O Organization Policy Service oferece aos clientes controle centralizado e programático para definir restrições nos recursos da organização. Cada tipo de restrição é definido como uma restrição e é conceitualmente semelhante a um esquema que define quais comportamentos são controlados. A criação e a manutenção de políticas da organização podem ser complicadas, já que os requisitos de segurança e conformidade mudam com o tempo.
O recomendador de políticas da organização ajuda a proteger seus Google Cloud recursos sem interromper os sistemas do cliente. Ele analisa as configurações de políticas da organização e gera recomendações sobre quais políticas aplicar.
Visão geral das recomendações de políticas da organização
As recomendações de políticas da organização são geradas pelo recomendador de políticas da organização. O recomendador de políticas da organização é um dos recomendadores oferecidos pelo Recomendador.
Cada recomendação de política da organização sugere que você defina uma política específica para melhorar a segurança dos seus Google Cloud recursos. Uma política da organização é criada com base em uma restrição, que é uma configuração de restrições em um Google Cloud serviço.
O recomendador de políticas da organização usa insights de políticas da organização para identificar políticas que não estão definidas. Os insights de políticas da organização são descobertas sobre o status de aplicação de uma restrição de política da organização nos seus recursos e se eles estão em violação dessa política.
Um recurso é considerado em violação de uma política da organização se estiver em um estado restrito por essa política. Por exemplo, a restrição iam.managed.disableServiceAccountKeyCreation permite restringir a criação de chaves de conta de serviço. Se uma chave de conta de serviço tiver sido criada em um projeto, o Organization Policy Service considerará que esse projeto está em violação dessa política da organização.
Como os insights e as recomendações são gerados
Uma recomendação é uma sugestão para otimizar o uso de Google Cloud recursos. Ela inclui as etapas necessárias para tomar a recomendação e é criada usando registros e análises das configurações de recursos para resolver vulnerabilidades identificadas pelo insight.
Os insights são descobertas que podem ser usadas para se concentrar proativamente em padrões importantes no uso de recursos e contêm o contexto necessário para criar uma recomendação.
O recomendador de políticas da organização gera recomendações no nível mais alto possível na hierarquia de recursos. Por exemplo, se não houver violações de uma restrição compatível em nenhum projeto em uma pasta, o recomendador de políticas da organização vai gerar a recomendação para essa pasta, em vez de fornecer recomendações para os projetos.
Restrições compatíveis
Cada recomendação é específica para uma restrição de política da organização.
Criação de chave de conta de serviço
Por padrão, os usuários com as permissões adequadas podem
criar chaves de conta de serviço. No entanto, as chaves de conta de serviço são um risco de segurança quando não são gerenciadas corretamente. Usando a restrição de política da organização iam.managed.disableServiceAccountKeyCreation, é possível desativar a criação de novas chaves de conta de serviço externas para todas as contas de serviço em um projeto, pasta ou organização.
O recomendador de políticas da organização verifica a existência de contas de serviço gerenciado pelo usuário do Identity and Access Management (IAM) e chaves externas dessas contas de serviço para avaliar se elas violam as restrições na criação de chaves de conta de serviço.
Se não houver chaves de conta de serviço criadas, o recomendador de políticas da organização vai gerar uma recomendação para aplicar a restrição iam.managed.disableServiceAccountKeyCreation e os detalhes de suporte da recomendação nos insights correspondentes.
Os insights relacionados à restrição iam.managed.disableServiceAccountKeyCreation têm o subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Upload da chave de conta de serviço
Os usuários podem fazer upload da chave pública parte de um
par de chaves gerenciadas pelo usuário para associá-la a uma conta de serviço. Depois de fazer upload da chave pública, eles podem usar a chave privada do par de chaves como uma chave de conta de serviço. Usando a restrição de política da organização iam.managed.disableServiceAccountKeyUpload, é possível desativar o upload de chaves públicas externas para contas de serviço em um projeto, pasta ou organização.
Se não houver chaves de conta de serviço enviadas, o recomendador de políticas da organização vai gerar uma recomendação para aplicar a restrição iam.managed.disableServiceAccountKeyUpload e os detalhes de suporte da recomendação nos insights correspondentes.
Os insights para iam.managed.disableServiceAccountKeyUpload têm o subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regras de encaminhamento de protocolo
O encaminhamento de protocolo usa uma regra de encaminhamento regional para entregar pacotes de um protocolo específico para uma única instância de máquina virtual (VM) . A regra de encaminhamento pode ter um endereço IP interno ou externo.
Usando a restrição de política da organização compute.managed.restrictProtocolForwardingCreationForTypes, é possível restringir o tipo de objetos de regra de encaminhamento de protocolo que um usuário pode criar.
Se não houver regras de encaminhamento de protocolo externo definidas, o recomendador de políticas da organização vai gerar uma recomendação para aplicar a restrição compute.managed.restrictProtocolForwardingCreationForTypes e os detalhes de suporte da recomendação nos insights correspondentes.
Os insights para compute.managed.restrictProtocolForwardingCreationForTypes têm o subtipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Prioridade e gravidade
A prioridade da recomendação e a gravidade do insight ajudam você a entender a urgência de uma recomendação ou um insight e a priorizar de acordo.
Prioridade de recomendação de política da organização
Uma recomendação recebe um nível de prioridade com base na urgência percebida.
Os níveis de prioridade variam de P1 (prioridade mais alta) a P4 (prioridade mais baixa).
Todas as recomendações de políticas da organização têm uma prioridade de P1.
Gravidade da recomendação de política da organização
Os insights recebem níveis de gravidade com base na urgência percebida. Os níveis de gravidade podem ser LOW, MEDIUM, HIGH ou CRITICAL.
Todos os insights de políticas da organização têm uma gravidade de HIGH.
Como as recomendações são aplicadas
O recomendador de políticas da organização não aplica recomendações automaticamente. Em vez disso, você precisa avaliar as recomendações e decidir se quer aplicá-las ou dispensá-las. Para saber como analisar, aplicar e dispensar recomendações de papéis, consulte Analisar e aplicar recomendações de políticas da organização.
Registro de auditoria
Quando você aplica ou descarta uma recomendação, o recomendador de políticas da organização cria uma entrada de registro. É possível visualizá-las nos seus Google Cloud registros de auditoria.
Preços
As recomendações de políticas da organização para restrições gerenciadas estão disponíveis sem custos financeiros.
Para mais informações, consulte Perguntas sobre faturamento.
A seguir
Analise e aplique recomendações de políticas da organização.
Saiba mais sobre o Recomendador.
Saiba mais sobre restrições gerenciadas na política da organização.