Jika Anda adalah pelanggan baru, Google Cloud secara otomatis akan menyediakan resource organisasi untuk domain Anda dalam skenario berikut:
- Pengguna dari domain Anda login untuk pertama kalinya.
- Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.
Konfigurasi default resource organisasi ini, yang ditandai dengan akses tidak terbatas, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default adalah kerentanan penting yang mengekspos sistem terhadap potensi pelanggaran.
Google Cloud security baseline menangani postur keamanan yang tidak aman dengan sekumpulan kebijakan organisasi yang diterapkan saat resource organisasi dibuat. Untuk mengetahui informasi selengkapnya, lihat mendapatkan resource organisasi. Contoh kebijakan organisasi ini mencakup menonaktifkan pembuatan kunci akun layanan dan menonaktifkan upload kunci akun layanan.
Saat pengguna yang ada membuat organisasi, postur keamanan untuk resource organisasi baru mungkin berbeda dengan resource organisasi yang ada.Batasan security baseline diterapkan untuk semua organisasi yang dibuat pada atau setelah 3 Mei 2024. Google Cloud Beberapa organisasi yang dibuat antara Februari 2024 dan April 2024 mungkin juga telah menetapkan penerapan kebijakan default ini. Untuk melihat kebijakan organisasi yang diterapkan ke organisasi Anda, lihat Melihat kebijakan organisasi.
Sebelum memulai
Untuk mengetahui informasi selengkapnya tentang apa itu kebijakan dan batasan organisasi serta cara kerjanya, lihat pengantar Layanan Kebijakan Organisasi.
Peran yang diperlukan
Guna mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi,
minta administrator untuk memberi Anda peran IAM Organization policy administrator (roles/orgpolicy.policyAdmin) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mengelola kebijakan organisasi:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Anda dapat mendelegasikan administrasi kebijakan organisasi dengan menambahkan Kondisi IAM ke binding peran Organization policy administrator. Untuk mengontrol resource tempat principal dapat mengelola kebijakan organisasi, Anda dapat membuat binding peran bersyarat pada tagtertentu. Untuk mengetahui informasi selengkapnya, lihat Menggunakan batasan.Kebijakan organisasi yang diterapkan pada resource organisasi
Tabel berikut mencantumkan batasan kebijakan organisasi yang diterapkan secara otomatis saat Anda membuat resource organisasi.
| Nama kebijakan organisasi | Batasan kebijakan organisasi | Deskripsi | Dampak penerapan |
|---|---|---|---|
| Menonaktifkan pembuatan kunci akun layanan | constraints/iam.managed.disableServiceAccountKeyCreation |
Mencegah pengguna membuat kunci persisten untuk akun layanan. Untuk mengetahui informasi tentang cara mengelola kunci akun layanan, lihat Menyediakan alternatif lain untuk membuat kunci akun layanan. | Mengurangi risiko kredensial akun layanan yang terekspos. |
| Menonaktifkan upload kunci akun layanan | constraints/iam.managed.disableServiceAccountKeyUpload |
Mencegah upload kunci publik eksternal ke akun layanan. Untuk mengetahui informasi tentang cara mengakses resource tanpa kunci akun layanan, lihat praktik terbaik ini. | Mengurangi risiko kredensial akun layanan yang terekspos. |
| Mencegah pemberian peran Editor ke akun layanan default | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Mencegah akun layanan default menerima peran Editor IAM yang terlalu permisif saat pembuatan. | Peran Editor memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar Google Cloud layanan, yang akan menimbulkan kerentanan jika akun layanan disusupi. |
| Membatasi identitas menurut domain | constraints/iam.allowedPolicyMemberDomains |
Membatasi berbagi resource ke identitas yang termasuk dalam resource organisasi atau ID pelanggan Google Workspace tertentu. | Meninggalkan resource organisasi yang terbuka untuk diakses oleh aktor dengan domain selain domain pelanggan akan menimbulkan kerentanan. |
| Membatasi kontak menurut domain | constraints/essentialcontacts.managed.allowedContactDomains |
Membatasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform. | Aktor jahat dengan domain yang berbeda mungkin ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan yang terganggu. |
| Membatasi penerusan protokol berdasarkan jenis alamat IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Membatasi konfigurasi penerusan protokol hanya untuk alamat IP internal. | Melindungi instance target dari paparan traffic eksternal. |
| Akses level bucket yang seragam | constraints/storage.uniformBucketLevelAccess |
Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan izinkan dan tolak) untuk memberikan akses. | Menerapkan konsistensi untuk pengelolaan akses dan audit. |
Catatan: Untuk beberapa organisasi yang dibuat setelah 15 Agustus 2024, batasan kebijakan organisasi constraints/compute.restrictProtocolForwardingCreationForTypes mungkin sudah diterapkan.
Mengelola penerapan kebijakan organisasi
Anda dapat mengelola penerapan kebijakan organisasi dengan cara berikut:
Mencantumkan kebijakan organisasi
Untuk memeriksa apakah batasan Google Cloud security baseline diterapkan di organisasi Anda, gunakan perintah berikut:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ganti ORGANIZATION_ID dengan ID unik organisasi Anda.
Menonaktifkan kebijakan organisasi
Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ganti kode berikut:
CONSTRAINT_NAME: nama batasan kebijakan organisasi yang ingin Anda hapus—misalnya,iam.allowedPolicyMemberDomainsORGANIZATION_ID: ID unik organisasi Anda
Langkah berikutnya
Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola kebijakan organisasi, lihat Menggunakan batasan.