Diretrizes da organização

Verifique se apenas as identidades da sua organização têm permissão no ambiente Google Cloud . Use a restrição de política da organização Compartilhamento restrito de domínio (iam.allowedPolicyMemberDomains) ou iam.managed.allowedPolicyMembers para definir um ou mais IDs de cliente do Cloud Identity ou do Google Workspace com principais que podem ser adicionados às políticas do Identity and Access Management (IAM).

Essas restrições ajudam a impedir que os funcionários concedam acesso a contas externas fora do controle da sua organização que não seguem as políticas de segurança para autenticação multifator (MFA) ou gerenciamento de senhas. Esse controle é fundamental para evitar o acesso não autorizado e garantir que apenas identidades corporativas gerenciadas e confiáveis possam ser usadas.

A restrição de local do recurso (gcp.resourceLocations) garante que apenas as regiões Google Cloud aprovadas sejam usadas para armazenar dados. O valor é específico para seus sistemas e corresponde à lista aprovada de regiões da sua organização para residência de dados.

Com essa restrição, sua organização pode garantir que os recursos e dados sejam criados e salvos apenas em regiões geográficas específicas e aprovadas.

A restrição gcp.restrictServiceUsage garante que apenas os serviços aprovados Google Cloud sejam usados nos lugares certos. Por exemplo, uma pasta de produção ou altamente sensível tem uma pequena lista de serviços Google Cloud aprovados para armazenar dados. Uma pasta de sandbox pode ter uma lista maior de serviços e controles de segurança de dados para ajudar a evitar a exfiltração de dados. O valor é específico para seus sistemas e corresponde à sua lista aprovada de serviços e dependências para pastas e projetos específicos.

Com essa restrição, sua organização pode criar uma lista de permissões de serviços aprovados, o que ajuda a impedir que os funcionários usem serviços não testados.