Si eres un cliente nuevo, Google Cloud aprovisiona automáticamente un recurso de organización para tu dominio en las siguientes situaciones:
- Un usuario de tu dominio accede por primera vez.
- Un usuario crea una cuenta de facturación que no tiene una organización asociada. recurso.
La configuración predeterminada de este recurso de organización, caracterizada por restricciones de acceso, pueden hacer que la infraestructura sea suceptible de violaciones de la seguridad. Para Por ejemplo, la creación de una clave de cuenta de servicio predeterminada es una vulnerabilidad y exponer los sistemas a posibles violaciones.
Con la aplicación de políticas de la organización con seguridad predeterminada, de seguridad se abordan con un paquete de políticas de la organización que en el momento de la creación de un recurso de la organización. Algunos ejemplos de estas aplicaciones forzosas incluyen inhabilitar la creación de claves de cuentas de servicio y la carga de claves de cuentas de servicio.
Cuando un usuario existente crea una organización, la postura de seguridad del un nuevo recurso de la organización puede ser diferente de los recursos existentes. Las políticas de la organización con seguridad de forma predeterminada se aplican a todas las organizaciones creadas a partir del 3 de mayo de 2024. Algunas organizaciones crearon entre febrero de 2024. y abril de 2024 también podrían tener configuradas estas aplicaciones de políticas predeterminadas. Para ver las políticas de la organización aplicadas a tu organización, consulta Visualiza las políticas de la organización.
Como administrador, estas son las situaciones en las que estas políticas de políticas se aplican automáticamente:
- Cuenta de Google Workspace o Cloud Identity: Cuando tienes una cuenta de Google Workspace o Cloud Identity, se crea un recurso de organización asociado con tu dominio. Las políticas de la organización con seguridad de forma predeterminada son se aplican automáticamente en el recurso de la organización.
- Creación de una cuenta de facturación: Si la cuenta de facturación que creas no está asociada con un recurso de organización, se creará uno automáticamente. Las políticas de la organización con seguridad de forma predeterminada se aplican en la recurso de la organización. Esta situación funciona en la consola de Google Cloud y en la CLI de gcloud.
Permisos necesarios
La función de administración de identidades y accesos roles/orgpolicy.policyAdmin permite a un administrador gestionar las políticas de la organización. Debes ser una organización
administrador de políticas para cambiar o anular las políticas de la organización.
Para otorgar el rol, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Reemplaza lo siguiente:
ORGANIZATION: Es el identificador único de tu organización.PRINCIPAL: La principal a la que se agregará la vinculación. Debe tener el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo,user:222larabrown@gmail.com.ROLE: Es el rol que se otorgará al principal. Usa la ruta de acceso completa de un rol predefinido. En este caso, debería serroles/orgpolicy.policyAdmin.
Políticas de la organización aplicadas a los recursos de la organización
En la siguiente tabla, se muestran las restricciones de la política de la organización que se aplican automáticamente cuando creas un recurso de organización.
| Nombre de la política de la organización | Restricción de las políticas de la organización | Descripción | Impacto de la aplicación forzosa |
|---|---|---|---|
| Inhabilita la creación de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyCreation |
Evita que los usuarios creen claves persistentes para las cuentas de servicio. Para obtener información sobre cómo administrar claves de cuentas de servicio, consulta Proporciona alternativas a la creación de claves de cuentas de servicio. | Reduce el riesgo de que se expongan las credenciales de la cuenta de servicio. |
| Inhabilita la carga de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyUpload |
Evita la carga de claves públicas externas a cuentas de servicio. Si quieres obtener información para acceder a recursos sin claves de cuentas de servicio, consulta estas prácticas recomendadas. | Reduce el riesgo de que se expongan las credenciales de la cuenta de servicio. |
| Inhabilita las asignaciones de roles automáticas a las cuentas de servicio predeterminadas | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impide que las cuentas de servicio predeterminadas reciban el rol de IAM demasiado permisivo Editor en el momento de su creación. |
El rol Editor permite que la cuenta de servicio cree y borre recursos para la mayoría de los servicios de Google Cloud, lo que crea una vulnerabilidad si se vulnera la cuenta de servicio. |
| Restringe identidades por dominio | constraints/iam.allowedPolicyMemberDomains |
Limita el uso compartido de recursos a las identidades que pertenecen a un recurso de la organización en particular. | Dejar el recurso de la organización abierto para que lo accedan actores con dominios distintos del del cliente crea una vulnerabilidad. |
| Cómo restringir contactos por dominio | constraints/essentialcontacts.allowedContactDomains |
Limita los Contactos esenciales para que solo las identidades de usuario administradas de los dominios seleccionados puedan recibir notificaciones de la plataforma. | Es posible que una persona o entidad que actúa de mala fe con un dominio diferente se agregue como contacto esencial, lo que podría comprometer la postura de seguridad. |
| Acceso uniforme a nivel de bucket | constraints/storage.uniformBucketLevelAccess |
Impedir que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso | Aplica la coherencia en la administración de accesos y en la auditoría. |
| Usa el DNS zonal de forma predeterminada | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Establece restricciones en las que los desarrolladores de aplicaciones no puedan elegir la configuración de DNS global para las instancias de Compute Engine. | La configuración de DNS global tiene una confiabilidad del servicio menor que la configuración de DNS zonal. |
| Restringe el reenvío de protocolo en función del tipo de dirección IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Restringe la configuración de reenvío de protocolos solo para direcciones IP internas. | Protege las instancias de destino de la exposición al tráfico externo. |
Administra la aplicación de las políticas de la organización
Puedes administrar la aplicación de las políticas de la organización de las siguientes maneras:
Mostrar lista de políticas de la organización
Para verificar si las políticas de organización seguras de forma predeterminada se aplican en tu organización, usa el siguiente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el identificador único de tu organización.
Inhabilitar políticas de la organización
Para inhabilitar o borrar una política de la organización, ejecuta el siguiente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Reemplaza lo siguiente:
CONSTRAINT_NAMEes el nombre de la restricción de la política de la organización que deseas borrar. Un ejemplo esiam.allowedPolicyMemberDomains.ORGANIZATION_IDes el identificador único de tu organización.
Agrega o actualiza valores para una política de la organización
Para agregar o actualizar valores de una política de organización, debes almacenarlos en un archivo YAML. Este es un ejemplo de cómo puede verse el contenido de este archivo:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para agregar o actualizar estos valores enumerados en el archivo YAML, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_FILE
Reemplaza POLICY_FILE por la ruta de acceso al archivo YAML que contiene la
de la política de la organización.