新規のお客様の場合、次のシナリオで、 Google Cloud によってお客様のドメインの組織リソースが自動的にプロビジョニングされます。
- ドメインのユーザーが初めてログインしたとき。
- ユーザーが、組織リソースが関連付けられていない請求先アカウントを作成したとき。
この組織リソースのデフォルト構成は無制限のアクセスを特徴としているため、インフラストラクチャはセキュリティ侵害による影響を受けやすくなります。たとえば、デフォルトのサービス アカウント キーの作成は、システムが侵害される可能性がある重大な脆弱性を持ちます。
Google Cloud セキュリティ ベースラインは、組織リソースの作成時に適用される組織のポリシーのバンドルを使用して、安全でないセキュリティ対策に対処します。詳細については、組織リソースを取得するをご覧ください。このような組織のポリシーの例としては、サービス アカウント キーの作成の無効化やサービス アカウント キーのアップロードの無効化が挙げられます。
既存のユーザーが組織を作成すると、新しい組織リソースのセキュリティ ポスチャーが既存の組織リソースと異なる場合があります。2024 年 5 月 3 日以降に作成されたすべての組織には、 Google Cloud セキュリティ ベースラインの制約が適用されます。2024 年 2 月から 2024 年 4 月の間に作成された組織の一部には、これらのデフォルト ポリシーの適用が設定されている場合もあります。組織に適用されている組織のポリシーを表示するには、組織のポリシーを表示するをご覧ください。
始める前に
組織のポリシーと制約が何かとどのように機能するかの詳細については、組織のポリシー サービスの概要をご覧ください。
必要なロール
組織のポリシーを管理するために必要な権限を取得するには、組織に対する組織のポリシー管理者(roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
この事前定義ロールには、組織のポリシーを管理するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
組織のポリシーを管理するには、次の権限が必要です。
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
組織ポリシーの管理を委任するには、組織ポリシー管理者ロール バインディングに IAM 条件を追加します。プリンシパルが組織のポリシーを管理できるリソースを制御するには、特定のタグを条件としてロール バインディングを作成します。詳細については、制約の使用をご覧ください。
組織リソースに適用される組織のポリシー
次の表に、組織リソースの作成時に自動的に適用される組織のポリシーの制約を示します。
| 組織のポリシー名 | 組織のポリシーの制約 | 説明 | 違反措置の影響 |
|---|---|---|---|
| サービス アカウント キー作成を無効にする | constraints/iam.managed.disableServiceAccountKeyCreation |
ユーザーがサービス アカウントの永続キーを作成できないようにします。サービス アカウント キーの管理については、サービス アカウント キーの作成に代わる方法を用意するをご覧ください。 | サービス アカウントの認証情報が漏洩するリスクが軽減します。 |
| サービス アカウント キーのアップロードを無効にする | constraints/iam.managed.disableServiceAccountKeyUpload |
サービス アカウントへの外部公開鍵のアップロードを禁止します。サービス アカウント キーを使用せずにリソースにアクセスする方法については、こちらのベスト プラクティスをご覧ください。 | サービス アカウントの認証情報が漏洩するリスクが軽減します。 |
| 編集者ロールがデフォルトのサービス アカウントに付与されないようにする | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
デフォルトのサービス アカウントの作成時に、過剰な権限の IAM 編集者ロールを受け取らないようにします。 | 編集者ロールを使用すると、サービス アカウントはほとんどの Google Cloud サービスのリソースを作成および削除できるため、サービス アカウントが不正使用された場合に脆弱性が発生します。 |
| ドメイン別に ID を制限する | constraints/iam.allowedPolicyMemberDomains |
リソース共有を、特定の組織リソースまたは Google Workspace 顧客 ID に属する ID に限定します。 | 組織リソースを公開してお客様自身以外のドメインを持つアクターがアクセスできる状態にしておくと、脆弱性が発生します。 |
| ドメイン別に連絡先を制限する | constraints/essentialcontacts.managed.allowedContactDomains |
重要な連絡先を制限して、選択したドメイン内の管理対象ユーザー ID のみがプラットフォーム通知を受信できるようにします。 | 別のドメインの不正な行為者が重要な連絡先として追加され、セキュリティ状態が侵害される可能性があります。 |
| IP アドレスの種類に基づいてプロトコル転送を制限する | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
内部 IP アドレスのプロトコル転送の構成を制限します。 | ターゲット インスタンスを外部トラフィックから保護します。 |
| 均一なバケットレベルのアクセス | constraints/storage.uniformBucketLevelAccess |
Cloud Storage バケットがオブジェクトごとの ACL(許可ポリシーと拒否ポリシーとは別のシステム)を使用してアクセスを提供することができないようにします。 | アクセス管理と監査により一貫性を実現します。 |
組織のポリシーの適用を管理する
組織のポリシーの適用は、次の方法で管理できます。
組織のポリシーを一覧表示する
Google Cloud セキュリティ ベースライン制約が組織に適用されているかどうかを確認するには、次のコマンドを使用します。
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
ORGANIZATION_ID は、組織の一意の識別子に置き換えます。
組織のポリシーを無効にする
組織のポリシーを無効化または削除するには、次のコマンドを実行します。
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
次のように置き換えます。
CONSTRAINT_NAME: 削除する組織のポリシー制約の名前(例:iam.allowedPolicyMemberDomains)ORGANIZATION_ID: 組織の一意の識別子
次のステップ
組織のポリシーの作成と管理の詳細については、制約の使用をご覧ください。