Se sei un nuovo cliente, Google Cloud una risorsa organizzazione viene sottoposta a provisioning automatico per il tuo dominio nei seguenti scenari:
- Un utente del tuo dominio esegue l'accesso per la prima volta.
- Un utente crea un account di fatturazione che non ha una risorsa organizzazione associata.
La configurazione predefinita di questa risorsa organizzazione, caratterizzata da un accesso illimitato, può rendere l'infrastruttura vulnerabile alle violazioni della sicurezza. Ad esempio, la creazione predefinita di chiavi del account di servizio è una vulnerabilità critica che espone i sistemi a potenziali violazioni.
Google Cloud La base di riferimento per la sicurezza risolve le security posture non sicure con un pacchetto di policy dell'organizzazione che vengono applicate quando viene creata una risorsa organizzazione. Per saperne di più, consulta la pagina Ottenere una risorsa organizzazione. Esempi di queste policy dell'organizzazione includono la disattivazione della creazione di chiavi del account di servizio e la disattivazione del caricamento di chiavi del account di servizio.
Quando un utente esistente crea un'organizzazione, la security posture per la nuova risorsa organizzazione potrebbe essere diversa dalle risorse organizzazione esistenti. Google Cloud I vincoli della base di riferimento per la sicurezza vengono applicati a tutte le organizzazioni create a partire dal 3 maggio 2024. Alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero avere anche queste applicazioni di policy predefinite. Per visualizzare le policy dell'organizzazione applicate alla tua organizzazione, consulta Visualizzare le policy dell'organizzazione.
Prima di iniziare
Per saperne di più su cosa sono le policy e i vincoli dell'organizzazione e su come funzionano, consulta l' introduzione al servizio Policy dell'organizzazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin) sull'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire le policy dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire le policy dell'organizzazione sono richieste le seguenti autorizzazioni:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Puoi delegare l'amministrazione delle policy dell'organizzazione aggiungendo condizioni IAM al binding del ruolo di amministratore delle policy dell'organizzazione. Per controllare le risorse in cui un'entità può gestire le policy dell'organizzazione, puoi rendere il binding del ruolo condizionale a un tagspecifico. Per saperne di più, consulta Utilizzare i vincoli.Policy dell'organizzazione applicate alle risorse organizzazione
La tabella seguente elenca i vincoli delle policy dell'organizzazione che vengono applicati automaticamente quando crei una risorsa organizzazione.
| Nome della policy dell'organizzazione | Vincolo della policy dell'organizzazione | Descrizione | Impatto dell'applicazione |
|---|---|---|---|
| Disattiva creazione account di servizio account | constraints/iam.managed.disableServiceAccountKeyCreation |
Impedisci agli utenti di creare chiavi permanenti per i service account. Per informazioni sulla gestione delle chiavi dei account di servizio, consulta Fornire alternative alla creazione di account di servizio account. | Riduce il rischio di esposizione delle credenziali dei account di servizio. |
| Disabilita caricamento chiavi service account | constraints/iam.managed.disableServiceAccountKeyUpload |
Impedisci il caricamento di chiavi pubbliche esterne nei service account. Per informazioni sull'accesso alle risorse senza chiavi dei account di servizio, consulta queste best practice. | Riduce il rischio di esposizione delle credenziali dei account di servizio. |
| Impedisci che il ruolo Editor venga concesso ai service account predefiniti | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedisci che ai service account predefiniti venga concesso il ruolo IAM Editor eccessivamente permissivo al momento della creazione. | Il ruolo Editor consente al account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud , il che crea una vulnerabilità se il account di servizio viene compromesso. |
| Limita le identità per dominio | constraints/iam.allowedPolicyMemberDomains |
Limita la condivisione delle risorse alle identità che appartengono a una particolare risorsa organizzazione o a un ID cliente Google Workspace. | Se la risorsa organizzazione è aperta all'accesso da parte di attori con domini diversi da quello del cliente, si crea una vulnerabilità. |
| Limita i contatti per dominio | constraints/essentialcontacts.managed.allowedContactDomains |
In Contatti necessari, consenti solo alle identità degli utenti gestiti all'interno dei domini selezionati di ricevere notifiche della piattaforma. | Un malintenzionato con un dominio diverso potrebbe essere aggiunto come Contatti necessari, compromettendo la security posture. |
| Limita l'inoltro di protocollo in base al tipo di indirizzo IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Limita la configurazione dell'inoltro di protocollo solo per gli indirizzi IP interni. | Protegge le istanze di destinazione dall'esposizione al traffico esterno. |
| Accesso uniforme a livello di bucket | constraints/storage.uniformBucketLevelAccess |
Impedisci ai bucket Cloud Storage di utilizzare gli ACL per oggetto (un sistema separato dalle policy di autorizzazione e negazione) per fornire l'accesso. | Garantisce la coerenza per la gestione dell'accesso e l'audit. |
Nota: per alcune organizzazioni create dopo il 15 agosto 2024, il vincolo della policy dell'organizzazione constraints/compute.restrictProtocolForwardingCreationForTypes potrebbe essere già applicato.
Gestire l'applicazione delle policy dell'organizzazione
Puoi gestire l'applicazione delle policy dell'organizzazione nei seguenti modi:
Elencare le policy dell'organizzazione
Per verificare se i vincoli della base di riferimento per la Google Cloud sicurezza vengono applicati alla tua organizzazione, utilizza il seguente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.
Disattivare le policy dell'organizzazione
Per disattivare o eliminare una policy dell'organizzazione, esegui il seguente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAME: il nome del vincolo della policy dell'organizzazione che vuoi eliminare, ad esempioiam.allowedPolicyMemberDomainsORGANIZATION_ID: l'identificatore univoco della tua organizzazione
Passaggi successivi
Per saperne di più sulla creazione e sulla gestione delle policy dell'organizzazione, consulta Utilizzare i vincoli.