Se sei un nuovo cliente, Google Cloud esegue automaticamente il provisioning di una risorsa organizzazione per il tuo dominio nei seguenti scenari:
- Un utente del tuo dominio accede per la prima volta.
- Un utente crea un account di fatturazione a cui non è associata una risorsa organizzazione.
La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da un accesso illimitato, può rendere l'infrastruttura soggetta a violazioni della sicurezza. Ad esempio, la creazione di chiavi dell'account di servizio predefinito è una vulnerabilità critica che espone i sistemi a potenziali violazioni.
Con l'applicazione forzata dei criteri dell'organizzazione, sicura per impostazione predefinita, le posizioni non sicure vengono gestite con un bundle di criteri dell'organizzazione applicati al momento della creazione di una risorsa dell'organizzazione. Esempi di queste applicazioni includono la disattivazione della creazione delle chiavi dell'account di servizio e la disattivazione del caricamento delle chiavi dell'account di servizio.
Quando un utente esistente crea un'organizzazione, la strategia di sicurezza per la nuova risorsa dell'organizzazione è diversa da quella per le risorse esistenti dell'organizzazione. Ciò è dovuto all'applicazione di criteri dell'organizzazione sicuri per impostazione predefinita. L'applicazione di questi criteri verrà applicata alle organizzazioni create all'inizio del 2024, poiché la funzionalità viene distribuita gradualmente.
In qualità di amministratore, di seguito sono riportati gli scenari in cui l'applicazione automatica dei criteri dell'organizzazione:
- Account Google Workspace o Cloud Identity: se hai un account Google Workspace o Cloud Identity, viene creata una risorsa dell'organizzazione associata al tuo dominio. I criteri dell'organizzazione, sicuri per impostazione predefinita, vengono applicati automaticamente alla risorsa dell'organizzazione.
- Creazione dell'account di fatturazione: se l'account di fatturazione che crei non è associato a una risorsa dell'organizzazione, una risorsa dell'organizzazione viene creata automaticamente. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati alla risorsa dell'organizzazione. Questo scenario funziona sia sulla console Google Cloud sia su gcloud CLI.
Autorizzazioni obbligatorie
Il ruolo di Identity and Access Management roles/orgpolicy.policyAdmin consente a un amministratore di gestire i criteri dell'organizzazione. Per modificare o ignorare i criteri dell'organizzazione, devi essere un amministratore dei criteri.
Per concedere il ruolo, esegui questo comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Sostituisci quanto segue:
ORGANIZATION: identificatore univoco della tua organizzazione.PRINCIPAL: l'entità per cui aggiungere l'associazione. Deve essere nel formatouser|group|serviceAccount:emailodomain:domain. Ad esempio:user:222larabrown@gmail.com.ROLE: ruolo da concedere all'entità. Usa il percorso completo di un ruolo predefinito. In questo caso, deve essereroles/orgpolicy.policyAdmin.
Criteri dell'organizzazione applicati alle risorse dell'organizzazione
La seguente tabella elenca i vincoli dei criteri dell'organizzazione che vengono applicati automaticamente quando crei una risorsa dell'organizzazione.
| Nome criterio dell'organizzazione | Vincolo dei criteri dell'organizzazione | Descrizione | Impatto dell'applicazione |
|---|---|---|---|
| Disabilita la creazione di chiavi dell'account di servizio | iam.disableServiceAccountKeyCreation |
Impedisci agli utenti di creare chiavi permanenti per gli account di servizio. | Riduce il rischio di compromissione delle credenziali degli account di servizio. |
| Disabilita il caricamento delle chiavi dell'account di servizio | iam.disableServiceAccountKeyUpload |
Impedisci il caricamento di chiavi pubbliche esterne negli account di servizio. | Riduce il rischio di compromissione delle credenziali degli account di servizio. |
| Disattivare le concessioni automatiche dei ruoli per gli account di servizio predefiniti | iam.automaticIamGrantsForDefaultServiceAccounts |
Impedisci agli account di servizio predefiniti di ricevere il ruolo IAM eccessivamente permissivo Editor al momento della creazione. |
Il ruolo Editor consente all'account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud, creando così una vulnerabilità se l'account di servizio viene compromesso. |
| Limitare le identità in base al dominio | iam.allowedPolicyMemberDomains |
Limita la condivisione delle risorse alle identità che appartengono a una determinata risorsa dell'organizzazione. | Lasciare la risorsa dell'organizzazione aperta all'accesso da parte di soggetti con domini diversi da quelli del cliente crea una vulnerabilità. |
| Limitare i contatti in base al dominio | essentialcontacts.allowedContactDomains |
Limita i contatti necessari per consentire solo alle identità degli utenti gestiti nei domini selezionati di ricevere notifiche della piattaforma. | Un malintenzionato con un dominio diverso potrebbe essere aggiunto come contatti necessari, compromettendo il livello di sicurezza. |
| Accesso uniforme a livello di bucket | storage.uniformBucketLevelAccess |
Impedisci ai bucket Cloud Storage di utilizzare l'ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso. | Garantisce la coerenza per la gestione e il controllo degli accessi. |
| Utilizza il DNS di zona per impostazione predefinita | compute.setNewProjectDefaultToZonalDNSOnly |
Imposta restrizioni in cui gli sviluppatori di applicazioni non possono scegliere le impostazioni DNS globali per le istanze di Compute Engine. | Le impostazioni DNS globali hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS di zona. |
Gestisci l'applicazione dei criteri dell'organizzazione
Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:
Elenco criteri dell'organizzazione
Per verificare se i criteri dell'organizzazione secure-per-default vengono applicati alla tua organizzazione, utilizza il seguente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.
Disattiva i criteri dell'organizzazione
Per disabilitare o eliminare un criterio dell'organizzazione, esegui questo comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAMEè il nome del vincolo del criterio dell'organizzazione che vuoi eliminare. Un esempio èiam.allowedPolicyMemberDomains.ORGANIZATION_IDè l'identificatore univoco della tua organizzazione.
Aggiungi o aggiorna i valori per un criterio dell'organizzazione
Per aggiungere o aggiornare i valori per un criterio dell'organizzazione, devi archiviare i valori in un file YAML. Ecco un esempio di come possono essere i contenuti di questo file:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Per aggiungere o aggiornare questi valori elencati nel file YAML, esegui questo comando:
gcloud org-policies set-policy POLICY_FILE
Sostituisci POLICY_FILE con il percorso del file YAML che contiene i valori del criterio dell'organizzazione.