Se você for um novo cliente,o Google Cloud vai provisionar automaticamente um recurso de organização para seu domínio nos seguintes cenários:
- Um usuário do seu domínio faz login pela primeira vez.
- Um usuário cria uma conta de faturamento que não tem um recurso de organização associado.
A configuração padrão desse recurso da organização, caracterizada por acesso irrestrito, pode tornar a infraestrutura suscetível a violações de segurança. Por exemplo, a criação de chaves de conta de serviço padrão é uma vulnerabilidade crítica que expõe os sistemas a possíveis violações.
Google Cloud A base de segurança aborda posturas de segurança não seguras com um pacote de políticas da organização que são aplicadas quando um recurso da organização é criado. Para mais informações, consulte Como conseguir um recurso de organização. Exemplos dessas políticas da organização incluem a desativação da criação e do upload de chaves de conta de serviço.
Quando um usuário cria uma organização, a postura de segurança do novo recurso de organização pode ser diferente dos recursos de organização atuais.As restrições de baseline de segurança do Google Cloud são aplicadas a todas as organizações criadas a partir de 3 de maio de 2024. Algumas organizações criadas entre fevereiro e abril de 2024 também podem ter essas restrições de política padrão definidas. Para ver as políticas da organização aplicadas à sua organização, consulte Como visualizar as políticas da organização.
Antes de começar
Para mais informações sobre o que são políticas e restrições da organização e como elas funcionam, consulte a introdução ao serviço de políticas da organização.
Funções exigidas
Para receber as permissões
necessárias a fim de gerenciar as políticas da organização,
peça ao administrador para conceder a você o
papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para gerenciar as políticas da organização. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar as políticas da organização:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
É possível delegar a administração das políticas da organização adicionando Condições do IAM à vinculação de função de administrador de políticas da organização. Para controlar os recursos em que um principal pode gerenciar políticas da organização, condicione a vinculação de função a uma tag específica. Para mais informações, consulte Como usar restrições.
Políticas da organização aplicadas aos recursos da organização
A tabela a seguir lista as restrições de política da organização que são aplicadas automaticamente quando você cria um recurso de organização.
| Nome da política da organização | Restrição da política da organização | Descrição | Impacto da aplicação |
|---|---|---|---|
| Desativar criação de chave da conta de serviço | constraints/iam.managed.disableServiceAccountKeyCreation |
Impedir que os usuários criem chaves permanentes para contas de serviço. Para informações sobre como gerenciar chaves de conta de serviço, consulte Oferecer alternativas para criar chaves de conta de serviço. | Reduz o risco de credenciais de conta de serviço expostas. |
| Desativar upload de chave da conta de serviço | constraints/iam.managed.disableServiceAccountKeyUpload |
Impedir o upload de chaves públicas externas para contas de serviço. Para informações sobre como acessar recursos sem chaves de conta de serviço, consulte estas práticas recomendadas. | Reduz o risco de credenciais de conta de serviço expostas. |
| Impedir que o papel de editor seja concedido a contas de serviço padrão | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedir que as contas de serviço padrão recebam o papel de editor do IAM excessivamente permissivo na criação. | O papel de Editor permite que a conta de serviço crie e exclua recursos para a maioria dos serviços do Google Cloud , o que cria uma vulnerabilidade se a conta de serviço for comprometida. |
| Restringir identidades por domínio | constraints/iam.allowedPolicyMemberDomains |
Limitar o compartilhamento de recursos a identidades que pertencem a um recurso específico da organização ou a um ID de cliente do Google Workspace. | Deixar o recurso da organização aberto para acesso por atores com domínios diferentes do próprio cliente cria uma vulnerabilidade. |
| Restringir contatos por domínio | constraints/essentialcontacts.managed.allowedContactDomains |
Limitar os contatos essenciais para permitir que apenas identidades de usuário gerenciadas nos domínios selecionados recebam notificações de plataforma. | Um usuário de má-fé com um domínio diferente pode ser adicionado como Contato Essencial, comprometendo a segurança. |
| Restringir encaminhamento de protocolo com base no tipo de endereço IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Restrinja a configuração do encaminhamento de protocolo apenas para endereços IP internos. | Protege as instâncias de destino contra a exposição ao tráfego externo. |
| Acesso uniforme no nível do bucket | constraints/storage.uniformBucketLevelAccess |
Impedir que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas de permissão e negação) para conceder acesso. | Garante a consistência do gerenciamento e da auditoria de acesso. |
Gerenciar a aplicação das políticas da organização
É possível gerenciar a aplicação das políticas da organização das seguintes maneiras:
Listar políticas da organização
Para verificar se as restrições de política de segurança Google Cloud são aplicadas na sua organização, use o seguinte comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo identificador exclusivo da
organização.
Desativar políticas da organização
Para desativar ou excluir uma política da organização, execute o seguinte comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Substitua:
CONSTRAINT_NAME: o nome da restrição da política da organização que você quer excluir, por exemplo,iam.allowedPolicyMemberDomainsORGANIZATION_ID: o identificador exclusivo da sua organização.
A seguir
Para mais informações sobre como criar e gerenciar políticas da organização, consulte Como usar restrições.