組織のポリシー サービスを使用すると、組織のリソースに対する制限をプログラマティックに一元管理できます。制限の各タイプは制約として定義され、制御される動作を定義するブループリントと概念的に似ています。セキュリティとコンプライアンスの要件は時間とともに変化するため、組織のポリシーの作成と維持は複雑になる可能性があります。
組織のポリシー Recommender は、お客様のシステムを中断することなく、リソースを保護するのに役立ちます。 Google Cloud 既存の組織のポリシーの構成を分析し、適用する組織のポリシーに関する推奨事項を生成します。
組織のポリシーの推奨事項の概要
組織のポリシーの推奨事項は、組織のポリシー Recommender によって生成されます。組織のポリシー Recommender は、 Recommender がRecommender提供する Recommender の 1 つです。
組織のポリシーの推奨事項では、リソースのセキュリティを強化するために特定の 組織のポリシーを設定することが推奨されます。 Google Cloud 組織のポリシーは、サービスに対する制限の構成である制約から構築されます。 Google Cloud
組織のポリシー Recommender は、組織のポリシーの分析情報を使用して、設定されていない組織のポリシーを特定します。 組織のポリシーの分析情報は、リソースに対する組織のポリシーの制約の適用状況と、リソースがその組織のポリシーに違反しているかどうかに関する知見です。
リソースが組織のポリシーによって制限されている状態にある場合、そのリソースは組織のポリシーに違反していると見なされます。たとえば、iam.managed.disableServiceAccountKeyCreation 制約を使用すると、サービス アカウント キーの作成を制限できます。プロジェクトでサービス アカウント キーが作成されている場合、組織のポリシー サービスはそのプロジェクトが組織のポリシーに違反していると見なします。
分析情報と推奨事項の生成方法
推奨事項とは、リソースの使用を最適化するための Google Cloud 提案です。推奨事項に対してアクションを実行するために必要な手順が含まれており、ログとリソース構成の分析を使用して作成され、分析情報によって特定された脆弱性に対処します。
分析情報は、リソース使用の重要なパターンに積極的に 焦点を合わせるために利用できる知見であり、推奨事項を作成するために必要なコンテキストが 含まれています。
組織のポリシー Recommender は、 リソース階層の可能な限り高い レベルで推奨事項を生成します。たとえば、フォルダ内のプロジェクトでサポートされている制約に違反していない場合、組織のポリシー Recommender はプロジェクトの推奨事項を提供するのではなく、そのフォルダの推奨事項を生成します。
サポートされている制約
各推奨事項は、特定の組織のポリシーの制約に固有のものです。
サービス アカウント キーの作成
デフォルトでは、適切な権限を持つユーザーは
サービス アカウント キーを作成できます。ただし、サービス アカウント キーが正しく管理されていない場合は、セキュリティ リスクが発生します。iam.managed.disableServiceAccountKeyCreation 組織のポリシーの制約を使用すると、プロジェクト、フォルダ、組織内のすべてのサービス アカウントに対して、新しい外部サービス アカウント キーの作成を無効にできます。
組織のポリシー Recommender は、Identity and Access Management(IAM)のユーザー管理のサービス アカウントと、これらのサービス アカウントの外部キーの存在を確認して、サービス アカウント キーの作成に関する制限に違反しているかどうかを評価します。
作成されたサービス アカウント キーがない場合、組織のポリシー Recommender は、iam.managed.disableServiceAccountKeyCreation 制約を適用する推奨事項と、対応する分析情報の推奨事項のサポートの詳細を生成します。
iam.managed.disableServiceAccountKeyCreation 制約に関連する分析情報には、ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION サブタイプがあります。
サービス アカウント キーのアップロード
ユーザーは、公開鍵の部分をアップロードして、ユーザーが管理する鍵ペアをサービス アカウントに関連付けることができます。公開鍵をアップロードすると、鍵ペアの秘密鍵をサービス アカウント キーとして使用できます。iam.managed.disableServiceAccountKeyUpload 組織のポリシーの制約を使用すると、プロジェクト、フォルダ、組織内のサービス アカウントへの外部公開鍵のアップロードを無効にできます。
アップロードされたサービス アカウント キーがない場合、組織のポリシー Recommender は、iam.managed.disableServiceAccountKeyUpload 制約を適用する推奨事項と、対応する分析情報の推奨事項のサポートの詳細を生成します。
iam.managed.disableServiceAccountKeyUpload の分析情報には、ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD サブタイプがあります。
プロトコル転送ルール
プロトコル転送は、リージョン転送ルールを使用して、 特定のプロトコルのパケットを単一の仮想マシン(VM) インスタンスに送信します。転送ルールには、内部 IP アドレスまたは外部 IP アドレスを指定できます。
compute.managed.restrictProtocolForwardingCreationForTypes 組織のポリシーの制約を使用すると、ユーザーが作成できるプロトコル転送ルール オブジェクトのタイプを制限できます。
外部プロトコルの転送ルールが定義されていない場合、組織のポリシー Recommender は、compute.managed.restrictProtocolForwardingCreationForTypes 制約を適用する推奨事項と、対応する分析情報の推奨事項のサポートの詳細を生成します。
compute.managed.restrictProtocolForwardingCreationForTypes の分析情報には、ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES サブタイプがあります。
優先度と重要度
推奨事項の優先度と分析情報の重要度は、推奨事項または分析情報の緊急度を理解し、優先順位を付けるために役立ちます。
組織のポリシーの推奨事項の優先度
推奨事項には、緊急度に基づき優先度が割り当てられます。
優先度の範囲は P1(最も高い優先度)から P4(最も低い優先度)までです。
すべての組織のポリシーの推奨事項の優先度は P1 です。
組織のポリシーの推奨事項の重要度
分析情報には、緊急度に基づき重要度が割り当てられます。重要度は LOW、MEDIUM、HIGH、CRITICAL のいずれかです。
すべての組織のポリシーの分析情報の重要度は HIGH です。
推奨事項の適用方法
組織のポリシー Recommender は、推奨事項を自動的に適用することはありません。 ユーザーが推奨事項を確認し、適用するかどうかを判断します。ロールの推奨事項を確認、適用、非表示にする方法については、 組織のポリシーの推奨事項を確認して適用するをご覧ください。
監査ロギング
推奨事項を適用または拒否すると、組織のポリシー Recommender はログエントリを作成します。監査ログで 確認できます Google Cloud 。
料金
マネージド制約の組織のポリシーの推奨事項は、無料でご利用いただけます。
詳細については、お支払いについてをご覧ください。
次のステップ
Recommender の詳細を確認する。
組織のポリシーの マネージド制約の詳細を確認する。