Se você for um novo cliente,o Google Cloud vai provisionar automaticamente um recurso de organização para seu domínio nos seguintes cenários:
- Um usuário do seu domínio faz login pela primeira vez.
- Um usuário cria uma conta de faturamento que não tem um recurso de organização associado.
A configuração padrão desse recurso da organização, caracterizada por acesso irrestrito, pode tornar a infraestrutura suscetível a violações de segurança. Por exemplo, a criação de chaves de conta de serviço padrão é uma vulnerabilidade crítica que expõe os sistemas a possíveis violações.
Com as aplicações de políticas da organização de segurança por padrão, as posturas inseguras são abordadas com um pacote de políticas da organização que são aplicadas no momento da criação de um recurso da organização. Exemplos dessas imposições incluem a desativação da criação e do upload de chaves de contas de serviço.
Quando um usuário cria uma organização, a postura de segurança do novo recurso de organização pode ser diferente dos recursos de organização atuais. As políticas da organização com segurança por padrão são aplicadas a todas as organizações criadas em 3 de maio de 2024 ou depois dessa data. Algumas organizações criadas entre fevereiro e abril de 2024 também podem ter essas restrições de política padrão definidas. Para ver as políticas da organização aplicadas à sua organização, consulte Como visualizar as políticas da organização.
Como administrador, confira abaixo os cenários em que essas imposições de política da organização são aplicadas automaticamente:
- Conta do Google Workspace ou do Cloud Identity: quando você tem uma conta do Google Workspace ou do Cloud Identity, um recurso de organização é criado e associado ao seu domínio. As políticas da organização segurança por padrão são aplicadas automaticamente ao recurso da organização.
- Criação de conta de faturamento: se a conta de faturamento criada não estiver associada a um recurso de organização, um recurso de organização será criado automaticamente. As políticas da organização de segurança por padrão são aplicadas ao recurso da organização. Esse cenário funciona no console Google Cloud e na CLI gcloud.
Permissões necessárias
O papel de gerenciamento de identidade e acesso
roles/orgpolicy.policyAdmin permite que um administrador gerencie políticas da organização. Você precisa ser um administrador de políticas da organização para mudar ou substituir as políticas da organização.
Para conceder o papel, execute o seguinte comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Substitua:
ORGANIZATION: identificador exclusivo da sua organização.PRINCIPAL: o principal para quem a vinculação deve ser adicionada. Ele precisa estar no formatouser|group|serviceAccount:emailoudomain:domain. Por exemplo,user:222larabrown@gmail.com.ROLE: papel a ser concedido ao principal. Use o caminho completo de um papel predefinido. Nesse caso, ele precisa serroles/orgpolicy.policyAdmin.
Políticas da organização aplicadas aos recursos da organização
A tabela a seguir lista as restrições de política da organização que são aplicadas automaticamente quando você cria um recurso de organização.
| Nome da política da organização | Restrição da política da organização | Descrição | Impacto da aplicação |
|---|---|---|---|
| Desativar criação de chave da conta de serviço | constraints/iam.disableServiceAccountKeyCreation |
Impedir que os usuários criem chaves permanentes para contas de serviço. Para informações sobre como gerenciar chaves de conta de serviço, consulte Oferecer alternativas para criar chaves de conta de serviço. | Reduz o risco de credenciais de conta de serviço expostas. |
| Desativar upload de chave da conta de serviço | constraints/iam.disableServiceAccountKeyUpload |
Impedir o upload de chaves públicas externas para contas de serviço. Para informações sobre como acessar recursos sem chaves de conta de serviço, consulte estas práticas recomendadas. | Reduz o risco de credenciais de conta de serviço expostas. |
| Desativar concessões de papel automáticas para contas de serviço padrão | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedir que as contas de serviço padrão recebam o papel do IAM Editor excessivamente permissivo na criação. |
O papel Editor permite que a conta de serviço crie e exclua recursos para a maioria dos serviços do Google Cloud , o que cria uma vulnerabilidade se a conta de serviço for comprometida. |
| Restringir identidades por domínio | constraints/iam.allowedPolicyMemberDomains |
Limitar o compartilhamento de recursos a identidades que pertencem a um recurso específico da organização. | Deixar o recurso da organização aberto para acesso por atores com domínios diferentes do próprio cliente cria uma vulnerabilidade. |
| Restringir contatos por domínio | constraints/essentialcontacts.allowedContactDomains |
Limitar os contatos essenciais para permitir que apenas identidades de usuário gerenciadas nos domínios selecionados recebam notificações de plataforma. | Um usuário de má-fé com um domínio diferente pode ser adicionado como Contato Essencial, o que compromete a segurança. |
| Acesso uniforme no nível do bucket | constraints/storage.uniformBucketLevelAccess |
Impedir que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas de permissão e negação) para conceder acesso. | Garante a consistência do gerenciamento de acesso e da auditoria. |
| Usar DNS zonal por padrão | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Defina restrições para que os desenvolvedores de aplicativos não possam escolher configurações globais de DNS para instâncias do Compute Engine. | As configurações de DNS global têm menor confiabilidade de serviço do que as configurações de DNS por zona. |
| Restringir encaminhamento de protocolo com base no tipo de endereço IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Restrinja a configuração do encaminhamento de protocolo apenas para endereços IP internos. | Protege as instâncias de destino contra a exposição ao tráfego externo. |
Gerenciar a aplicação das políticas da organização
É possível gerenciar a aplicação das políticas da organização das seguintes maneiras:
Listar políticas da organização
Para verificar se as políticas da organização de segurança por padrão estão sendo aplicadas na sua organização, use o seguinte comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo identificador exclusivo da sua organização.
Desativar políticas da organização
Para desativar ou excluir uma política da organização, execute o seguinte comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Substitua:
CONSTRAINT_NAMEé o nome da restrição da política da organização que você quer excluir. Por exemplo,iam.allowedPolicyMemberDomains.ORGANIZATION_IDé o identificador exclusivo da sua organização.
Adicionar ou atualizar valores para uma política da organização
Para adicionar ou atualizar valores em uma política da organização, armazene os valores em um arquivo YAML. Exemplo de como o conteúdo desse arquivo pode aparecer:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para adicionar ou atualizar os valores listados no arquivo YAML, execute o seguinte comando:
gcloud org-policies set-policy POLICY_FILE
Substitua POLICY_FILE pelo caminho para o arquivo YAML que contém os valores da política da organização.