Gérer les ressources d'organisation sécurisées par défaut

Si vous êtes un nouveau client, Google Cloud provisionne automatiquement d'organisation de votre domaine dans les cas suivants:

  • Un utilisateur de votre domaine se connecte pour la première fois.
  • Un utilisateur crée un compte de facturation qui n'est associé à aucune organisation ressource.

La configuration par défaut de cette ressource d'organisation, caractérisée par un accès illimité, peut rendre l'infrastructure vulnérable aux violations de sécurité. Pour exemple : la création de clés de compte de service par défaut est une faille critique ce qui expose les systèmes à des violations potentielles.

Avec l'application des règles d'administration sécurisées par défaut, stratégies d'administration sont gérées à l'aide d'un ensemble de règles d'administration lors de la création d'une ressource Organisation. Par exemple, vous pouvez désactiver la création de clés de compte de service et l'importation de clés de compte de service.

Lorsqu'un utilisateur existant crée une organisation, la stratégie de sécurité nouvelle ressource Organisation peut être différente des ressources Organisation existantes. Les règles d'administration sécurisées par défaut sont appliquées à toutes les organisations créé à partir du 3 mai 2024. Il est également possible que ces mesures d'application des règles par défaut soient définies pour certaines organisations créées entre février 2024 et avril 2024. Afficher l'organisation appliquées à votre organisation, consultez Afficher les règles d'administration

En tant qu'administrateur, voici les scénarios dans lesquels ces mesures d'application des règles d'administration sont appliquées automatiquement :

  • Compte Google Workspace ou Cloud Identity : lorsque vous disposez d'un compte Google Workspace ou Cloud Identity, une ressource Organisation est créée et associée à votre domaine. Les règles d'administration de l'organisation de sécurité par défaut sont appliquées automatiquement à la ressource de l'organisation.
  • Création du compte de facturation: si le compte de facturation que vous créez n'est pas associé avec une ressource Organisation, celle-ci est automatiquement créé. Les règles d'administration sécurisées par défaut sont appliquées à la ressource d'organisation. Ce scénario fonctionne à la fois dans la console Google Cloud et gcloud CLI.

Autorisations requises

Le rôle Identity and Access Management roles/orgpolicy.policyAdmin permet à un administrateur de gérer les règles d'administration. Vous devez être une organisation de modifier ou d'ignorer les règles d'administration. Pour accorder le rôle, exécutez la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

Remplacez les éléments suivants :

  • ORGANIZATION : identifiant unique de votre organisation.
  • PRINCIPAL: compte principal pour lequel ajouter la liaison. Il doit être au format user|group|serviceAccount:email ou domain:domain. Par exemple, user:222larabrown@gmail.com.
  • ROLE: rôle à attribuer au compte principal Utilisez le chemin d'accès complet d'un rôle prédéfini. Dans ce cas, il doit s'agir de roles/orgpolicy.policyAdmin.

Règles d'administration appliquées aux ressources de l'organisation

Le tableau suivant répertorie les contraintes de règles d'administration qui sont automatiquement appliquées lorsque vous créez une ressource d'organisation.

Nom de la règle d'administration Contrainte liée aux règles d'administration Description Impact des mesures d'application
Désactiver la création de clés de compte de service constraints/iam.disableServiceAccountKeyCreation Empêchez les utilisateurs de créer des clés persistantes pour les comptes de service. Pour en savoir plus sur la gestion des clés de compte de service, consultez la section Proposer des alternatives à la création de clés de compte de service. Réduit le risque d'exposition des identifiants du compte de service.
Désactiver l'importation de clés de compte de service constraints/iam.disableServiceAccountKeyUpload Empêchez l'importation de clés publiques externes vers des comptes de service. Pour savoir comment accéder aux ressources sans clés de compte de service, consultez ces bonnes pratiques. Réduit le risque d'exposition des identifiants du compte de service.
Désactiver l'attribution automatique de rôles aux comptes de service par défaut constraints/iam.automaticIamGrantsForDefaultServiceAccounts Empêchez les comptes de service par défaut de recevoir le rôle IAM trop permissif Editor lors de la création. Le rôle Editor permet au compte de service de créer et de supprimer des ressources pour la plupart des services Google Cloud, ce qui crée une faille si le compte de service est compromis.
Restreindre les identités par domaine constraints/iam.allowedPolicyMemberDomains Limitez le partage de ressources aux identités qui appartiennent à une ressource d'organisation spécifique. Laisser la ressource de l'organisation accessible à des acteurs dont les domaines sont différents de ceux du client crée une faille de sécurité.
Limiter les contacts par domaine constraints/essentialcontacts.allowedContactDomains Limitez les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées des domaines sélectionnés à recevoir des notifications de la plate-forme. Un acteur malveillant disposant d'un domaine différent peut être ajouté en tant que contact essentiel, ce qui peut compromettre la sécurité.
Accès uniforme au niveau du bucket constraints/storage.uniformBucketLevelAccess Empêchez les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour accorder l'accès. Applique la cohérence pour la gestion et l'audit des accès.
Utiliser un DNS zonal par défaut constraints/compute.setNewProjectDefaultToZonalDNSOnly Définissez des restrictions empêchant les développeurs d'applications de choisir des paramètres DNS globaux pour les instances Compute Engine. Les paramètres DNS globaux présentent une fiabilité de service inférieure à celle des paramètres DNS zonaux.
Restreindre le transfert de protocole en fonction du type d'adresse IP constraints/compute.restrictProtocolForwardingCreationForTypes Restreignez la configuration du transfert de protocole pour les adresses IP internes uniquement. Protège les instances cibles de l'exposition au trafic externe.

Gérer l'application des règles d'administration

Vous pouvez gérer l'application des règles de l'organisation de différentes manières :

Répertorier les règles d'administration

Pour vérifier si les règles d'administration de l'organisation par défaut sont appliquées à votre organisation, utilisez la commande suivante :

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'identifiant unique de votre organisation.

Désactiver les règles d'administration

Pour désactiver ou supprimer une règle d'administration, exécutez la commande suivante:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Remplacez les éléments suivants :

  • CONSTRAINT_NAME est le nom de la règle d'administration. que vous souhaitez supprimer. Exemple : iam.allowedPolicyMemberDomains.
  • ORGANIZATION_ID est l'identifiant unique de votre organisation.

Ajouter ou mettre à jour les valeurs d'une règle d'administration

Pour ajouter ou mettre à jour les valeurs d'une règle d'administration, vous devez stocker les valeurs dans un fichier YAML. Exemple de contenu de ce fichier:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

Pour ajouter ou mettre à jour ces valeurs listées dans le fichier YAML, exécutez la commande suivante :

gcloud org-policies set-policy POLICY_FILE

Remplacez POLICY_FILE par le chemin d'accès au fichier YAML contenant le de la règle d'administration.