機構政策服務可讓客戶透過程式輔助,集中控管機構資源的限制。每種限制都定義為限制條件,概念上類似於藍圖,可定義要控管的行為。建立及維護組織政策可能很複雜,因為安全性與法規遵循要求會隨時間變更。
組織政策建議工具可協助您保護 Google Cloud 資源 ,同時確保客戶系統正常運作。這項工具會分析現有的組織政策設定,並建議要強制執行的組織政策。
機構政策建議總覽
組織政策建議是由組織政策建議工具產生。組織政策建議工具是 建議工具提供的其中一項建議工具。
每項組織政策建議都會建議您設定特定組織政策,以提升 Google Cloud 資源的安全性。組織政策是根據限制條件建立,也就是對 Google Cloud 服務的限制設定。
機構政策建議工具會使用機構政策洞察,找出未設定的組織政策。機構政策洞察是關於資源機構政策限制強制執行狀態的發現,以及資源是否違反該機構政策。
如果資源處於組織政策限制的狀態,即視為違反該政策。舉例來說,您可以透過 iam.managed.disableServiceAccountKeyCreation 限制條件限制服務帳戶金鑰的建立作業。如果專案中已建立服務帳戶金鑰,組織政策服務會將該專案視為違反組織政策。
深入分析和建議的產生方式
建議是針對如何最佳化Google Cloud 資源使用量提出的建議。這項建議會根據資源設定的記錄和分析結果建立,並提供相關步驟,協助您採取行動解決洞察資訊發現的安全漏洞。
洞察是您可主動使用的發現,可協助您專注於資源用量的重大模式,並提供建立建議所需的背景資訊。
機構政策建議工具會在資源階層中,盡可能產生最高層級的建議。舉例來說,如果資料夾下的任何專案都沒有違反支援的限制,機構政策建議工具就會為該資料夾產生建議,而不是為專案提供建議。
支援的限制
每項建議都與特定機構政策限制相關。
建立服務帳戶金鑰
根據預設,具備適當權限的使用者可以建立服務帳戶金鑰。不過,如果管理不當,服務帳戶金鑰就會帶來安全風險。使用 iam.managed.disableServiceAccountKeyCreation 機構政策限制,您可以禁止為專案、資料夾或機構中的所有服務帳戶建立新的外部服務帳戶金鑰。
組織政策建議工具會檢查身分與存取權管理 (IAM) 使用者管理的服務帳戶,以及這些服務帳戶的外部金鑰,評估是否違反服務帳戶金鑰建立限制。
如果沒有已建立的服務帳戶金鑰,組織政策建議工具會產生建議,強制執行 iam.managed.disableServiceAccountKeyCreation 限制,並在對應的洞察資料中提供建議的支援詳細資料。
與 iam.managed.disableServiceAccountKeyCreation 限制相關的洞察資料子類型為 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION。
上傳服務帳戶金鑰
使用者可以上傳使用者管理金鑰組的公開金鑰部分,將其與服務帳戶建立關聯。上傳公開金鑰後,即可使用金鑰組的私密金鑰做為服務帳戶金鑰。使用 iam.managed.disableServiceAccountKeyUpload 機構政策限制,您可以禁止將外部公開金鑰上傳至專案、資料夾或機構下的服務帳戶。
如果沒有上傳服務帳戶金鑰,組織政策建議工具會產生建議,強制執行 iam.managed.disableServiceAccountKeyUpload 限制,並在相應的洞察資料中提供建議的支援詳細資料。
「iam.managed.disableServiceAccountKeyUpload」的洞察資料具有子類型 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD。
通訊協定轉送規則
通訊協定轉送會使用地區轉送規則,將特定通訊協定的封包傳送至單一虛擬機器 (VM) 執行個體。轉送規則可以有內部或外部 IP 位址。
使用 compute.managed.restrictProtocolForwardingCreationForTypes 機構政策限制,您可以限制使用者可建立的通訊協定轉送規則物件類型。
如果沒有定義任何外部通訊協定轉送規則,機構政策建議工具會產生建議,強制執行 compute.managed.restrictProtocolForwardingCreationForTypes 限制,並在對應的洞察資料中提供建議的支援詳細資料。
「compute.managed.restrictProtocolForwardingCreationForTypes」的深入分析結果具有 ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES 子類型。
優先順序和嚴重程度
最佳化建議優先順序和洞察嚴重程度可協助您瞭解最佳化建議或洞察的緊急程度,並據此排定優先順序。
機構政策建議優先順序
系統會根據建議的迫切程度,指派優先層級。
優先順序從 P1 (最高優先順序) 到 P4 (最低優先順序)。
所有機構政策建議的優先順序均為 P1。
機構政策建議嚴重程度
系統會根據洞察資料的迫切程度,指派嚴重層級。嚴重程度可以是 LOW、MEDIUM、HIGH 或 CRITICAL。
所有機構政策洞察資訊的嚴重程度均為 HIGH。
如何套用最佳化建議
機構政策建議工具不會自動套用最佳化建議。 您必須先查看建議,再決定是否套用或捨棄。如要瞭解如何查看、套用及捨棄角色最佳化建議,請參閱「查看及套用機構政策最佳化建議」。
稽核記錄
套用或關閉最佳化建議時,機構政策建議工具會建立記錄項目。您可以在 Google Cloud 稽核記錄中查看這些變更。
定價
代管限制的機構政策建議可免付費使用。
詳情請參閱「帳單問題」。