Wenn Sie Neukunde sind, stellt Google Cloud automatisch eine Organisationsressource für Ihre Domain in den folgenden Fällen zu erstellen:
- Ein Nutzer aus Ihrer Domain meldet sich zum ersten Mal an.
- Ein Nutzer erstellt ein Abrechnungskonto, das keiner Organisationsressource zugeordnet ist.
Die Standardkonfiguration dieser Organisationsressource, gekennzeichnet durch „uneingeschränkt“ die Infrastruktur anfällig für Sicherheitsverstöße machen. Für Das Erstellen eines Standard-Dienstkontoschlüssels ist eine kritische Sicherheitslücke, Systeme potenziellen Sicherheitsverletzungen aussetzen.
Durch die Durchsetzung der standardmäßigen sicheren Organisationsrichtlinien Sicherheitsstatus werden mit einer Reihe von Organisationsrichtlinien behandelt, die erzwungen werden beim Erstellen einer Organisationsressource. Beispiele für diese Maßnahmen sind das Deaktivieren des Erstellens und Hochladens von Dienstkontoschlüsseln.
Wenn ein bestehender Nutzer eine Organisation erstellt, wird der Sicherheitsstatus für die neue Organisationsressource unterscheidet sich möglicherweise von den vorhandenen Organisationsressourcen. Standardmäßige sichere Organisationsrichtlinien werden für alle Organisationen erzwungen die am oder nach dem 3. Mai 2024 erstellt wurden. Einige Organisationen, die zwischen Februar 2024 erstellt wurden und ab April 2024 auch die folgenden standardmäßigen Richtlinienerzwingungen festgelegt. Informationen zu den auf Ihre Organisation angewendeten Organisationsrichtlinien finden Sie unter Organisationsrichtlinien aufrufen.
Für Sie als Administrator gibt es folgende Szenarien, in denen diese Organisationsrichtlinie Verstöße werden automatisch angewendet:
- Google Workspace- oder Cloud Identity-Konto: Wenn Sie ein Google Workspace-Konto haben oder Cloud Identity-Konto nutzen, wird eine Organisationsressource erstellt, die die mit Ihrer Domain verknüpft sind. Die standardmäßigen Sicherheitsrichtlinien der Organisation werden automatisch auf die Organisationsressource angewendet.
- Erstellen eines Rechnungskontos: Wenn das von Ihnen erstellte Rechnungskonto nicht mit einer Organisationsressource verknüpft ist, wird automatisch eine Organisationsressource erstellt. Die standardmäßigen sicheren Organisationsrichtlinien werden auf der Organisationsressource. Dieses Szenario funktioniert sowohl in der Google Cloud Console als auch und die gcloud CLI.
Erforderliche Berechtigungen
Die IAM-Rolle (Identity and Access Management) roles/orgpolicy.policyAdmin ermöglicht einem Administrator die Verwaltung von Organisationsrichtlinien. Sie müssen eine Organisation sein
Richtlinienadministrator, um Organisationsrichtlinien zu ändern oder zu überschreiben.
Führen Sie zum Zuweisen der Rolle den folgenden Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Ersetzen Sie Folgendes:
ORGANIZATION: Eindeutige Kennung Ihrer Organisation.PRINCIPAL: Das Hauptkonto, für das die Bindung hinzugefügt werden soll. Dieser muss das Formatuser|group|serviceAccount:emailoderdomain:domainhaben. Beispiel:user:222larabrown@gmail.comROLE: Rolle, die dem Hauptkonto gewährt werden soll. Verwenden Sie den vollständigen Pfad einer vordefinierten Rolle. In diesem Fall sollte esroles/orgpolicy.policyAdminsein.
Organisationsrichtlinien, die für Organisationsressourcen erzwungen werden
In der folgenden Tabelle sind die Einschränkungen der Organisationsrichtlinie aufgeführt, die automatisch erzwungen werden, wenn Sie eine Organisationsressource erstellen.
| Name der Organisationsrichtlinie | Einschränkung der Organisationsrichtlinie | Beschreibung | Auswirkungen der Durchsetzung |
|---|---|---|---|
| Erstellen von Dienstkontoschlüsseln deaktivieren | constraints/iam.disableServiceAccountKeyCreation |
Verhindern, dass Nutzer persistente Schlüssel für Dienstkonten erstellen. Informationen zum Verwalten von Dienstkontoschlüsseln finden Sie unter Alternativen zum Erstellen von Dienstkontoschlüsseln bieten. | Das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden, wird verringert. |
| Hochladen von Dienstkontoschlüsseln deaktivieren | constraints/iam.disableServiceAccountKeyUpload |
Verhindern Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten. Informationen zum Zugriff auf Ressourcen ohne Dienstkontoschlüssel finden Sie in diesen Best Practices. | Das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden, wird verringert. |
| Standarddienstberechtigungen für Standarddienstkonten deaktivieren | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Verhindern, dass Standarddienstkonten bei der Erstellung die zu moderate IAM-Rolle Editor erhalten. |
Die Rolle Editor ermöglicht dem Dienstkonto, Ressourcen für die meisten Google Cloud-Dienste zu erstellen und zu löschen. Dadurch entsteht eine Sicherheitslücke, wenn das Dienstkonto manipuliert wird. |
| Identitäten nach Domain einschränken | constraints/iam.allowedPolicyMemberDomains |
Beschränken Sie die Ressourcenfreigabe auf Identitäten, die zu einer bestimmten Organisationsressource gehören. | Wenn die Ressourcen der Organisation für Akteure mit anderen Domains als der des Kunden zugänglich sind, entsteht eine Sicherheitslücke. |
| Kontakte nach Domain einschränken | constraints/essentialcontacts.allowedContactDomains |
Beschränken Sie „Wichtige Kontakte“ so, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten. | Ein böswilliger Akteur mit einer anderen Domain kann als wichtiger Kontakt hinzugefügt werden, was zu einer beeinträchtigten Sicherheit führt. |
| Einheitlicher Zugriff auf Bucket-Ebene | constraints/storage.uniformBucketLevelAccess |
Verhindern, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. | Erzwingt Konsistenz bei der Zugriffsverwaltung und -prüfung. |
| Standardmäßig zonales DNS verwenden | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Sie können Einschränkungen festlegen, durch die Anwendungsentwickler keine globalen DNS-Einstellungen für Compute Engine-Instanzen auswählen können. | Globale DNS-Einstellungen bieten eine geringere Dienstzuverlässigkeit als zonale DNS-Einstellungen. |
| Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken | constraints/compute.restrictProtocolForwardingCreationForTypes |
Schränken Sie die Konfiguration der Protokollweiterleitung nur für interne IP-Adressen ein. | Schützt Zielinstanzen vor externem Traffic. |
Erzwingung von Organisationsrichtlinien verwalten
Sie können die Erzwingung von Organisationsrichtlinien auf folgende Arten verwalten:
Organisationsrichtlinien auflisten
Mit dem folgenden Befehl können Sie prüfen, ob die standardmäßig sicheren Organisationsrichtlinien für Ihre Organisation erzwungen werden:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennzeichnung Ihrer Organisation.
Organisationsrichtlinien deaktivieren
Führen Sie den folgenden Befehl aus, um eine Organisationsrichtlinie zu deaktivieren oder zu löschen:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAMEist der Name der Einschränkung der Organisationsrichtlinie, die Sie löschen möchten. Ein Beispiel dafür istiam.allowedPolicyMemberDomains.ORGANIZATION_IDist die eindeutige Kennzeichnung Ihrer Organisation.
Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren
Wenn Sie Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren möchten, müssen Sie die Werte in einer YAML-Datei speichern. Hier sehen Sie ein Beispiel für den Inhalt dieser Datei:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Führen Sie den folgenden Befehl aus, um die in der YAML-Datei aufgeführten Werte hinzuzufügen oder zu aktualisieren:
gcloud org-policies set-policy POLICY_FILE
Ersetzen Sie POLICY_FILE durch den Pfad zur YAML-Datei, die den
Werte der Organisationsrichtlinie fest.