שירות מדיניות הארגון מאפשר ללקוחות לקבוע הגבלות על המשאבים של הארגון שלהם בצורה מרוכזת ופרוגרמטית. כל סוג הגבלה מוגדר כאילוץ, והוא דומה מבחינה רעיונית לתוכנית שמגדירה אילו התנהגויות נשלטות. יצירה ותחזוקה של מדיניות הארגון יכולות להיות מסובכות, כי הדרישות בנושא אבטחה ותאימות משתנות עם הזמן.
שירות ההמלצות למדיניות הארגון עוזר לכם לאבטח את Google Cloud המשאבים בלי לשבש את המערכות של הלקוחות. הכלי מנתח את ההגדרות הקיימות של מדיניות הארגון ומפיק המלצות לגבי מדיניות הארגון שכדאי לאכוף.
סקירה כללית של ההמלצות למדיניות הארגון
ההמלצות למדיניות הארגון נוצרות על ידי הכלי להמלצות למדיניות הארגון. שירות ההמלצות למדיניות הארגון הוא אחד משירותי ההמלצות שמוצעים בשירות ההמלצות.
כל המלצה למדיניות ארגונית מציעה להגדיר מדיניות ארגונית מסוימת כדי לשפר את האבטחה של Google Cloud המשאבים. מדיניות הארגון מבוססת על אילוץ, שהוא הגדרה של הגבלות על שירות Google Cloud .
הכלי להמלצות בנושא מדיניות ארגונית משתמש בתובנות לגבי מדיניות ארגונית כדי לזהות מדיניות ארגונית שלא הוגדרה. תובנות לגבי מדיניות הארגון הן ממצאים שקשורים למצב האכיפה של מגבלה של מדיניות הארגון על המשאבים שלכם, ולשאלה אם המשאבים שלכם מפירים את מדיניות הארגון הזו.
משאב נחשב כמפר את מדיניות הארגון אם הוא במצב שמוגבל על ידי מדיניות הארגון. לדוגמה, האילוץ iam.managed.disableServiceAccountKeyCreation מאפשר להגביל את היצירה של מפתחות לחשבון שירות. אם נוצר מפתח של חשבון שירות בפרויקט, שירות מדיניות הארגון מחשיב את הפרויקט הזה כהפרה של מדיניות הארגון.
איך נוצרות תובנות והמלצות
המלצה היא הצעה לאופטימיזציה של השימוש במשאביGoogle Cloud . ההמלצה כוללת את השלבים שצריך לבצע כדי לפעול בהתאם להמלצה, והיא נוצרת באמצעות יומנים וניתוח של הגדרות המשאבים כדי לטפל בפגיעויות שזוהו בתובנה.
תובנות הן ממצאים שבעזרתם אפשר להתמקד באופן יזום בדפוסים חשובים של השימוש במשאבים, והן כוללות את ההקשר שנדרש ליצירת המלצה.
הכלי Organization Policy recommender יוצר המלצות ברמה הגבוהה ביותר האפשרית בהיררכיית המשאבים. לדוגמה, אם אין הפרות של מגבלה נתמכת בפרויקטים בתיקייה מסוימת, הכלי להמלצות בנושא מדיניות הארגון יפיק המלצה לגבי התיקייה הזו, במקום לספק המלצות לגבי הפרויקטים.
אילוצים נתמכים
כל המלצה ספציפית לאילוץ מסוים של מדיניות הארגון.
יצירת מפתח לחשבון שירות
כברירת מחדל, משתמשים עם ההרשאות המתאימות יכולים ליצור מפתחות לחשבונות שירות. עם זאת, מפתחות של חשבונות שירות מהווים סיכון אבטחה אם לא מנהלים אותם בצורה נכונה. באמצעות אילוץ מדיניות הארגון iam.managed.disableServiceAccountKeyCreation, אתם יכולים להשבית את היצירה של מפתחות חיצוניים חדשים לחשבונות שירות לכל חשבונות השירות בפרויקט, בתיקייה או בארגון.
הכלי להמלצות בנושא מדיניות הארגון בודק אם קיימים חשבונות שירות שמנוהלים על ידי משתמשים ומפתחות חיצוניים של חשבונות השירות האלה, כדי להעריך אם הם מפרים את ההגבלות על יצירת מפתחות של חשבונות שירות.
אם לא נוצרו מפתחות של חשבונות שירות, כלי ההמלצות של מדיניות הארגון יוצר המלצה לאכוף את האילוץ iam.managed.disableServiceAccountKeyCreation ופרטים תומכים של ההמלצה בתובנות המתאימות.
תובנות שקשורות לאילוץ iam.managed.disableServiceAccountKeyCreation הן מסוג המשנה ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
העלאה של מפתחות לחשבונות שירות
משתמשים יכולים להעלות את החלק של המפתח הציבורי מזוג מפתחות שמנוהל על-ידי משתמש כדי לשייך אותו לחשבון שירות. אחרי שהם מעלים את המפתח הציבורי, הם יכולים להשתמש במפתח הפרטי מזוג המפתחות כמפתח של חשבון שירות. באמצעות האילוץ iam.managed.disableServiceAccountKeyUpload של מדיניות הארגון, אתם יכולים להשבית את ההעלאה של מפתחות ציבוריים חיצוניים לחשבונות שירות בפרויקט, בתיקייה או בארגון.
אם לא הועלו מפתחות של חשבון שירות, הכלי Organization Policy recommender (המלצות למדיניות הארגון) יוצר המלצה לאכיפת האילוץ iam.managed.disableServiceAccountKeyUpload ופרטים תומכים של ההמלצה בתובנות המתאימות.
התובנות לגבי iam.managed.disableServiceAccountKeyUpload הן מסוג משנה ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
כללי העברת פרוטוקולים
העברת פרוטוקולים משתמשת בכלל העברה אזורי כדי להעביר חבילות של פרוטוקול ספציפי למכונה וירטואלית (VM) אחת. כתובת ה-IP של כלל ההעברה יכולה להיות פנימית או חיצונית.
באמצעות האילוץ של מדיניות הארגון compute.managed.restrictProtocolForwardingCreationForTypes, אפשר להגביל את הסוג של אובייקטים של כללי העברת פרוטוקולים שמשתמש יכול ליצור.
אם לא מוגדרים כללי העברה של פרוטוקולים חיצוניים, הכלי להמלצות למדיניות הארגון יוצר המלצה לאכוף את האילוץ compute.managed.restrictProtocolForwardingCreationForTypes ופרטים תומכים של ההמלצה בתובנות המתאימות.
התובנות לגבי compute.managed.restrictProtocolForwardingCreationForTypes הן מסוג המשנה ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
עדיפות וחומרה
העדיפות של ההמלצה ומידת החומרה של התובנה עוזרות לכם להבין את הדחיפות של ההמלצה או התובנה, ולתעדף בהתאם.
עדיפות ההמלצות למדיניות הארגון
לכל המלצה מוקצית רמת עדיפות על סמך הדחיפות שלה.
רמות העדיפות נעות בין P1 (העדיפות הגבוהה ביותר) ל-P4 (העדיפות הנמוכה ביותר).
לכל ההמלצות בנושא מדיניות הארגון יש עדיפות של P1.
רמת החומרה של המלצה למדיניות הארגון
לתובנות מוקצים רמות חומרה על סמך הדחיפות שלהן. רמות החומרה יכולות להיות LOW, MEDIUM, HIGH או CRITICAL.
כל התובנות לגבי מדיניות הארגון הן ברמת חומרה HIGH.
איך המערכת מיישמת את ההמלצות
שירות ההמלצות בנושא מדיניות הארגון לא מיישם המלצות באופן אוטומטי. במקום זאת, צריך לעיין בהמלצות ולהחליט אם ליישם אותן או לבטל אותן. מידע על בדיקה, יישום וסגירה של המלצות לגבי תפקידים זמין במאמר בדיקה ויישום של המלצות לגבי מדיניות הארגון.
רישום ביומן ביקורת
כשמיישמים או דוחים המלצה, כלי ההמלצות של מדיניות הארגון יוצר רשומה ביומן. אפשר לראות אותם ביומני הביקורת Google Cloud .
תמחור
ההמלצות לגבי מדיניות הארגון בנושא אילוצים מנוהלים זמינות ללא תשלום.
מידע נוסף זמין במאמר שאלות בנושא חיוב.
המאמרים הבאים
מידע נוסף על אילוצים מנוהלים במדיניות הארגון