如果您是新客户, Google Cloud 系统会自动为您的网域预配 组织资源,具体取决于以下情况:
- 您网域中的用户首次登录。
- 用户创建了没有关联组织 资源的结算账号。
此组织资源的默认配置(以不受限制的访问权限为特征)可能会使基础架构容易受到安全漏洞的影响。例如,默认服务帐号密钥创建功能是一项关键漏洞,可能会使系统面临潜在的漏洞风险。
Google Cloud 安全基准通过一组组织政策来解决不安全的安全状况,这些政策会在创建组织资源时强制执行。如需了解详情,请参阅 获取组织资源。 这些组织政策的示例包括停用服务帐号密钥创建功能和停用服务帐号密钥上传功能。
当现有用户创建组织时, 新组织资源的安全状况可能与现有组织 资源不同。 Google Cloud 对于在 2024 年 5 月 3 日当天或之后创建的所有组织,系统都会强制执行安全基准限制条件。在 2024 年 2 月至 2024 年 4 月期间创建的一些组织可能也设置了这些默认政策强制执行。如需查看应用于您组织的组织政策,请参阅 查看组织政策。
准备工作
如需详细了解组织政策和限制条件及其工作原理,请参阅 组织政策服务简介。
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色可提供管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
对组织资源强制执行的组织政策
下表列出了在您创建组织资源时自动强制执行的组织政策限制条件。
| 组织政策名称 | 组织政策限制条件 | 说明 | 强制执行的影响 |
|---|---|---|---|
| 停用服务帐号密钥创建功能 | constraints/iam.managed.disableServiceAccountKeyCreation |
防止用户为服务账号创建永久密钥。如需了解如何管理服务帐号密钥,请参阅 提供创建服务帐号的替代方案。 | 降低服务帐号凭证泄露的风险。 |
| 停用服务帐号密钥上传功能 | constraints/iam.disableServiceAccountKeyUpload |
防止将外部公钥上传到服务账号。如需了解如何在没有服务帐号密钥的情况下访问资源,请参阅这些最佳实践。 | 降低服务帐号凭证泄露的风险。 |
| 防止将 Editor 角色授予默认服务账号 | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
防止默认服务账号在创建时接收过于宽松的 IAM Editor 角色。 | Editor 角色允许服务帐号为大多数 Google Cloud 服务创建和删除资源,如果服务帐号遭到入侵,则会造成漏洞。 |
| 按网域限制身份 | constraints/iam.allowedPolicyMemberDomains |
将资源共享限制为属于特定组织资源或 Google Workspace 客户 ID 的身份。 | 如果组织资源允许具有客户自身网域以外的网域的行为者访问,则会造成漏洞。 |
| 按网域限制联系人 | constraints/essentialcontacts.managed.allowedContactDomains |
限制“重要联系人”名单,从而仅允许所选网域中受管理的用户接收平台通知。 | 具有不同网域的作恶方可能会被添加为重要联系人,从而导致安全状况受到影响。 |
| 根据 IP 地址类型限制协议转发 | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
仅限制内部 IP 地址的协议转发配置。 | 保护目标实例免受外部流量的影响。 |
| 统一存储桶级访问权限 | constraints/storage.uniformBucketLevelAccess |
防止 Cloud Storage 存储分区使用按对象 ACL(与允许和拒绝政策分开的系统)来提供访问权限。 | 确保访问管理和审核的一致性。 |
注意:对于在 2024 年 8 月 15 日之后创建的一些组织,可能已应用 constraints/compute.restrictProtocolForwardingCreationForTypes 组织政策限制条件。
管理组织政策的强制执行
您可以通过以下方式管理组织政策的强制执行:
列出组织政策
如需检查是否对您的 组织强制执行了 Google Cloud 安全基准限制条件,请使用以下命令:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为您的组织的唯一标识符。
停用组织政策
如需停用或删除组织政策,请运行以下命令:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
替换以下内容:
CONSTRAINT_NAME:您要删除的组织政策限制条件的名称,例如iam.allowedPolicyMemberDomainsORGANIZATION_ID:您的组织的唯一标识符
后续步骤
如需详细了解如何创建和管理组织政策,请参阅 使用限制条件。