Si vous êtes un nouveau client, Google Cloud provisionne automatiquement une ressource d'organisation pour votre domaine dans les cas suivants :
- Un utilisateur de votre domaine se connecte pour la première fois.
- Un utilisateur crée un compte de facturation qui n'est associé à aucune ressource d'organisation.
La configuration par défaut de cette ressource d'organisation, caractérisée par un accès illimité, peut rendre l'infrastructure vulnérable aux failles de sécurité. Par exemple, la création de clés de compte de service par défaut est une faille critique qui expose les systèmes à des violations potentielles.
Grâce à l'application de règles d'administration sécurisées par défaut, les postures non sécurisées sont traitées avec un ensemble de règles d'administration d'administration appliquées au moment de la création d'une ressource d'organisation. Par exemple, nous pouvons désactiver la création et l'importation de clés de compte de service.
Lorsqu'un utilisateur existant crée une organisation, la posture de sécurité de la nouvelle ressource d'organisation peut être différente de celle des ressources d'organisation existantes. Règles d'administration sécurisées par défaut sont appliquées à toutes les organisations créées le 3 mai 2024 ou après. Il est également possible que ces règles par défaut soient appliquées à certaines organisations créées entre février et avril 2024. Pour afficher les règles d'administration appliquées à votre organisation, consultez Afficher les règles d'administration.
En tant qu'administrateur, voici les scénarios dans lesquels ces règles d'administration sont appliquées automatiquement :
- Compte Google Workspace ou Cloud Identity : lorsque vous disposez d'un compte Google Workspace ou Cloud Identity, une ressource Organisation est créée et associée à votre domaine. Les règles d'administration sécurisées par défaut sont appliquées automatiquement à la ressource de l'organisation.
- Création d'un compte de facturation : si le compte de facturation que vous créez n'est pas associé à une ressource d'organisation, une ressource d'organisation est automatiquement créée. Les règles d'administration sécurisées par défaut sont appliquées à la ressource d'organisation. Ce scénario fonctionne à la fois sur la console Google Cloud et sur la gcloud CLI.
Autorisations requises
Le rôle Identity and Access Management roles/orgpolicy.policyAdmin permet à un administrateur de gérer les règles d'administration. Vous devez être un administrateur de règle d'administration pour modifier ou ignorer règles d'administration.
Pour accorder le rôle, exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Remplacez les éléments suivants :
ORGANIZATION: identifiant unique de votre organisation.PRINCIPAL: compte principal pour lequel vous souhaitez ajouter la liaison. Il doit être au formatuser|group|serviceAccount:emailoudomain:domain. Par exemple,user:222larabrown@gmail.com.ROLE: rôle à attribuer au compte principal. Utilisez le chemin d'accès complet d'un rôle prédéfini. Dans ce cas, il doit s'agir deroles/orgpolicy.policyAdmin.
Règles d'administration appliquées aux ressources d'organisation
Le tableau suivant liste les contraintes de règles d'administration qui sont appliquées automatiquement lorsque vous créez une ressource d'organisation.
| Nom de la règle d'administration | Contrainte liée aux règles d'administration | Description | Impact de l'application forcée |
|---|---|---|---|
| Désactiver la création de clés de compte de service | constraints/iam.disableServiceAccountKeyCreation |
Empêche les utilisateurs de créer des clés persistantes pour les comptes de service. Pour en savoir plus sur la gestion des clés de compte de service, consultez Fournir des alternatives à la création de clés de compte de service. | Réduit le risque d'exposition des identifiants de compte de service. |
| Désactiver l'importation de clés de compte de service | constraints/iam.disableServiceAccountKeyUpload |
Empêchez l'importation de clés publiques externes dans des comptes de service. Pour savoir comment accéder aux ressources sans clé de compte de service, consultez ces bonnes pratiques. | Réduit le risque d'exposition des identifiants de compte de service. |
| Désactiver les attributions automatiques de rôles pour les comptes de service par défaut | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Empêchez les comptes de service par défaut de recevoir le rôle IAM Editor trop permissif à la création. |
Le rôle Editor permet au compte de service de créer et de supprimer des ressources pour la plupart des services Google Cloud , ce qui crée une faille de sécurité si le compte de service est piraté. |
| Restreindre les identités par domaine | constraints/iam.allowedPolicyMemberDomains |
Limitez le partage de ressources aux identités appartenant à une ressource d'organisation spécifique. | Si la ressource de l'organisation est accessible à des acteurs dont les domaines sont différents de celui du client, cela crée une faille. |
| Restreindre les contacts par domaine | constraints/essentialcontacts.allowedContactDomains |
Limitez les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à recevoir des notifications de la plate-forme. | Un acteur malintentionné disposant d'un autre domaine peut être ajouté en tant que contact essentiel, ce qui compromet la sécurité. |
| Accès uniforme au niveau du bucket | constraints/storage.uniformBucketLevelAccess |
Empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des règles d'autorisation et de refus) pour fournir l'accès. | Assure la cohérence de la gestion des accès et des audits. |
| Utiliser le DNS zonal par défaut | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Définissez des restrictions pour que les développeurs d'applications ne puissent pas choisir les paramètres DNS globaux pour les instances Compute Engine. | Les paramètres DNS généraux offrent une fiabilité de service inférieure à celle des paramètres DNS zonaux. |
| Restreindre le transfert de protocole en fonction du type d'adresse IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Limitez la configuration du transfert de protocole aux adresses IP internes uniquement. | Protège les instances cibles contre l'exposition au trafic externe. |
Gérer l'application des règles d'administration
Vous pouvez gérer l'application des règles d'administration d'administration de différentes manières :
Lister les règles d'administration
Pour vérifier si les règles d'administration sécurisées par défaut sont appliquées à votre organisation, utilisez la commande suivante :
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'identifiant unique de votre organisation.
Désactiver les règles d'administration
Pour désactiver ou supprimer une règle d'administration, exécutez la commande suivante :
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Remplacez les éléments suivants :
CONSTRAINT_NAMEcorrespond au nom de la contrainte de règle d'administration de l'organisation que vous souhaitez supprimer. Exemple :iam.allowedPolicyMemberDomains.ORGANIZATION_IDest l'identifiant unique de votre organisation.
Ajouter ou modifier des valeurs pour une règle d'administration
Pour ajouter ou mettre à jour des valeurs pour une règle d'administration, vous devez les stocker dans un fichier YAML. Voici un exemple du contenu de ce fichier :
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Pour ajouter ou mettre à jour les valeurs listées dans le fichier YAML, exécutez la commande suivante :
gcloud org-policies set-policy POLICY_FILE
Remplacez POLICY_FILE par le chemin d'accès au fichier YAML contenant les valeurs de la règle d'administration.