如果您是新客户,在以下情况下,Google Cloud 会自动为您的网域预配组织资源:
- 您网域中的用户进行了首次登录。
- 用户创建的结算帐号没有关联的组织资源。
此组织资源的默认配置(特征为访问不受限制)可能会使基础架构容易受到安全漏洞的影响。例如,创建默认服务帐号密钥就是将系统暴露于潜在漏洞的严重漏洞。
通过默认安全的组织政策强制执行,可通过创建组织资源时强制执行的一系列组织政策来解决不安全状况。这些强制执行措施的示例包括禁止创建服务帐号密钥和停用服务帐号密钥上传功能。
当现有用户创建组织时,新组织资源的安全状况与现有组织资源不同。这是因为,系统会强制执行默认安全的组织政策。这些政策将适用于 2024 年初创建的组织,并逐步部署该功能。
作为管理员,在下列情况下,系统会自动应用这些组织政策强制执行:
- Google Workspace 或 Cloud Identity 帐号:如果您有 Google Workspace 或 Cloud Identity 帐号,系统会创建与您的网域关联的组织资源。系统会自动对组织资源强制执行默认安全的组织政策。
- 结算帐号创建:如果您创建的结算帐号未与组织资源关联,则系统会自动创建组织资源。系统会在组织资源上强制执行默认安全的组织政策。这种情况同时适用于 Google Cloud 控制台和 gcloud CLI。
所需权限
Identity and Access Management 角色 roles/orgpolicy.policyAdmin 可让管理员管理组织政策。您必须是组织政策管理员才能更改或覆盖组织政策。如需授予该角色,请运行以下命令:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
替换以下内容:
ORGANIZATION:贵组织的唯一标识符。PRINCIPAL:要为其添加绑定的主账号。其格式应为user|group|serviceAccount:email或domain:domain。例如user:222larabrown@gmail.com。ROLE:要授予主账号的角色。使用预定义角色的完整路径。在本例中,应为roles/orgpolicy.policyAdmin。
对组织资源强制执行的组织政策
下表列出了创建组织资源时会自动强制执行的组织政策限制条件。
| 组织政策名称 | 组织政策限制条件 | 说明 | 违规处置的影响 |
|---|---|---|---|
| 停用服务帐号密钥创建功能 | iam.disableServiceAccountKeyCreation |
禁止用户为服务帐号创建永久性密钥。 | 降低服务帐号凭据泄露的风险。 |
| 停用服务帐号密钥上传功能 | iam.disableServiceAccountKeyUpload |
阻止将外部公钥上传到服务帐号。 | 降低服务帐号凭据泄露的风险。 |
| 停用向默认服务帐号自动授予角色的功能 | iam.automaticIamGrantsForDefaultServiceAccounts |
防止默认服务账号在创建时获得过于宽松的 IAM 角色 Editor。 |
Editor 角色允许服务帐号为大多数 Google Cloud 服务创建和删除资源,这会在服务帐号被盗用时创建漏洞。 |
| 按网域限制身份 | iam.allowedPolicyMemberDomains |
仅允许属于特定组织资源的身份共享资源。 | 如果将组织资源开放给拥有客户自己网域以外的操作者访问,则会造成漏洞。 |
| 按网域限制联系人 | essentialcontacts.allowedContactDomains |
将“重要联系人”限制为仅允许所选网域中受管理的用户身份接收平台通知。 | 有其他网域的不良行为者可能会被添加为重要联系人,导致安全状况受到损害。 |
| 统一存储桶级访问权限 | storage.uniformBucketLevelAccess |
阻止 Cloud Storage 存储分区使用对象 ACL(独立于 IAM 政策的一个系统)来提供访问权限。 | 确保访问权限管理和审核的一致性。 |
| 默认使用可用区级 DNS | compute.setNewProjectDefaultToZonalDNSOnly |
设置限制,防止应用开发者为 Compute Engine 实例选择全局 DNS 设置。 | 与可用区级 DNS 设置相比,全局 DNS 设置的服务可靠性较低。 |
管理组织政策的强制执行情况
您可以通过以下方式管理组织政策的强制执行情况:
列出组织政策
如需检查您的组织是否强制执行了默认安全的组织政策,请使用以下命令:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为您的组织的唯一标识符。
停用组织政策
如需停用或删除组织政策,请运行以下命令:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
替换以下内容:
CONSTRAINT_NAME是您要删除的组织政策限制条件的名称。一个示例为iam.allowedPolicyMemberDomains。ORGANIZATION_ID是贵组织的唯一标识符。
为组织政策添加或更新值
如需为组织政策添加或更新值,您需要将值存储在 YAML 文件中。 此文件的内容示例:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
如需添加或更新 YAML 文件中列出的这些值,请运行以下命令:
gcloud org-policies set-policy POLICY_FILE
将 POLICY_FILE 替换为包含组织政策值的 YAML 文件的路径。