本節將介紹如何使用 Cloud Identity 管理員工用來存取服務的身分。 Google Cloud
外部身分識別資訊提供者做為可靠資料來源
建議您將 Cloud Identity 帳戶與現有的身分識別提供者建立連結。透過同盟,您可以確保現有的帳戶管理程序適用於 Google Cloud 和其他 Google 服務。
如果您沒有現有的身分識別提供者,可以直接在 Cloud Identity 中建立使用者帳戶。
下圖顯示身分同盟和單一登入 (SSO) 的概略視圖。本範例使用地端環境中的 Microsoft Active Directory 做為識別資訊提供者。
這張圖表說明下列最佳做法:
- 使用者身分是在位於地端環境且與 Cloud Identity 聯合的 Active Directory 網域中管理。Active Directory 會使用 Google Cloud Directory Sync,將身分資訊佈建至 Cloud Identity。
- 嘗試登入 Google 服務的使用者會重新導向至外部識別資訊提供者,透過現有憑證進行驗證,以使用 SAML 進行單一登入。系統不會將密碼同步至 Cloud Identity。
下表提供識別資訊提供者的設定指南連結。
| 識別資訊提供者 | 指引 |
|---|---|
| Active Directory | |
| Microsoft Entra ID (原稱 Azure AD) | |
| 其他外部識別資訊提供者 (例如 Ping 或 Okta) |
|
強烈建議您在身分識別提供者中,透過可防範網路釣魚的機制 (例如 Titan 安全金鑰),強制執行多重驗證。
本藍圖中的 Terraform 程式碼不會自動套用 Cloud Identity 的建議設定。請參閱 Cloud Identity 的管理控制項,瞭解除了部署 Terraform 程式碼外,您還必須設定哪些建議的安全設定。
存取權控管群組
主體是可以取得資源存取權的身分。主體包括使用者 Google 帳戶、Google 群組、Google Workspace 帳戶、Cloud Identity 網域和服務帳戶。部分服務也允許您授予存取權給所有透過 Google 帳戶驗證的使用者,或是網際網路上的所有使用者。如要讓主體與服務互動,您必須在 Identity and Access Management (IAM) 中授予主體角色。 Google Cloud
如要大規模管理 IAM 角色,建議您根據使用者的職務和存取權需求,將使用者指派至群組,然後將 IAM 角色授予這些群組。您應使用現有身分識別供應商的程序,將使用者新增至群組,以建立群組和成員資格。
不建議將 IAM 角色授予個別使用者,因為個別指派角色可能會增加管理及稽核角色的複雜度。
藍圖會設定群組和角色,授予基礎資源的唯讀存取權。建議您透過基礎管道部署藍圖中的所有資源,且不要授予使用者或群組角色,在管道外修改基礎資源。
下表列出藍圖設定的群組,這些群組可查看基礎資源。
| 名稱 | 說明 | 角色 | 範圍 |
|---|---|---|---|
grp-gcp-org-admin@example.com | 高權限管理員,可在機構層級授予 IAM 角色。他們可以存取任何其他角色。不建議日常使用這項權限。 | 機構管理員 | 組織 |
grp-gcp-billing-admin@example.com |
可修改 Cloud Billing 帳戶的高權限管理員。不建議日常使用這項權限。 | 帳單帳戶管理員 | 組織 |
grp-gcp-billing-viewer@example.com | 負責查看及分析所有專案支出的團隊。 | 帳單帳戶檢視者 | 組織 |
| BigQuery 使用者 | 帳單專案 | ||
grp-gcp-audit-viewer@example.com |
負責稽核安全性相關記錄的團隊。 | 記錄專案 | |
grp-gcp-security-reviewer@example.com |
負責審查雲端安全性的團隊。 | 安全性審查者 | 組織 |
grp-gcp-network-viewer@example.com |
負責查看及維護網路設定的團隊。 | Compute 網路檢視者 | 組織 |
grp-gcp-scc-admin@example.com |
負責設定 Security Command Center 的團隊。 | 安全中心管理員編輯者 | 組織 |
grp-gcp-secrets-admin@example.com |
負責管理、儲存及稽核應用程式所用憑證和其他密鑰的團隊。 | Secret Manager 管理員 | 密鑰專案 |
grp-gcp-kms-admin@example.com |
負責落實加密金鑰管理,以符合法規遵循要求的團隊。 | Cloud KMS 檢視者 | kms 專案 |
在基礎架構上建構自己的工作負載時,您可以建立其他群組,並根據每個工作負載的存取權需求,授予 IAM 角色。
強烈建議您避免使用基本角色 (例如擁有者、編輯者或檢視者),改用預先定義的角色。基本角色的權限過於寬鬆,可能造成安全風險。「擁有者」和「編輯者」角色可能會導致權限提升和橫向移動,而「檢視者」角色則包含讀取所有資料的權限。如需 IAM 角色的最佳做法,請參閱「安全使用 IAM」。
超級管理員帳戶
Cloud Identity 使用者可透過超級管理員帳戶略過機構的 SSO 設定,直接向 Cloud Identity 進行驗證。這項例外狀況是刻意設計,因此如果發生 SSO 設定錯誤或中斷的情況,超級管理員仍可存取 Cloud Identity 控制台。不過,這表示您必須為超級管理員帳戶提供額外保護。
為保護超級管理員帳戶,建議您一律在 Cloud Identity 中強制執行兩步驟驗證,並搭配使用安全金鑰。詳情請參閱「適用於管理員帳戶的安全性最佳做法」。
個人使用者帳戶問題
如果您在加入 Google Cloud前未使用 Cloud Identity 或 Google Workspace,貴機構的員工可能已使用與公司電子郵件身分相關聯的個人帳戶,存取其他 Google 服務,例如 Google Marketing Platform 或 YouTube。個人帳戶是由帳戶建立者個人全權擁有及管理。由於這些帳戶不受貴機構控管,且可能包含個人和公司資料,因此您必須決定如何將這些帳戶與其他公司帳戶合併。
建議您在加入 Google Cloud時整合現有的消費者使用者帳戶。如果尚未為所有使用者帳戶啟用 Google Workspace,建議封鎖個人帳戶的存取權。
Cloud Identity 的管理控制選項
Cloud Identity 具有各種管理控制項,但藍圖中的 Terraform 程式碼不會自動化這些控制項。建議您在建構基礎的過程中,及早強制執行這些最佳做法安全控制措施。
| 控管 | 說明 |
|---|---|
| 部署兩步驟驗證功能 | 使用者帳戶可能因網路釣魚、社交工程、密碼噴灑或其他各種威脅而遭到入侵。兩步驟驗證有助於減輕這類威脅。 建議您為機構中的所有使用者帳戶強制執行兩步驟驗證,並採用可防範網路釣魚的機制,例如 Titan 安全金鑰或其他以可防範網路釣魚的 FIDO U2F (CTAP1) 標準為基礎的金鑰。 |
| 設定服務的工作階段長度Google Cloud | 如果開發人員工作站上的 OAuth 持久性權杖遭到洩漏,可能會造成安全風險。建議您設定重新驗證政策,要求每 16 小時使用安全金鑰驗證一次。 |
| 設定 Google 服務的工作階段長度 | (僅限 Google Workspace 客戶)
如果其他 Google 服務的持續性網頁工作階段遭到公開,可能會造成安全風險。建議您強制執行最長網路工作階段長度,並與 SSO 供應商的工作階段長度控制設定保持一致。 |
| 從 Cloud Identity 與服務共用資料 Google Cloud | Google Workspace 或 Cloud Identity 的管理員活動稽核記錄通常是在管理控制台中管理及查看,與 Google Cloud 環境中的記錄分開。這些記錄包含與您環境相關的資訊,例如使用者登入事件。 Google Cloud 建議您將 Cloud Identity 稽核記錄分享至Google Cloud 環境,集中管理所有來源的記錄。 |
| 設定單一登入 (SSO) 後驗證 | 藍圖假設您已透過外部識別資訊提供者設定 SSO。 建議您根據 Google 的登入風險分析,啟用額外的控制層級。套用這項設定後,如果 Google 認為使用者登入行為可疑,可能會在使用者登入時要求他們回答額外的風險相關登入身分確認問題。 |
| 修正消費者使用者帳戶問題 | 如果使用者在您的網域中擁有有效的電子郵件地址,但沒有 Google 帳戶,可以註冊非受管的個人帳戶。這些帳戶可能含有公司資料,但不受帳戶生命週期管理程序控管。 建議您採取行動,確保所有使用者帳戶都是受管理帳戶。 |
| 停用超級管理員帳戶的帳戶救援功能 | 所有新客戶的超級管理員帳戶自助救援設定預設為關閉 (現有客戶可能已開啟這項設定)。關閉這項設定有助於降低風險,避免遭駭的手機、電子郵件或社交工程攻擊,讓攻擊者取得環境的超級管理員權限。 規劃內部程序,讓超級管理員在無法存取帳戶時,可以聯絡貴機構的其他超級管理員,並確保所有超級管理員都熟悉支援輔助復原程序。 |
| 為使用者設定強制密碼規定及監控規定執行情況 | 在大多數情況下,使用者密碼是透過外部身分識別提供者管理,但超級管理員帳戶會略過 SSO,且必須使用密碼登入 Cloud Identity。禁止重複使用密碼,並監控所有使用密碼登入 Cloud Identity 的使用者 (尤其是超級管理員帳戶) 的密碼強度。 |
| 設定全機構適用的群組使用政策 | 根據預設,外部使用者帳戶可以加入 Cloud Identity 中的群組。建議您設定共用設定,禁止群組擁有者新增外部成員。 請注意,這項限制不適用於超級管理員帳戶,或具備群組管理員權限的其他委派管理員。由於身分提供者聯盟是以管理員權限執行,因此群組共用設定不適用於這項群組同步作業。建議您檢查身分識別提供者和同步機制中的控制項,確保非網域成員不會新增至群組,或套用群組限制。 |
後續步驟
- 請參閱本系列文件的下一篇,瞭解機構架構。