本節將介紹如何使用 Cloud Identity 管理員工用來存取 Google Cloud服務的身分。
以外部身分提供者做為可靠資料來源
建議您將 Cloud Identity 帳戶與現有的識別資訊提供者建立連結。您可以透過聯播功能,確保現有的帳戶管理程序適用於 Google Cloud 和其他 Google 服務。
如果您沒有現有的身分識別資訊提供者,可以直接在 Cloud Identity 中建立使用者帳戶。
下圖概略說明身分同盟和單一登入 (SSO) 的運作方式。這個範例會使用位於地端環境的 Microsoft Active Directory 做為識別資訊提供者。
下圖說明下列最佳做法:
- 使用者身分會在位於內部部署環境的 Active Directory 網域中管理,並與 Cloud Identity 建立聯結。Active Directory 會使用 Google Cloud Directory Sync 為 Cloud Identity 佈建身分。
- 使用者嘗試登入 Google 服務時,系統會將他們重新導向至外部識別資訊提供者,以便透過 SAML 進行單一登入,並使用現有憑證進行驗證。不會將密碼與 Cloud Identity 進行同步。
下表提供識別資訊提供者的設定指南連結。
| 識別資訊提供者 | 指引 |
|---|---|
| Active Directory | |
| Microsoft Entra ID (原稱 Azure AD) | |
| 其他外部身分識別資訊提供者 (例如 Ping 或 Okta) |
強烈建議您在身分識別提供者中,使用防範網路釣魚的機制 (例如 Titan 安全金鑰) 強制執行多重驗證。
這個範本中的 Terraform 程式碼不會自動設定 Cloud Identity 建議設定。請參閱 Cloud Identity 的管理控制項,瞭解除了部署 Terraform 程式碼之外,您必須設定的建議安全性設定。
存取權控管群組
主體是指可以取得資源存取權的身份。主體包括使用者的 Google 帳戶、Google 群組、Google Workspace 帳戶、Cloud Identity 網域和服務帳戶。有些服務還會讓您將存取權授予所有使用 Google 帳戶進行驗證的使用者,或所有網際網路使用者。如要讓實體與 Google Cloud 服務互動,您必須在 Identity and Access Management (IAM) 中授予該實體角色。
如要大規模管理 IAM 角色,建議您根據使用者的職務功能和存取權需求,將使用者指派至群組,然後將 IAM 角色授予這些群組。您應使用現有身分提供者的程序,將使用者新增至群組,以便建立群組和管理成員資格。
我們不建議將 IAM 角色授予個別使用者,因為個別指派作業可能會增加管理和稽核角色的複雜度。
藍圖會設定群組和角色,讓基礎資源僅供檢視。建議您透過基礎管道部署設計圖中的所有資源,並避免將角色授予群組使用者,以便在管道外修改基礎資源。
下表顯示藍圖為查看基礎資源而設定的群組。
| 名稱 | 說明 | 角色 | 範圍 |
|---|---|---|---|
grp-gcp-org-admin@example.com | 具備高度權限的管理員,可在機構層級授予 IAM 角色。但可以存取其他角色。我們不建議您在日常使用時啟用這項權限。 | 機構管理員 | 組織 |
grp-gcp-billing-admin@example.com |
可修改 Cloud Billing 帳戶的超級權限管理員。我們不建議您每天使用這項權限。 | 帳單帳戶管理員 | 組織 |
grp-gcp-billing-viewer@example.com | 負責查看及分析所有專案的支出情形。 | 帳單帳戶檢視者 | 組織 |
| BigQuery 使用者 | 帳單專案 | ||
grp-gcp-audit-viewer@example.com |
負責稽核安全性相關記錄的團隊。 | 記錄專案 | |
grp-gcp-security-reviewer@example.com |
負責審查雲端安全性的團隊。 | 安全性審查員 | 組織 |
grp-gcp-network-viewer@example.com |
負責查看及維護網路設定的團隊。 | Compute 網路檢視器 | 組織 |
grp-gcp-scc-admin@example.com |
負責設定 Security Command Center 的團隊。 | 安全中心管理員編輯者 | 組織 |
grp-gcp-secrets-admin@example.com |
負責管理、儲存及稽核應用程式使用的憑證和其他密鑰的團隊。 | Secret Manager 管理員 | 密鑰專案 |
grp-gcp-kms-admin@example.com |
負責執行加密金鑰管理作業,以符合法規遵循要求的團隊。 | Cloud KMS 檢視器 | kms 專案 |
您可以在基礎架構上建立自己的工作負載,並根據各工作負載的存取權需求,建立其他群組和授予 IAM 角色。
強烈建議您避免使用基本角色 (例如擁有者、編輯者或檢視者),改用預先定義的角色。基本角色的權限過於寬鬆,可能會帶來安全風險。「擁有者」和「編輯者」角色可提升權限並橫向移動,而「檢視者」角色則包含讀取所有資料的存取權。如要瞭解 IAM 角色的最佳做法,請參閱「安全使用身分與存取權管理」。
超級管理員帳戶
擁有超級管理員帳戶的 Cloud Identity 使用者可略過機構的 SSO 設定,直接向 Cloud Identity 進行驗證。這個例外狀況是經過設計的,因此在 SSO 設定錯誤或服務中斷時,超級管理員仍可存取 Cloud Identity 控制台。不過,這也表示您必須考慮為超級管理員帳戶提供額外保護措施。
為保護超級管理員帳戶,建議您一律在 Cloud Identity 中強制使用安全金鑰進行兩步驟驗證。詳情請參閱「適用於管理員帳戶的安全性最佳做法」。
消費者使用者帳戶發生問題
如果您在加入 Google Cloud前未使用 Cloud Identity 或 Google Workspace,貴機構的員工可能已使用與公司電子郵件身分相關聯的個人帳戶存取其他 Google 服務,例如 Google Marketing Platform 或 YouTube。個人帳戶是由帳戶建立者個人全權擁有及管理的帳戶。由於這些帳戶不在貴機構的控管之下,且可能包含個人和公司資料,因此您必須決定如何將這些帳戶與其他公司帳戶合併。
建議您在 Google Cloud的導入程序中合併現有的消費者使用者帳戶。如果您尚未為所有使用者帳戶使用 Google Workspace,建議您封鎖存取個人帳戶的權限。
Cloud Identity 的管理控制項
Cloud Identity 提供多種管理控制項,但這些控制項並未由設計圖中的 Terraform 程式碼自動化。建議您在建構基礎架構的初期,就強制執行這些最佳做法安全控制項。
| 控制項 | 說明 |
|---|---|
| 部署兩步驟驗證功能 | 使用者帳戶可能會遭到網路釣魚、社會工程學、密碼噴灑或其他各種威脅攻擊。兩步驟驗證可協助降低這些威脅。 建議您為貴機構的所有使用者帳戶強制執行兩步驟驗證,並採用防網路釣魚機制,例如 Titan 安全金鑰或其他採用防網路釣魚 FIDO U2F (CTAP1) 標準的金鑰。 |
| 設定Google Cloud 服務的工作階段長度 | 如果開發人員工作站上的永久 OAuth 權杖遭到揭露,可能會造成安全性風險。建議您設定重新驗證政策,要求使用安全金鑰每 16 小時驗證一次。 |
| 設定 Google 服務的工作階段時間長度 | (僅限 Google Workspace 客戶)
如果其他 Google 服務的持續性網頁工作階段遭到揭露,可能會造成安全性風險。建議您強制設定網頁工作階段的最大長度,並與 SSO 供應商中的工作階段長度控制項保持一致。 |
| 將 Cloud Identity 中的資料共用給 Google Cloud 服務 | Google Workspace 或 Cloud Identity 的管理員活動稽核記錄通常會在管理控制台中管理及查看,與 Google Cloud 環境中的記錄分開。這些記錄包含與 Google Cloud 環境相關的資訊,例如使用者登入事件。 建議您將 Cloud Identity 稽核記錄分享至Google Cloud 環境,以便集中管理所有來源的記錄。 |
| 設定單一登入 (SSO) 後驗證 | 本藍圖假設您已透過外部識別資訊提供者設定 SSO。 建議您根據 Google 的登入風險分析結果,啟用額外的控制層級。套用這項設定後,如果 Google 認為使用者的登入活動可疑,使用者可能會在登入時看到額外的風險相關登入身分確認問題。 |
| 解決消費者使用者帳戶問題 | 如果使用者擁有貴網域的有效電子郵件地址,但沒有 Google 帳戶,則可以註冊非受管的個人帳戶。這些帳戶可能含有公司資料,但不受貴機構的帳戶生命週期管理程序控管。 建議您採取措施,確保所有使用者帳戶都是受管理的帳戶。 |
| 停用超級管理員帳戶的帳戶救援功能 | 對於所有新客戶,超級管理員帳戶自助救援設定預設為關閉 (現有客戶可能已開啟這項設定)。關閉這項設定有助於降低遭入侵的手機、遭入侵的電子郵件或社交工程攻擊,讓攻擊者取得環境超級管理員權限的風險。 請規劃一套內部流程,讓超級管理員在失去帳戶存取權時,能聯絡貴機構中的其他超級管理員,並確保所有超級管理員都熟悉支援團隊協助救援的流程。 |
| 為使用者設定強制密碼規定及監控規定執行情況 | 在大多數情況下,使用者密碼會透過外部身分識別資訊提供者管理,但超級管理員帳戶會略過單一登入服務,因此必須使用密碼登入 Cloud Identity。針對使用密碼登入 Cloud Identity 的使用者 (尤其是超級管理員帳戶),停用密碼重複使用功能,並監控密碼強度。 |
| 設定整個機構適用的群組使用政策 | 根據預設,外部使用者帳戶可加入 Cloud Identity 中的群組。建議您設定分享設定,以便群組擁有者無法新增外部成員。 請注意,這項限制不適用於超級管理員帳戶或具備「群組管理員」權限的其他委派管理員。由於身分識別資訊提供者的聯盟會以管理員權限執行,因此群組共用設定不適用於這項群組同步作業。建議您檢查身分識別提供者和同步處理機制中的控制項,確保非網域成員不會加入群組,或套用群組限制。 |
後續步驟
- 請參閱機構架構 (本系列的下一篇文件)。