Se você é um novo cliente, Google Cloud o recurso da organização é provisionado automaticamente para seu domínio nos seguintes cenários:
- Um usuário do seu domínio faz login pela primeira vez.
- Um usuário cria uma conta de faturamento que não tem um recurso da organização associado.
A configuração padrão desse recurso da organização, caracterizada por acesso irrestrito, pode tornar a infraestrutura suscetível a violações de segurança. Por exemplo, a criação de chaves de conta de serviço padrão é uma vulnerabilidade crítica que expõe os sistemas a possíveis violações.
Google Cloud A referência de segurança aborda posturas de segurança não seguras com um pacote de políticas da organização que são aplicadas quando um recurso da organização é criado. Para mais informações, consulte Como conseguir um recurso da organização. Exemplos dessas políticas da organização incluem desativar a criação de chaves de conta de serviço e desativar o upload de chaves de conta de serviço.
Quando um usuário atual cria uma organização, a postura de segurança do novo recurso da organização pode ser diferente dos recursos da organização atuais. Google Cloud As restrições de referência de segurança são aplicadas a todas as organizações criadas a partir de 3 de maio de 2024. Algumas organizações criadas entre fevereiro e abril de 2024 também podem ter essas aplicações de política padrão definidas. Para conferir as políticas da organização aplicadas à sua organização, consulte Como conferir as políticas da organização.
Antes de começar
Para mais informações sobre o que são políticas e restrições da organização e como elas funcionam, consulte a introdução ao serviço de políticas da organização.
Funções exigidas
Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para gerenciar as políticas da organização. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar as políticas da organização:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
É possível delegar a administração das políticas da organização adicionando condições do IAM à vinculação de função de administrador de políticas da organização. Para controlar os recursos em que um principal pode gerenciar políticas da organização, é possível tornar a vinculação de papel condicional a uma tag específica. Para mais informações, consulte Como usar restrições.Políticas da organização aplicadas aos recursos da organização
A tabela a seguir lista as restrições de políticas da organização que são aplicadas automaticamente quando você cria um recurso da organização.
| Nome da política da organização | Restrição da política da organização | Descrição | Impacto da aplicação |
|---|---|---|---|
| Desativar criação de chave da conta de serviço | constraints/iam.managed.disableServiceAccountKeyCreation |
Impede que os usuários criem chaves persistentes para contas de serviço. Para mais informações sobre como gerenciar chaves de conta de serviço, consulte Oferecer alternativas à criação de chaves de conta de serviço. | Reduz o risco de credenciais de conta de serviço expostas. |
| Desativar upload de chave da conta de serviço | constraints/iam.disableServiceAccountKeyUpload |
Impede o upload de chaves públicas externas para contas de serviço. Para mais informações sobre como acessar recursos sem chaves de conta de serviço, consulte estas práticas recomendadas. | Reduz o risco de credenciais de conta de serviço expostas. |
| Impedir que o papel de Editor seja concedido a contas de serviço padrão | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impede que as contas de serviço padrão recebam o papel de Editor do IAM excessivamente permissivo na criação. | O papel de Editor permite que a conta de serviço crie e exclua recursos para a maioria dos Google Cloud serviços, o que cria uma vulnerabilidade se a conta de serviço for comprometida. |
| Restringir identidades por domínio | constraints/iam.allowedPolicyMemberDomains |
Limita o compartilhamento de recursos a identidades que pertencem a um recurso da organização ou ID do cliente do Google Workspace específico. | Deixar o recurso da organização aberto para acesso por atores com domínios diferentes do próprio cliente cria uma vulnerabilidade. |
| Restringir contatos por domínio | constraints/essentialcontacts.managed.allowedContactDomains |
Limita os contatos essenciais para permitir que apenas identidades de usuário gerenciadas nos domínios selecionados recebam notificações de plataforma. | Um usuário de má-fé com um domínio diferente pode ser adicionado como contatos essenciais, levando a uma postura de segurança comprometida. |
| Restringir encaminhamento de protocolo com base no tipo de endereço IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Restringe a configuração do encaminhamento de protocolo apenas para endereços IP internos. | Protege as instâncias de destino contra a exposição ao tráfego externo. |
| Acesso uniforme no bucket | constraints/storage.uniformBucketLevelAccess |
Impede que os buckets do Cloud Storage usem a ACL por objeto (um sistema separado das políticas de permissão e negação) para fornecer acesso. | Impõe consistência para gerenciamento de acesso e auditoria. |
Observação: para algumas organizações criadas após 15 de agosto de 2024, a restrição de política da organização constraints/compute.restrictProtocolForwardingCreationForTypes já pode estar aplicada.
Gerenciar a aplicação de políticas da organização
É possível gerenciar a aplicação de políticas da organização das seguintes maneiras:
Listar políticas da organização
Para verificar se as restrições de referência de segurança Google Cloud são aplicadas à sua organização, use o seguinte comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo identificador exclusivo da sua organização.
Desativar políticas da organização
Para desativar ou excluir uma política da organização, execute o seguinte comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Substitua:
CONSTRAINT_NAME: o nome da restrição de política da organização que você quer excluir, por exemplo,iam.allowedPolicyMemberDomainsORGANIZATION_ID: o identificador exclusivo da sua organização
A seguir
Para mais informações sobre como criar e gerenciar políticas da organização, consulte Como usar restrições.