Se for um novo cliente, Google Cloud o Google Workspace aprovisiona automaticamente um recurso de organização para o seu domínio nos seguintes cenários:
- Um utilizador do seu domínio inicia sessão pela primeira vez.
- Um utilizador cria uma conta de faturação que não tem um recurso de organização associado.
A configuração predefinida deste recurso da organização, caraterizada por um acesso não restrito, pode tornar a infraestrutura suscetível a violações de segurança. Por exemplo, a criação de chaves de contas de serviço predefinidas é uma vulnerabilidade crítica que expõe os sistemas a potenciais violações.
AGoogle Cloud base de segurança aborda posturas de segurança não seguras com um pacote de políticas da organização que são aplicadas quando é criado um recurso da organização. Para mais informações, consulte o artigo Como obter um recurso de organização. Alguns exemplos destas políticas da organização incluem a desativação da criação de chaves de contas de serviço e a desativação do carregamento de chaves de contas de serviço.
Quando um utilizador existente cria uma organização, a postura de segurança do recurso de organização novo pode ser diferente dos recursos de organização existentes.As restrições da base de segurança são aplicadas a todas as organizações criadas a 3 de maio de 2024 ou após essa data. Google Cloud Algumas organizações criadas entre fevereiro de 2024 e abril de 2024 também podem ter estas aplicações de políticas predefinidas definidas. Para ver as políticas da organização aplicadas à sua organização, consulte o artigo Ver políticas da organização.
Antes de começar
Para mais informações sobre o que são as políticas e as restrições da organização e como funcionam, consulte a introdução ao serviço de políticas da organização.
Funções necessárias
Para receber as autorizações de que precisa para gerir políticas da organização,
peça ao seu administrador para lhe conceder a função de IAM de
administrador da política da organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém as autorizações necessárias para gerir políticas da organização. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para gerir as políticas da organização:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Pode delegar a administração das políticas da organização adicionando condições do IAM à associação de funções de administrador da política da organização. Para controlar os recursos onde um principal pode gerir políticas de organização, pode tornar a atribuição de funções condicional a uma determinada etiqueta. Para mais informações, consulte o artigo Usar restrições.
Políticas da organização aplicadas aos recursos da organização
A tabela seguinte apresenta as restrições da política da organização que são aplicadas automaticamente quando cria um recurso da organização.
| Nome da política da organização | Restrição da política da organização | Descrição | Impacto da aplicação |
|---|---|---|---|
| Desative a criação de chaves de contas de serviço | constraints/iam.managed.disableServiceAccountKeyCreation |
Impedir que os utilizadores criem chaves persistentes para contas de serviço. Para ver informações sobre a gestão de chaves de contas de serviço, consulte o artigo Ofereça alternativas à criação de chaves de contas de serviço. | Reduz o risco de exposição das credenciais da conta de serviço. |
| Desative o carregamento da chave da conta de serviço | constraints/iam.managed.disableServiceAccountKeyUpload |
Impedir o carregamento de chaves públicas externas para contas de serviço. Para obter informações sobre como aceder a recursos sem chaves de contas de serviço, consulte estas práticas recomendadas. | Reduz o risco de exposição das credenciais da conta de serviço. |
| Impedir que a função de editor seja concedida a contas de serviço predefinidas | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedir que as contas de serviço predefinidas recebam a função de editor do IAM excessivamente permissiva no momento da criação. | A função Editor permite que a conta de serviço crie e elimine recursos para a maioria dos Google Cloud serviços, o que cria uma vulnerabilidade se a conta de serviço for comprometida. |
| Restrinja identidades por domínio | constraints/iam.allowedPolicyMemberDomains |
Limitar a partilha de recursos a identidades que pertencem a um recurso de organização específico ou a um ID de cliente do Google Workspace. | Deixar o recurso da organização aberto para acesso por parte de atores com domínios diferentes do próprio cliente cria uma vulnerabilidade. |
| Restrinja os contactos por domínio | constraints/essentialcontacts.managed.allowedContactDomains |
Limite os contactos essenciais para permitir que apenas identidades de utilizadores geridas em domínios selecionados recebam notificações da plataforma. | Um interveniente malicioso com um domínio diferente pode ser adicionado como contacto essencial, o que leva a uma postura de segurança comprometida. |
| Restrinja o encaminhamento de protocolos com base no tipo de endereço IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Restrinja a configuração do encaminhamento de protocolos apenas para endereços IP internos. | Protege as instâncias de destino da exposição ao tráfego externo. |
| Acesso uniforme ao nível do contentor | constraints/storage.uniformBucketLevelAccess |
Impedir que os contentores do Cloud Storage usem a LCA por objeto (um sistema separado das políticas de permissão e negação) para conceder acesso. | Impõe a consistência para a gestão de acesso e a auditoria. |
Faça a gestão da aplicação de políticas da organização
Pode gerir a aplicação das políticas da organização das seguintes formas:
Indique políticas da organização
Para verificar se as restrições da base de referência de segurança são aplicadas na sua organização, use o seguinte comando: Google Cloud
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo identificador exclusivo da sua organização.
Desative as políticas da organização
Para desativar ou eliminar uma política da organização, execute o seguinte comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Substitua o seguinte:
CONSTRAINT_NAME: o nome da restrição da política da organização que quer eliminar. Por exemplo,iam.allowedPolicyMemberDomainsORGANIZATION_ID: o identificador exclusivo da sua organização
O que se segue?
Para mais informações sobre a criação e a gestão de políticas da organização, consulte o artigo Usar restrições.