Il servizio Policy dell'organizzazione offre ai clienti un controllo centralizzato e programmatico per impostare limitazioni sulle risorse della loro organizzazione. Ogni tipo di limitazione è definito come un vincolo ed è concettualmente simile a un progetto che definisce i comportamenti controllati. La creazione e la gestione delle policy dell'organizzazione possono essere complicate, poiché i requisiti di sicurezza e conformità cambiano nel tempo.
Il motore per suggerimenti di Policy dell'organizzazione ti aiuta a proteggere le tue Google Cloud risorse senza interrompere i sistemi dei clienti. Analizza le configurazioni delle policy dell'organizzazione esistenti e genera suggerimenti sulle policy dell'organizzazione da applicare.
Panoramica dei suggerimenti per le policy dell'organizzazione
I suggerimenti per le policy dell'organizzazione vengono generati dal motore per suggerimenti di Policy dell'organizzazione. Il motore per suggerimenti di Policy dell'organizzazione è uno dei motori per suggerimenti offerti da Recommender.
Ogni suggerimento per le policy dell'organizzazione ti consiglia di impostare una determinata policy dell'organizzazione per migliorare la sicurezza delle tue Google Cloud risorse. Una policy dell'organizzazione è costituita da un vincolo, ovvero una configurazione di limitazioni su un Google Cloud servizio.
Il motore per suggerimenti di Policy dell'organizzazione utilizza gli insight sulle policy dell'organizzazione per identificare le policy dell'organizzazione non impostate. Gli insight sulle policy dell'organizzazione sono risultati relativi allo stato di applicazione di un vincolo di policy dell'organizzazione sulle tue risorse e indicano se le tue risorse sono in violazione di quella policy dell'organizzazione.
Una risorsa è considerata in violazione di una policy dell'organizzazione se si trova in uno stato limitato da quella policy dell'organizzazione. Ad esempio, il vincolo iam.managed.disableServiceAccountKeyCreation consente di limitare la creazione di chiavi dei account di servizio. Se in un progetto è stata creata una chiave del account di servizio, il servizio Policy dell'organizzazione considera il progetto in violazione di quella policy dell'organizzazione.
Come vengono generati insight e suggerimenti
Un suggerimento è un consiglio per ottimizzare l'utilizzo delle Google Cloud risorse. Include i passaggi necessari per intraprendere un'azione in base al suggerimento e viene creato utilizzando i log e l'analisi delle configurazioni delle risorse per risolvere le vulnerabilità identificate dall'insight.
Gli insight sono risultati che puoi utilizzare per concentrarti in modo proattivo su pattern importanti nell'utilizzo delle risorse e contengono il contesto necessario per creare un suggerimento.
Il motore per suggerimenti di Policy dell'organizzazione genera suggerimenti al livello più alto possibile nella gerarchia delle risorse. Ad esempio, se non sono presenti violazioni di un vincolo supportato in nessun progetto in una cartella, il motore per suggerimenti di Policy dell'organizzazione genera il suggerimento per quella cartella, anziché fornire suggerimenti per i progetti.
Vincoli supportati
Ogni suggerimento è specifico per un determinato vincolo di policy dell'organizzazione.
Creazione della chiave del service account
Per impostazione predefinita, gli utenti con le autorizzazioni appropriate possono
creare account di servizio account. Tuttavia, le chiavi dei service account rappresentano un rischio per la sicurezza se non vengono gestite correttamente. Utilizzando il vincolo di policy dell'organizzazione iam.managed.disableServiceAccountKeyCreation, puoi disabilitare la creazione di nuove chiavi esterne dei account di servizio per tutti i service account di un progetto, una cartella o un'organizzazione.
Il motore per suggerimenti di Policy dell'organizzazione controlla l'esistenza di service account gestiti dall'utente di Identity and Access Management (IAM) e le chiavi esterne di questi service account per valutare se violano le limitazioni alla creazione di chiavi dei account di servizio.
Se non sono state create chiavi dei account di servizio, il motore per suggerimenti di Policy dell'organizzazione genera un suggerimento per applicare il vincolo iam.managed.disableServiceAccountKeyCreation e i dettagli di supporto del suggerimento negli insight corrispondenti.
Gli insight relativi al vincolo iam.managed.disableServiceAccountKeyCreation hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Caricamento della chiave del service account
Gli utenti possono caricare la chiave pubblica parte di una
coppia di chiavi gestita dall'utente per associarla a un account di servizio. Dopo aver caricato la chiave pubblica, possono utilizzare la chiave privata della coppia di chiavi come chiave del service account. Utilizzando il vincolo di policy dell'organizzazione iam.managed.disableServiceAccountKeyUpload, puoi disabilitare il caricamento di chiavi pubbliche esterne nei service account di un progetto, una cartella o un'organizzazione.
Se non sono state caricate chiavi dei account di servizio, il motore per suggerimenti di Policy dell'organizzazione genera un suggerimento per applicare il vincolo iam.managed.disableServiceAccountKeyUpload e i dettagli di supporto del suggerimento negli insight corrispondenti.
Gli insight per iam.managed.disableServiceAccountKeyUpload hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regole di forwarding del protocollo
Il forwarding del protocollo utilizza una regola di forwarding regionale per recapitare i pacchetti di un protocollo specifico a una singola istanza di macchina virtuale (VM) . La regola di forwarding può avere un indirizzo IP interno o esterno.
Utilizzando il vincolo di policy dell'organizzazione compute.managed.restrictProtocolForwardingCreationForTypes, puoi limitare il tipo di oggetti regola di forwarding del protocollo che un utente può creare.
Se non sono definite regole di forwarding del protocollo esterne, il motore per suggerimenti di Policy dell'organizzazione genera un suggerimento per applicare il vincolo compute.managed.restrictProtocolForwardingCreationForTypes e i dettagli di supporto del suggerimento negli insight corrispondenti.
Gli insight per compute.managed.restrictProtocolForwardingCreationForTypes hanno il sottotipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorità e gravità
La priorità dei suggerimenti e la gravità degli insight ti aiutano a comprendere l'urgenza di un suggerimento o di un insight e a dare la priorità di conseguenza.
Priorità dei suggerimenti per le policy dell'organizzazione
A un suggerimento viene assegnato un livello di priorità in base alla sua urgenza percepita.
I livelli di priorità vanno da P1 (priorità più alta) a P4 (priorità più bassa).
Tutti i suggerimenti per le policy dell'organizzazione hanno una priorità di P1.
Gravità dei suggerimenti per le policy dell'organizzazione
Agli insight vengono assegnati livelli di gravità in base alla loro urgenza percepita. I livelli di gravità possono essere LOW, MEDIUM, HIGH o CRITICAL.
Tutti gli insight sulle policy dell'organizzazione hanno una gravità di HIGH.
Come vengono applicati i suggerimenti
Il motore per suggerimenti di Policy dell'organizzazione non applica automaticamente i suggerimenti. Devi invece esaminare i suggerimenti e decidere se applicarli o ignorarli. Per scoprire come esaminare, applicare e ignorare i suggerimenti per i ruoli, consulta Esaminare e applicare i suggerimenti per le policy dell'organizzazione.
Audit logging
Quando applichi o ignori un suggerimento, il motore per suggerimenti di Policy dell'organizzazione crea una voce di log. Puoi visualizzarli nei tuoi Google Cloud audit log.
Prezzi
I suggerimenti per le policy dell'organizzazione per i vincoli gestiti sono disponibili senza costi.
Per ulteriori informazioni, consulta Domande sulla fatturazione.
Passaggi successivi
Esamina e applica i suggerimenti per le policy dell'organizzazione.
Scopri di più su Recommender.
Scopri di più sui vincoli gestiti nelle policy dell'organizzazione.