Jika Anda adalah pelanggan baru, Google Cloud akan otomatis menyediakan resource organisasi untuk domain Anda dalam skenario berikut:
- Pengguna dari domain Anda login untuk pertama kalinya.
- Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.
Konfigurasi default resource organisasi ini, yang ditandai dengan akses tanpa batasan, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default adalah kerentanan kritis yang mengekspos sistem terhadap potensi pelanggaran.
Google Cloud Dasar keamanan mengatasi postur keamanan yang tidak aman dengan sekumpulan kebijakan organisasi yang diterapkan saat resource organisasi dibuat. Untuk mengetahui informasi selengkapnya, lihat mendapatkan resource organisasi. Contoh kebijakan organisasi ini mencakup menonaktifkan pembuatan kunci akun layanan dan menonaktifkan upload kunci akun layanan.
Saat pengguna lama membuat organisasi, postur keamanan untuk resource organisasi baru mungkin berbeda dengan resource organisasi lama.Batasan dasar keamanan Google Cloud diterapkan untuk semua organisasi yang dibuat pada atau setelah 3 Mei 2024. Beberapa organisasi yang dibuat antara Februari 2024 dan April 2024 mungkin juga telah menetapkan pemberlakuan kebijakan default ini. Untuk melihat kebijakan organisasi yang diterapkan ke organisasi Anda, lihat Melihat kebijakan organisasi.
Sebelum memulai
Untuk mengetahui informasi selengkapnya tentang apa itu kebijakan dan batasan organisasi serta cara kerjanya, lihat pengantar Layanan Kebijakan Organisasi.
Peran yang diperlukan
Guna mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Organization policy administrator (roles/orgpolicy.policyAdmin) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mengelola kebijakan organisasi:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Anda dapat mendelegasikan administrasi kebijakan organisasi dengan menambahkan Kondisi IAM ke binding peran administrator kebijakan Organisasi. Untuk mengontrol resource tempat prinsipal dapat mengelola kebijakan organisasi, Anda dapat membuat binding peran bersyarat pada tag tertentu. Untuk mengetahui informasi selengkapnya, lihat Menggunakan batasan.
Kebijakan organisasi yang diterapkan pada resource organisasi
Tabel berikut mencantumkan batasan kebijakan organisasi yang diterapkan secara otomatis saat Anda membuat resource organisasi.
| Nama kebijakan organisasi | Batasan kebijakan organisasi | Deskripsi | Dampak penegakan |
|---|---|---|---|
| Menonaktifkan pembuatan kunci akun layanan | constraints/iam.managed.disableServiceAccountKeyCreation |
Mencegah pengguna membuat kunci persisten untuk akun layanan. Untuk mengetahui informasi tentang cara mengelola kunci akun layanan, lihat Menyediakan alternatif lain untuk membuat kunci akun layanan. | Mengurangi risiko kredensial akun layanan yang terekspos. |
| Menonaktifkan upload kunci akun layanan | constraints/iam.managed.disableServiceAccountKeyUpload |
Mencegah upload kunci publik eksternal ke akun layanan. Untuk mengetahui informasi tentang cara mengakses resource tanpa kunci akun layanan, lihat praktik terbaik ini. | Mengurangi risiko kredensial akun layanan yang terekspos. |
| Mencegah pemberian peran Editor ke akun layanan default | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Mencegah akun layanan default menerima peran Editor IAM yang terlalu permisif saat pembuatan. | Peran Editor memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar layanan Google Cloud , yang menimbulkan kerentanan jika akun layanan tersebut disusupi. |
| Membatasi identitas menurut domain | constraints/iam.allowedPolicyMemberDomains |
Membatasi berbagi resource ke identitas yang termasuk dalam ID pelanggan Google Workspace atau resource organisasi tertentu. | Membiarkan resource organisasi terbuka untuk diakses oleh aktor dengan domain selain domain pelanggan sendiri akan menciptakan kerentanan. |
| Membatasi kontak menurut domain | constraints/essentialcontacts.managed.allowedContactDomains |
Batasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform. | Pihak tidak bertanggung jawab dengan domain yang berbeda dapat ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan terganggu. |
| Membatasi penerusan protokol berdasarkan jenis alamat IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Batasi konfigurasi penerusan protokol hanya untuk alamat IP internal. | Melindungi instance target dari eksposur ke traffic eksternal. |
| Akses level bucket yang seragam | constraints/storage.uniformBucketLevelAccess |
Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan izinkan dan tolak) untuk memberikan akses. | Menerapkan konsistensi untuk pengelolaan akses dan audit. |
Mengelola penegakan kebijakan organisasi
Anda dapat mengelola penerapan kebijakan organisasi dengan cara berikut:
Mencantumkan kebijakan organisasi
Untuk memeriksa apakah batasan dasar keamanan diterapkan di organisasi Anda, gunakan perintah berikut: Google Cloud
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ganti ORGANIZATION_ID dengan ID unik organisasi Anda.
Menonaktifkan kebijakan organisasi
Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ganti kode berikut:
CONSTRAINT_NAME: nama batasan kebijakan organisasi yang ingin Anda hapus—misalnya,iam.allowedPolicyMemberDomainsORGANIZATION_ID: ID unik organisasi Anda
Langkah berikutnya
Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola kebijakan organisasi, lihat Menggunakan batasan.