Le service de règles d'administration offre aux clients un contrôle centralisé et automatisé pour définir des restrictions sur les ressources de leur organisation. Chaque type de restriction est défini comme une contrainte et est conceptuellement semblable à un modèle qui définit les comportements contrôlés. La création et la maintenance de règles d'administration peuvent être complexes, car les exigences en matière de sécurité et de conformité évoluent au fil du temps.
L'outil de recommandation de règles d'administration vous aide à sécuriser vos Google Cloud ressources sans perturber les systèmes clients. Il analyse les configurations de règles d'administration existantes et génère des recommandations sur les règles d'administration à appliquer.
Présentation des recommandations de règles d'administration
Les recommandations de règles d'administration sont générées par l'outil de recommandation de règles d'administration. L'outil de recommandation de règles d'administration est l'un des outils de recommandation proposés par l'outil de recommandation.
Chaque recommandation de règle d'administration vous suggère de définir une règle d'administration particulière pour améliorer la sécurité de vos Google Cloud ressources. Une règle d'administration est basée sur une contrainte, qui est une configuration de restrictions sur un Google Cloud service.
L'outil de recommandation de règles d'administration utilise des insights sur les règles d'administration pour identifier les règles d'administration qui ne sont pas définies. Les insights sur les règles d'administration sont des résultats concernant l'état d'application d'une contrainte de règle d'administration sur vos ressources et indiquant si vos ressources enfreignent cette règle d'administration.
Une ressource est considérée comme enfreignant une règle d'administration si elle se trouve dans un état restreint par cette règle d'administration. Par exemple, la contrainte iam.managed.disableServiceAccountKeyCreation vous permet de limiter la création de clés de compte de service. Si une clé de compte de service a été créée dans un projet, le service de règles d'administration considère que ce projet enfreint cette règle d'administration.
Comment les insights et les recommandations sont-ils générés ?
Une recommandation est une suggestion visant à optimiser votre utilisation des Google Cloud ressources. Elle inclut les étapes nécessaires à suivre pour mettre en œuvre la recommandation et est créée à l'aide de journaux et d'une analyse des configurations de vos ressources afin de résoudre les failles identifiées par l'insight.
Les insights sont des résultats qui peuvent vous servir à examiner de manière proactive les tendances importantes dans l’utilisation des ressources. Ils contiennent le contexte nécessaire pour créer une recommandation.
L'outil de recommandation de règles d'administration génère des recommandations au niveau le plus élevé possible de la hiérarchie des ressources. Par exemple, si aucune contrainte compatible n'est enfreinte dans les projets d'un dossier, l'outil de recommandation de règles d'administration génère la recommandation pour ce dossier au lieu de fournir des recommandations pour les projets.
Contraintes compatibles
Chaque recommandation est spécifique à une contrainte de règle d'administration particulière.
Création d'une clé de compte de service
Par défaut, les utilisateurs disposant des autorisations appropriées peuvent
créer des clés de compte de service. Toutefois, les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. À l'aide de la contrainte de règle d'administration iam.managed.disableServiceAccountKeyCreation, vous pouvez désactiver la création de clés de compte de service externes pour tous les comptes de service d'un projet, d'un dossier ou d'une organisation.
L'outil de recommandation de règles d'administration vérifie l'existence de comptes de service gérés par l'utilisateur Identity and Access Management (IAM) et de clés externes de ces comptes de service pour déterminer s'ils enfreignent les restrictions concernant la création de clés de compte de service.
Si aucune clé de compte de service n'a été créée, l'outil de recommandation de règles d'administration génère une recommandation pour appliquer la contrainte iam.managed.disableServiceAccountKeyCreation et les détails de la recommandation dans les insights correspondants.
Les insights liés à la contrainte iam.managed.disableServiceAccountKeyCreation sont associés au sous-type ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Importation de clés de compte de service
Les utilisateurs peuvent importer la partie publique d'une
paire de clés gérée par l'utilisateur pour l'associer à un compte de service. Une fois qu'ils ont importé la clé publique, ils peuvent utiliser la clé privée de la paire de clés en tant que clé de compte de service. À l'aide de la contrainte de règle d'administration iam.managed.disableServiceAccountKeyUpload, vous pouvez désactiver l'importation de clés publiques externes dans des comptes de service d'un projet, d'un dossier ou d'une organisation.
Si aucune clé de compte de service n'a été importée, l'outil de recommandation de règles d'administration génère une recommandation pour appliquer la contrainte iam.managed.disableServiceAccountKeyUpload et les détails de la recommandation dans les insights correspondants.
Les insights liés à la contrainte iam.managed.disableServiceAccountKeyUpload sont associés au sous-type ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Règles de transfert de protocole
Le transfert de protocole utilise une règle de transfert régionale pour transmettre les paquets d'un protocole spécifique à une seule instance de machine virtuelle (VM) . La règle de transfert peut avoir une adresse IP interne ou externe.
À l'aide de la contrainte de règle d'administration compute.managed.restrictProtocolForwardingCreationForTypes, vous pouvez limiter le type d'objets de règle de transfert de protocole qu'un utilisateur peut créer.
Si aucune règle de transfert de protocole externe n'est définie, l'outil de recommandation de règles d'administration génère une recommandation pour appliquer la contrainte compute.managed.restrictProtocolForwardingCreationForTypes et les détails de la recommandation dans les insights correspondants.
Les insights liés à la contrainte compute.managed.restrictProtocolForwardingCreationForTypes sont associés au sous-type ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorité et gravité
La priorité des recommandations et le niveau de gravité des insights vous aident à comprendre l'urgence d'une recommandation ou d'un insight, et à hiérarchiser les insights en conséquence.
Priorité des recommandations de règles d'administration
Une recommandation se voit attribuer un niveau de priorité en fonction de son degré d'urgence perçue.
Les niveaux de priorité vont de P1 (priorité la plus élevée) à P4 (priorité la plus basse).
Toutes les recommandations de règles d'administration ont une priorité de P1.
Niveau de gravité des recommandations de règles d'administration
Les insights se voient attribuer des niveaux de gravité en fonction de leur degré d'urgence perçue. Les niveaux de gravité peuvent être LOW, MEDIUM, HIGH ou CRITICAL.
Tous les insights sur les règles d'administration ont une gravité de HIGH.
Comment les recommandations sont-elles appliquées ?
L'outil de recommandation de règles d'administration n'applique pas automatiquement les recommandations. Au lieu de cela, vous devez examiner vos recommandations et décider de les appliquer ou de les ignorer. Pour savoir comment examiner, appliquer et ignorer des recommandations de rôle, consultez la section Examiner et appliquer les recommandations de règles d'administration.
Journaux d'audit
Lorsque vous appliquez ou ignorez une recommandation, l'outil de recommandation de règles d'administration crée une entrée de journal. Vous pouvez les consulter dans vos Google Cloud journaux d'audit.
Tarifs
Les recommandations de règles d'administration pour les contraintes gérées sont disponibles sans frais.
Pour en savoir plus, consultez Questions sur la facturation.
Étape suivante
Examiner et appliquer les recommandations de règles d'administration.
En savoir plus sur les contraintes gérées dans les règles d'administration