如果您是新客戶,在下列情況下,系統會 Google Cloud 自動為您的網域佈建機構資源:
- 網域中的使用者首次登入。
- 使用者建立的帳單帳戶沒有相關聯的機構資源。
這個機構資源的預設設定是無限制存取,這可能會導致基礎架構容易發生安全漏洞。舉例來說,預設服務帳戶金鑰建立功能是重大安全漏洞,可能會導致系統遭到入侵。
Google Cloud 安全基準會透過一組機構政策,解決不安全的防護機制,並在建立機構資源時強制執行。詳情請參閱取得機構資源。這類機構政策的例子包括停用服務帳戶金鑰建立功能,以及停用服務帳戶金鑰上傳功能。
現有使用者建立機構時,新機構資源的安全性狀態可能與現有機構資源不同。自 2024 年 5 月 3 日起,所有機構都必須遵守 Google Cloud 安全性基準限制。在 2024 年 2 月至 2024 年 4 月期間建立的部分機構,可能也會套用這些預設政策強制執行設定。如要查看貴機構適用的機構政策,請參閱「查看機構政策」。
事前準備
如要進一步瞭解機構政策和限制條件的定義和運作方式,請參閱機構政策服務簡介。
必要的角色
如要取得管理組織政策所需的權限,請要求管理員授予您組織的組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這個預先定義的角色具備管理機構政策所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要管理組織政策,必須具備下列權限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
您可以將身分與存取權管理條件新增至機構政策管理員角色繫結,藉此委派機構政策的管理權。如要控管主體可管理組織政策的資源,您可以根據特定標記設定角色繫結條件。詳情請參閱「使用限制」。
對機構資源強制執行的機構政策
下表列出您建立機構資源時,系統會自動強制執行的機構政策限制。
| 機構政策名稱 | 機構政策限制 | 說明 | 強制執行的影響 |
|---|---|---|---|
| 停用服務帳戶金鑰建立功能 | constraints/iam.managed.disableServiceAccountKeyCreation |
禁止使用者為服務帳戶建立永久金鑰。如要瞭解如何管理服務帳戶金鑰,請參閱「提供建立服務帳戶金鑰的替代方案」。 | 降低服務帳戶憑證外洩的風險。 |
| 停用服務帳戶金鑰上傳功能 | constraints/iam.managed.disableServiceAccountKeyUpload |
禁止將外部公開金鑰上傳至服務帳戶。如要瞭解如何在不使用服務帳戶金鑰的情況下存取資源,請參閱這些最佳做法。 | 降低服務帳戶憑證外洩的風險。 |
| 防止預設服務帳戶取得編輯者角色 | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
防止預設服務帳戶在建立時取得權限過於寬鬆的 IAM 編輯者角色。 | 編輯者角色可讓服務帳戶建立及刪除大部分 Google Cloud 服務的資源,如果服務帳戶遭到入侵,就會產生安全漏洞。 |
| 依照網域設定身分限制 | constraints/iam.allowedPolicyMemberDomains |
將資源共用限制為屬於特定機構資源或 Google Workspace 客戶 ID 的身分。 | 如果允許網域與客戶網域不同的行為人存取機構資源,就會產生安全漏洞。 |
| 依網域限制聯絡人 | constraints/essentialcontacts.managed.allowedContactDomains |
限制「重要聯絡人」,僅允許所選網域中的受管理使用者接收平台通知。 | 如果將其他網域的不肖分子新增為重要聯絡人,可能會導致安全狀態遭到入侵。 |
| 依據 IP 位址類型限制通訊協定轉送 | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
限制只能為內部 IP 位址設定通訊協定轉送。 | 保護目標執行個體,避免暴露於外部流量。 |
| 統一值區層級存取權 | constraints/storage.uniformBucketLevelAccess |
禁止 Cloud Storage 值區使用個別物件 ACL (與允許和拒絕政策不同的系統) 提供存取權。 | 確保存取權管理和稽核作業的一致性。 |
管理機構政策的強制執行
您可以透過下列方式管理機構政策的強制執行:
列出機構政策
如要檢查是否已對貴機構強制執行 Google Cloud 安全性基準限制,請使用下列指令:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
將 ORGANIZATION_ID 替換為貴機構的專屬 ID。
停用機構政策
如要停用或刪除組織政策,請執行下列指令:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
更改下列內容:
CONSTRAINT_NAME:要刪除的機構政策限制名稱,例如iam.allowedPolicyMemberDomainsORGANIZATION_ID:貴機構的專屬 ID
後續步驟
如要進一步瞭解如何建立及管理機構政策,請參閱「使用限制」。