如果您是新客戶,在下列情況下,系統會 Google Cloud 自動為您的網域佈建機構資源:
- 網域中的使用者首次登入。
- 使用者建立的帳單帳戶沒有相關聯的機構資源。
這個機構資源的預設設定是無限制存取,這可能會導致基礎架構容易發生安全漏洞。舉例來說,預設服務帳戶金鑰建立功能是重大安全漏洞,可能會導致系統遭到入侵。
Google Cloud 安全性基準會透過一組機構政策,解決不安全的資安態勢,並在建立機構資源時強制執行。詳情請參閱取得機構資源。這類組織政策的例子包括停用服務帳戶金鑰建立功能,以及停用服務帳戶金鑰上傳功能。
現有使用者建立機構時,新機構資源的資安態勢可能與現有機構資源不同。自 2024 年 5 月 3 日起,系統會對所有機構強制執行 Google Cloud 安全性基準限制。2024 年 2 月至 4 月間建立的部分機構,可能也會強制執行這些預設政策。如要查看機構適用的組織政策,請參閱「查看組織政策」。
事前準備
如要進一步瞭解組織政策和限制條件的定義和運作方式,請參閱組織政策服務簡介。
必要的角色
如要取得管理組織政策所需的權限,請要求管理員授予您組織的組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這個預先定義的角色具備管理組織政策所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
必須具備下列權限,才能管理組織政策:。
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
對組織資源強制執行的組織政策
下表列出您建立機構資源時,系統會自動強制執行的機構政策限制。
| 機構政策名稱 | 機構政策限制 | 說明 | 強制執行的影響 |
|---|---|---|---|
| 停用服務帳戶金鑰建立功能 | constraints/iam.managed.disableServiceAccountKeyCreation |
禁止使用者為服務帳戶建立永久金鑰。如要瞭解如何管理服務帳戶金鑰,請參閱「提供服務帳戶金鑰建立作業的替代方案」。 | 降低服務帳戶憑證外洩的風險。 |
| 停用服務帳戶金鑰上傳功能 | constraints/iam.disableServiceAccountKeyUpload |
禁止將外部公開金鑰上傳至服務帳戶。如要瞭解如何存取資源,而不使用服務帳戶金鑰,請參閱這些最佳做法。 | 降低服務帳戶憑證外洩的風險。 |
| 禁止將編輯者角色授予預設服務帳戶 | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
防止預設服務帳戶在建立時取得權限過於寬鬆的 IAM 編輯者角色。 | 編輯者角色可讓服務帳戶建立及刪除大部分 Google Cloud 服務的資源,如果服務帳戶遭入侵,就會產生安全漏洞。 |
| 依照網域設定身分限制 | constraints/iam.allowedPolicyMemberDomains |
將資源共用限制為屬於特定機構資源或 Google Workspace 客戶 ID 的身分。 | 如果允許網域與客戶網域不同的行為人存取機構資源,就會產生安全漏洞。 |
| 依網域限制聯絡人 | constraints/essentialcontacts.managed.allowedContactDomains |
限制「重要聯絡人」,僅允許所選網域中的受管理使用者接收平台通知。 | 如果將其他網域的惡意行為人新增為重要聯絡人,可能會導致資安態勢遭到破壞。 |
| 依據 IP 位址類型限制通訊協定轉送 | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
僅限內部 IP 位址的通訊協定轉送設定。 | 保護目標執行個體,避免暴露於外部流量。 |
| 統一值區層級存取權 | constraints/storage.uniformBucketLevelAccess |
禁止 Cloud Storage 值區使用物件專屬 ACL (與允許和拒絕政策不同的系統) 提供存取權。 | 確保存取權管理和稽核作業的一致性。 |
注意:如果是 2024 年 8 月 15 日後建立的機構,可能已套用 constraints/compute.restrictProtocolForwardingCreationForTypes 機構政策限制。
管理組織政策的強制執行
您可以透過下列方式管理組織政策的強制執行:
列出組織政策
如要檢查是否已在貴機構強制執行 Google Cloud 安全性基準限制,請使用下列指令:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
將 ORGANIZATION_ID 替換為貴機構的專屬 ID。
停用組織政策
如要停用或刪除組織政策,請執行下列指令:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
更改下列內容:
CONSTRAINT_NAME:要刪除的機構政策限制名稱,例如iam.allowedPolicyMemberDomainsORGANIZATION_ID:貴機構的專屬 ID
後續步驟
如要進一步瞭解如何建立及管理組織政策,請參閱「使用限制」。