Si eres un cliente nuevo, Google Cloud aprovisiona automáticamente un recurso de organización para tu dominio en las siguientes situaciones:
- Un usuario de tu dominio accede por primera vez.
- Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.
La configuración predeterminada de este recurso de organización, caracterizada por restricciones de acceso a los datos, pueden hacer que la infraestructura sea suceptible de violaciones de la seguridad. Para Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad y exponer los sistemas a posibles violaciones.
Con la aplicación de políticas de la organización con seguridad predeterminada, de seguridad se abordan con un paquete de políticas de la organización que en el momento de la creación de un recurso de la organización. Ejemplos de estas aplicaciones de política como inhabilitar la creación de claves de cuenta de servicio y la carga de estas claves.
Cuando un usuario existente crea una organización, la postura de seguridad del recurso de la organización nueva puede ser diferente de la de los recursos de la organización existente. Las políticas de la organización con seguridad de forma predeterminada se aplican a todas las organizaciones creadas a partir del 3 de mayo de 2024. Algunas organizaciones crearon entre febrero de 2024. y abril de 2024 también podrían tener configuradas estas aplicaciones de políticas predeterminadas. Cómo ver la organización políticas aplicadas a tu organización, consulta Visualiza las políticas de la organización.
Como administrador, estas son las situaciones en las que estas políticas de políticas se aplican automáticamente:
- Cuenta de Google Workspace o Cloud Identity: Cuando tienes una cuenta de Google Workspace o Cloud Identity, se crea un recurso de organización asociado con tu dominio. Las políticas de seguridad de la organización predeterminada se aplican automáticamente en el recurso de la organización.
- Creación de la cuenta de facturación: Si la cuenta de facturación que creas no está asociada. con un recurso de organización, un recurso de organización se crear. Las políticas de la organización seguras de forma predeterminada se aplican en el recurso de la organización. Esta situación funciona tanto en la consola de Google Cloud y gcloud CLI.
Permisos necesarios
La función de administración de identidades y accesos roles/orgpolicy.policyAdmin
permite a un administrador gestionar las políticas de la organización. Debes ser una organización
administrador de políticas para cambiar o anular las políticas de la organización.
Para otorgar el rol, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Reemplaza lo siguiente:
ORGANIZATION
: Es el identificador único de tu organización.PRINCIPAL
: La principal a la que se agregará la vinculación. Debe ser de el formulariouser|group|serviceAccount:email
odomain:domain
. Por ejemplo,user:222larabrown@gmail.com
.ROLE
: Es el rol que se otorgará a la principal. Usa la ruta de acceso completa de un rol predefinido. En este caso, debería serroles/orgpolicy.policyAdmin
.
Políticas de la organización aplicadas a los recursos de la organización
En la siguiente tabla, se enumeran las restricciones de las políticas de la organización se aplica automáticamente cuando creas un recurso de la organización.
Nombre de la política de la organización | Restricción de las políticas de la organización | Descripción | Impacto de la aplicación forzosa |
---|---|---|---|
Inhabilita la creación de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyCreation |
Impedir que los usuarios creen claves persistentes para las cuentas de servicio Para obtener información sobre cómo administrar claves de cuentas de servicio, consulta Proporciona alternativas a la creación de claves de cuentas de servicio. | Reduce el riesgo de que se expongan las credenciales de la cuenta de servicio. |
Inhabilita la carga de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyUpload |
Evita la carga de claves públicas externas a cuentas de servicio. Para obtener información sobre cómo acceder a los recursos sin claves de cuenta de servicio, consulta estas prácticas recomendadas. | Reduce el riesgo de que se expongan las credenciales de la cuenta de servicio. |
Inhabilita las asignaciones de roles automáticas a las cuentas de servicio predeterminadas | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Evita que las cuentas de servicio predeterminadas reciban el rol de IAM Editor demasiado permisivo cuando se crean. |
El rol Editor permite que la cuenta de servicio cree y borre recursos para la mayoría de los servicios de Google Cloud, lo que crea una vulnerabilidad si la cuenta de servicio se ve comprometida. |
Restringe identidades por dominio | constraints/iam.allowedPolicyMemberDomains |
Limita el uso compartido de recursos a las identidades que pertenecen a un recurso de la organización en particular. | Dejar el recurso de la organización abierto para que accedan a él los actores con dominios que no sean que la del cliente crea una vulnerabilidad. |
Cómo restringir contactos por dominio | constraints/essentialcontacts.allowedContactDomains |
Limita los Contactos esenciales para que solo las identidades de usuario administradas de los dominios seleccionados puedan recibir notificaciones de la plataforma. | Es posible que una persona que actúa de mala fe con un dominio diferente se agregue como contactos esenciales, lo que podría comprometer la postura de seguridad. |
Acceso uniforme a nivel de bucket | constraints/storage.uniformBucketLevelAccess |
Impedir que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso | Aplica la coherencia en la administración de accesos y en la auditoría. |
Usa el DNS zonal de forma predeterminada | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Establece restricciones cuando los desarrolladores de aplicaciones no puedan elegir la configuración de DNS global para las instancias de Compute Engine. | La configuración de DNS global tiene una confiabilidad del servicio menor que la configuración de DNS zonal. |
Restringe el reenvío de protocolos según el tipo de dirección IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Restringe la configuración del reenvío de protocolos solo para direcciones IP internas. | Protege las instancias de destino de la exposición al tráfico externo. |
Administra la aplicación de las políticas de la organización
Puedes administrar la aplicación de las políticas de la organización de las siguientes maneras:
Mostrar lista de políticas de la organización
Para comprobar si se aplican a tu organización las políticas de la organización con seguridad de forma predeterminada, usa el siguiente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID
por el identificador único de tu organización.
Inhabilitar políticas de la organización
Para inhabilitar o borrar una política de la organización, ejecuta el siguiente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Reemplaza lo siguiente:
CONSTRAINT_NAME
es el nombre de la política de la organización. restricción que quieres borrar. Un ejemplo esiam.allowedPolicyMemberDomains
.ORGANIZATION_ID
es el identificador único de tu organización.
Agrega o actualiza valores para una política de la organización
Para agregar o actualizar los valores de una política de la organización, debes almacenar los valores en un archivo YAML. Este es un ejemplo de cómo podría verse el contenido de este archivo:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para agregar o actualizar estos valores enumerados en el archivo YAML, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_FILE
Reemplaza POLICY_FILE
por la ruta de acceso al archivo YAML que contiene la
de la política de la organización.