteri dell'organizzazione applicati al momento della creazione di una risorsa dell'organizzazione. Alcuni esempi di queste applicazioni includono la disattivazione della creazione e del caricamento delle chiavi dell'account di servizio.
Quando un utente esistente crea un'organizzazione, la posizione di sicurezza della nuova risorsa dell'organizzazione potrebbe essere diversa da quella delle risorse dell'organizzazione esistenti. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati a tutte le organizzazioni create a partire dal 3 maggio 2024. Anche alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero avere impostato queste applicazioni predefinite delle norme. Per visualizzare i criteri dell'organizzazione applicati alla tua organizzazione, consulta Visualizzare i criteri dell'organizzazione.
In qualità di amministratore, di seguito sono riportati gli scenari in cui queste applicazioni delle norme dell'organizzazione vengono applicate automaticamente:
- Account Google Workspace o Cloud Identity: se hai un account Google Workspace o Cloud Identity, viene creata una risorsa organizzazione associata al tuo dominio. I criteri di sicurezza per impostazione predefinita dell'organizzazione vengono applicati automaticamente alla risorsa dell'organizzazione.
- Creazione dell'account di fatturazione: se l'account di fatturazione che crei non è associato a una risorsa dell'organizzazione, viene creata automaticamente una risorsa dell'organizzazione. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati alla risorsa dell'organizzazione. Questo scenario funziona sia nella console Google Cloud sia in gcloud CLI.
Autorizzazioni obbligatorie
Il ruolo IAM (Identity and Access Management)
roles/orgpolicy.policyAdmin
consente
a un amministratore di gestire i criteri dell'organizzazione. Per modificare o sostituire i criteri dell'organizzazione, devi essere un amministratore dei criteri dell'organizzazione.
Per concedere il ruolo, esegui il seguente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Sostituisci quanto segue:
ORGANIZATION
: identificatore univoco della tua organizzazione.PRINCIPAL
: l'entità per cui aggiungere l'associazione. Deve avere il formatouser|group|serviceAccount:email
odomain:domain
. Ad esempio:user:222larabrown@gmail.com
.ROLE
: il ruolo da concedere all'entità. Utilizza il percorso completo di un ruolo predefinito. In questo caso, dovrebbe essereroles/orgpolicy.policyAdmin
.
Criteri dell'organizzazione applicati alle risorse dell'organizzazione
La tabella seguente elenca i vincoli dei criteri dell'organizzazione applicati automaticamente quando crei una risorsa dell'organizzazione.
Nome del criterio dell'organizzazione | Vincolo delle policy dell'organizzazione | Descrizione | Impatto dell'applicazione |
---|---|---|---|
Disattivare la creazione di chiavi dell'account di servizio | constraints/iam.disableServiceAccountKeyCreation |
Impedisci agli utenti di creare chiavi permanenti per gli account di servizio. Per informazioni sulla gestione delle chiavi degli account di servizio, consulta Fornire alternative alla creazione di chiavi degli account di servizio. | Riduce il rischio di credenziali account di servizio esposte. |
Disattivare il caricamento delle chiavi dell'account di servizio | constraints/iam.disableServiceAccountKeyUpload |
Impedisci il caricamento di chiavi pubbliche esterne negli account di servizio. Per informazioni su come accedere alle risorse senza chiavi degli account di servizio, consulta queste best practice. | Riduce il rischio di credenziali account di servizio esposte. |
Disattivare la concessione automatica dei ruoli agli account di servizio predefiniti | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedisci agli account di servizio predefiniti di ricevere il ruolo IAM eccessivamente permissivo Editor al momento della creazione. |
Il ruolo Editor consente all'account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud, il che crea una vulnerabilità se l'account di servizio viene compromesso. |
Limitare le identità per dominio | constraints/iam.allowedPolicyMemberDomains |
Limita la condivisione delle risorse alle identità che appartengono a una risorsa dell'organizzazione specifica. | Se lasci la risorsa dell'organizzazione aperta all'accesso da parte di utenti con domini diversi da quello del cliente, crei una vulnerabilità. |
Limitare i contatti per dominio | constraints/essentialcontacts.allowedContactDomains |
Limita i contatti necessari in modo che consentano solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. | Un malintenzionato con un dominio diverso potrebbe essere aggiunto come contatto necessario, con conseguente compromissione della postura di sicurezza. |
Accesso uniforme a livello di bucket | constraints/storage.uniformBucketLevelAccess |
Impedisci ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso. | Impone la coerenza per la gestione e il controllo dell'accesso. |
Utilizzare il DNS di zona per impostazione predefinita | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Impostare limitazioni in base alle quali gli sviluppatori di applicazioni non possono scegliere le impostazioni DNS globali per le istanze Compute Engine. | Le impostazioni DNS globali hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS di zona. |
Limita il forwarding di protocollo in base al tipo di indirizzo IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Limita la configurazione dell'inoltro di protocollo solo per gli indirizzi IP interni. | Protegge le istanze target dall'esposizione al traffico esterno. |
Gestire l'applicazione dei criteri dell'organizzazione
Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:
Elenca i criteri dell'organizzazione
Per verificare se i criteri di sicurezza predefiniti per l'organizzazione sono applicati alla tua organizzazione, utilizza il seguente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID
con l'identificatore univoco della tua organizzazione.
Disattivare i criteri dell'organizzazione
Per disattivare o eliminare un criterio dell'organizzazione, esegui il seguente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAME
è il nome del vincolo del criterio dell'organizzazione che vuoi eliminare. Un esempio èiam.allowedPolicyMemberDomains
.ORGANIZATION_ID
è l'identificatore univoco della tua organizzazione.
Aggiungere o aggiornare i valori per un criterio dell'organizzazione
Per aggiungere o aggiornare i valori di una norma dell'organizzazione, devi archiviarli in un file YAML. Un esempio di come possono essere i contenuti di questo file:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Per aggiungere o aggiornare questi valori elencati nel file YAML, esegui il seguente comando:
gcloud org-policies set-policy POLICY_FILE
Sostituisci POLICY_FILE
con il percorso del file YAML contenente i valori del criterio dell'organizzazione.