Pedoman organisasi

Pastikan hanya identitas dari organisasi Anda yang diizinkan di Google Cloud lingkungan Anda. Gunakan batasan kebijakan organisasi Berbagi yang dibatasi domain (iam.allowedPolicyMemberDomains) atau iam.managed.allowedPolicyMembers untuk menentukan satu atau beberapa ID pelanggan Cloud Identity atau Google Workspace yang pokoknya dapat ditambahkan ke kebijakan Identity and Access Management (IAM).

Batasan ini membantu mencegah karyawan memberikan akses ke akun eksternal di luar kontrol organisasi Anda yang tidak mengikuti kebijakan keamanan Anda untuk autentikasi multi-faktor (MFA) atau pengelolaan sandi. Kontrol ini sangat penting untuk mencegah akses yang tidak sah, sehingga memastikan bahwa hanya identitas perusahaan terkelola yang tepercaya yang dapat digunakan.

Batasan Lokasi Resource (gcp.resourceLocations) memastikan bahwa hanya region Google Cloud yang disetujui yang digunakan untuk menyimpan data. Nilai ini khusus untuk sistem Anda dan cocok dengan daftar wilayah yang disetujui organisasi Anda untuk residensi data.

Batasan ini memungkinkan organisasi Anda memastikan bahwa resource dan data Anda hanya dibuat dan disimpan di wilayah geografis tertentu yang telah disetujui.

Batasan gcp.restrictServiceUsage memastikan bahwa hanya layanan yang disetujui Google Cloud yang digunakan di tempat yang tepat. Misalnya, folder produksi atau folder yang berisi data yang sangat sensitif memiliki daftar kecil Google Cloud layanan yang disetujui untuk menyimpan data. Folder sandbox mungkin memiliki daftar layanan yang lebih besar dan kontrol keamanan data yang menyertainya untuk membantu mencegah pemindahan data yang tidak sah. Nilai ini khusus untuk sistem Anda dan cocok dengan daftar layanan dan dependensi yang disetujui untuk folder dan project tertentu.

Batasan ini memungkinkan organisasi Anda membuat daftar yang diizinkan untuk layanan yang disetujui, yang membantu mencegah karyawan menggunakan layanan yang tidak diperiksa.