Wenn Sie ein neuer Kunde sind, Google Cloud wird in den folgenden Fällen automatisch eine Organisationsressource für Ihre Domain bereitgestellt:
- Ein Nutzer aus Ihrer Domain meldet sich zum ersten Mal an.
- Ein Nutzer erstellt ein Rechnungskonto, dem keine Organisations Ressource zugeordnet ist.
Die Standardkonfiguration dieser Organisationsressource, die durch uneingeschränkten Zugriff gekennzeichnet ist, kann die Infrastruktur anfällig für Sicherheitsverletzungen machen. Beispielsweise ist die Standarderstellung von Dienstkontoschlüsseln eine kritische Sicherheitslücke, die Systeme potenziellen Verstößen aussetzt.
Google Cloud Die Sicherheitsgrundlage behebt unsichere Sicherheitsstatus mit einem Paket von Organisationsrichtlinien, die erzwungen werden, wenn eine Organisationsressource erstellt wird. Weitere Informationen finden Sie unter Organisationsressource beziehen. Beispiele für diese Organisationsrichtlinien sind das Deaktivieren der Erstellung von Dienstkontoschlüsseln und das Deaktivieren des Hochladens von Dienstkontoschlüsseln.
Wenn ein vorhandener Nutzer eine Organisation erstellt, kann sich der Sicherheitsstatus für die neue Organisationsressource von dem der vorhandenen Organisation Ressourcen unterscheiden. Google Cloud Die Einschränkungen der Sicherheitsgrundlage werden für alle Organisationen erzwungen, die am oder nach dem 3. Mai 2024 erstellt wurden. Für einige Organisationen, die zwischen Februar 2024 und April 2024 erstellt wurden, sind diese Standardrichtlinien möglicherweise ebenfalls festgelegt. Informationen zum Aufrufen von Organisationsrichtlinien, die auf Ihre Organisation angewendet werden, finden Sie unter Organisationsrichtlinien ansehen.
Hinweis
Weitere Informationen zu Organisationsrichtlinien und -einschränkungen sowie ihrer Funktionsweise finden Sie in der Einführung in den Organisationsrichtliniendienst.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin)“ für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Sie können die Verwaltung von Organisationsrichtlinien delegieren, indem Sie der Rollenbindung „Administrator für Organisationsrichtlinien“ IAM-Bedingungen hinzufügen. Wenn Sie steuern möchten, für welche Ressourcen ein Prinzipal Organisationsrichtlinien verwalten kann, können Sie die Rollenbindung von einem bestimmten Tagabhängig machen. Weitere Informationen finden Sie unter Einschränkungen verwenden.Auf Organisationsressourcen erzwungene Organisationsrichtlinien
In der folgenden Tabelle sind die Einschränkungen der Organisationsrichtlinien aufgeführt, die automatisch erzwungen werden, wenn Sie eine Organisationsressource erstellen.
| Name der Organisationsrichtlinie | Einschränkung der Organisationsrichtlinie | Beschreibung | Auswirkungen der Durchsetzung |
|---|---|---|---|
| Erstellen von Dienstkontoschlüsseln deaktivieren | constraints/iam.managed.disableServiceAccountKeyCreation |
Verhindert, dass Nutzer dauerhafte Schlüssel für Dienstkonten erstellen. Informationen zum Verwalten von Dienstkontoschlüsseln finden Sie unter Alternativen zum Erstellen von Dienstkontoschlüsseln. | Reduziert das Risiko, dass Anmeldedaten von Dienstkonten offengelegt werden. |
| Hochladen von Dienstkontoschlüsseln deaktivieren | constraints/iam.managed.disableServiceAccountKeyUpload |
Verhindert das Hochladen externer öffentlicher Schlüssel in Dienstkonten. Informationen zum Zugriff auf Ressourcen ohne Dienstkontoschlüssel finden Sie in diesen Best Practices. | Reduziert das Risiko, dass Anmeldedaten von Dienstkonten offengelegt werden. |
| Verhindern, dass die Rolle „Bearbeiter“ Standarddienstkonten gewährt wird | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Verhindert, dass Standarddienstkonten beim Erstellen die übermäßig permissive IAM-Rolle „Bearbeiter“ erhalten. | Mit der Rolle „Editor“ kann das Dienstkonto Ressourcen für die meisten Google Cloud Dienste erstellen und löschen. Dies stellt eine Sicherheitslücke dar, wenn das Dienstkonto kompromittiert wird. |
| Identitäten nach Domain einschränken | constraints/iam.allowedPolicyMemberDomains |
Beschränkt die Freigabe von Ressourcen auf Identitäten, die zu einer bestimmten Organisationsressource oder Google Workspace-Kunden-ID gehören. | Wenn die Organisationsressource für den Zugriff durch Akteure mit anderen Domains als der des Kunden geöffnet bleibt, entsteht eine Sicherheitslücke. |
| Kontakte nach Domain einschränken | constraints/essentialcontacts.managed.allowedContactDomains |
Beschränkt „Wichtige Kontakte“ so, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten. | Ein böswilliger Akteur mit einer anderen Domain kann als wichtiger Kontakt hinzugefügt werden, was zu einem kompromittierten Sicherheitsstatus führt. |
| Protokollweiterleitung anhand des Typs von IP-Adresse einschränken | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Beschränkt die Konfiguration der Protokollweiterleitung auf interne IP-Adressen. | Schützt Zielinstanzen vor externem Traffic. |
| Einheitlicher Zugriff auf Bucket-Ebene | constraints/storage.uniformBucketLevelAccess |
Verhindert, dass Cloud Storage-Buckets ACLs pro Objekt (ein separates System von Zulassungs- und Ablehnungsrichtlinien) für den Zugriff verwenden. | Erzwingt Konsistenz für die Zugriffsverwaltung und -prüfung. |
Hinweis: Für einige Organisationen, die nach dem 15. August 2024 erstellt wurden, ist die Einschränkung der Organisationsrichtlinie constraints/compute.restrictProtocolForwardingCreationForTypes möglicherweise bereits angewendet.
Durchsetzung von Organisationsrichtlinien verwalten
Sie können die Durchsetzung von Organisationsrichtlinien auf folgende Arten verwalten:
Organisationsrichtlinien auflisten
Mit dem folgenden Befehl können Sie prüfen, ob die Google Cloud Einschränkungen der Sicherheitsgrundlage für Ihre Organisation erzwungen werden:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennung Ihrer Organisation.
Organisationsrichtlinien deaktivieren
Führen Sie den folgenden Befehl aus, um eine Organisationsrichtlinie zu deaktivieren oder zu löschen:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME: der Name der Organisationsrichtlinie Einschränkung, die Sie löschen möchten, z. B.iam.allowedPolicyMemberDomainsORGANIZATION_ID: die eindeutige Kennung Ihrer Organisation
Nächste Schritte
Weitere Informationen zum Erstellen und Verwalten von Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.