Si vous êtes un nouveau client, Google Cloud provisionne automatiquement une ressource d'organisation pour votre domaine dans les cas suivants :
- Un utilisateur de votre domaine se connecte pour la première fois.
- Un utilisateur crée un compte de facturation qui n'est associé à aucune ressource d'organisation.
La configuration par défaut de cette ressource d'organisation, caractérisée par un accès illimité, peut rendre l'infrastructure vulnérable aux failles de sécurité. Par exemple, la création de clés de compte de service par défaut est une faille critique qui expose les systèmes à des violations potentielles.
La configuration de sécurité de référenceGoogle Cloud corrige les postures de sécurité non sécurisées à l'aide d'un ensemble de règles d'administration appliquées lorsqu'une ressource d'organisation est créée. Pour en savoir plus, consultez Obtenir une ressource Organisation. Par exemple, vous pouvez désactiver la création et l'importation de clés de compte de service.
Lorsqu'un utilisateur existant crée une organisation, la stratégie de sécurité de la nouvelle ressource d'organisation peut être différente de celle des ressources d'organisation existantes.Les contraintes de référence de sécurité Google Cloud sont appliquées à toutes les organisations créées le 3 mai 2024 ou après. Il est également possible que ces règles par défaut soient appliquées à certaines organisations créées entre février et avril 2024. Pour afficher les règles d'administration appliquées à votre organisation, consultez Afficher les règles d'administration.
Avant de commencer
Pour en savoir plus sur les règles d'administration et leurs contraintes, ainsi que sur leur fonctionnement, consultez la présentation du service de règles d'administration.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les règles d'administration :
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Vous pouvez déléguer l'administration des règles d'administration d'administration en ajoutant des conditions IAM à la liaison de rôle "Administrateur des règles d'administration". Pour contrôler les ressources sur lesquelles un compte principal peut gérer les règles d'administration, vous pouvez rendre l'association de rôle conditionnelle à un tag spécifique. Pour en savoir plus, consultez Utiliser des contraintes.
Règles d'administration appliquées aux ressources d'organisation
Le tableau suivant liste les contraintes liées aux règles d'administration qui sont appliquées automatiquement lorsque vous créez une ressource d'organisation.
| Nom de la règle d'administration | Contrainte liée aux règles d'administration | Description | Impact de l'application forcée |
|---|---|---|---|
| Désactiver la création de clés de compte de service | constraints/iam.managed.disableServiceAccountKeyCreation |
Empêchez les utilisateurs de créer des clés persistantes pour les comptes de service. Pour en savoir plus sur la gestion des clés de compte de service, consultez Fournir des alternatives à la création de clés de compte de service. | Réduit le risque d'exposition des identifiants de compte de service. |
| Désactiver l'importation de clés de compte de service | constraints/iam.managed.disableServiceAccountKeyUpload |
Empêchez l'importation de clés publiques externes dans des comptes de service. Pour savoir comment accéder aux ressources sans clé de compte de service, consultez ces bonnes pratiques. | Réduit le risque d'exposition des identifiants de compte de service. |
| Empêcher l'attribution du rôle "Éditeur" aux comptes de service par défaut | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Empêche les comptes de service par défaut de recevoir le rôle IAM Éditeur trop permissif à la création. | Le rôle Éditeur permet au compte de service de créer et de supprimer des ressources pour la plupart des services Google Cloud , ce qui crée une faille de sécurité si le compte de service est piraté. |
| Restreindre les identités par domaine | constraints/iam.allowedPolicyMemberDomains |
Limitez le partage des ressources aux identités appartenant à une ressource d'organisation ou à un numéro client Google Workspace spécifiques. | Si la ressource d'organisation est accessible à des acteurs dont le domaine est différent de celui du client, cela crée une faille de sécurité. |
| Restreindre les contacts par domaine | constraints/essentialcontacts.managed.allowedContactDomains |
Limitez les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à recevoir des notifications de la plate-forme. | Une personne malveillante disposant d'un autre domaine peut être ajoutée en tant que contact essentiel, ce qui compromet la sécurité. |
| Restreindre le transfert de protocole en fonction du type d'adresse IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Limitez la configuration du transfert de protocole aux adresses IP internes uniquement. | Protège les instances cibles contre l'exposition au trafic externe. |
| Accès uniforme au niveau du bucket | constraints/storage.uniformBucketLevelAccess |
Empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des règles d'autorisation et de refus) pour fournir l'accès. | Assure la cohérence de la gestion des accès et des audits. |
Gérer l'application des règles d'administration
Vous pouvez gérer l'application des règles d'administration d'administration de différentes manières :
Lister les règles d'administration
Pour vérifier si les contraintes de référence de sécurité Google Cloud sont appliquées à votre organisation, utilisez la commande suivante :
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'identifiant unique de votre organisation.
Désactiver les règles d'administration
Pour désactiver ou supprimer une règle d'administration, exécutez la commande suivante :
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Remplacez les éléments suivants :
CONSTRAINT_NAME: nom de la contrainte de règle d'administration de l'organisation que vous souhaitez supprimer, par exempleiam.allowedPolicyMemberDomainsORGANIZATION_ID: identifiant unique de votre organisation
Étapes suivantes
Pour en savoir plus sur la création et la gestion des règles d'administration, consultez Utiliser des contraintes.