Wenn Sie Neukunde sind, stellt Google Cloud automatisch eine Organisationsressource für Ihre Domain in den folgenden Fällen zu erstellen:
- Ein Nutzer aus Ihrer Domain meldet sich zum ersten Mal an.
- Ein Nutzer erstellt ein Rechnungskonto ohne zugehörige Organisation .
Die Standardkonfiguration dieser Organisationsressource, gekennzeichnet durch „uneingeschränkt“ die Infrastruktur anfällig für Sicherheitsverstöße machen. Für Das Erstellen eines Standard-Dienstkontoschlüssels ist eine kritische Sicherheitslücke, Systeme potenziellen Sicherheitsverletzungen aussetzen.
Durch die Durchsetzung der standardmäßigen sicheren Organisationsrichtlinien Sicherheitsstatus werden mit einer Reihe von Organisationsrichtlinien behandelt, die erzwungen werden beim Erstellen einer Organisationsressource. Beispiele für diese Verstöße das Deaktivieren der Erstellung von Dienstkontoschlüsseln und das Deaktivieren des Uploads von Dienstkontoschlüsseln.
Wenn ein bestehender Nutzer eine Organisation erstellt, hat der Sicherheitsstatus des Nutzers neue Organisationsressource unterscheidet sich möglicherweise von den vorhandenen Organisationsressourcen. Standardmäßige sichere Organisationsrichtlinien werden für alle Organisationen erzwungen die am oder nach dem 3. Mai 2024 erstellt wurden. Einige Organisationen, die zwischen Februar 2024 erstellt wurden und ab April 2024 auch die folgenden standardmäßigen Richtlinienerzwingungen festgelegt. Organisation aufrufen für Ihre Organisation angewendete Richtlinien finden Sie unter Organisationsrichtlinien ansehen
Für Sie als Administrator gibt es folgende Szenarien, in denen diese Organisationsrichtlinie Verstöße werden automatisch angewendet:
- Google Workspace- oder Cloud Identity-Konto: Wenn Sie ein Google Workspace-Konto haben oder Cloud Identity-Konto nutzen, wird eine Organisationsressource erstellt, die die mit Ihrer Domain verknüpft sind. Die standardmäßigen sicheren Organisationsrichtlinien sind wird automatisch für die Organisationsressource erzwungen.
- Rechnungskonto erstellen: Wenn das von Ihnen erstellte Rechnungskonto nicht mit mit einer Organisationsressource erfolgt, wird eine Organisationsressource automatisch erstellt. Die standardmäßigen sicheren Organisationsrichtlinien werden auf der Organisationsressource. Dieses Szenario funktioniert sowohl in der Google Cloud Console als auch und die gcloud CLI.
Erforderliche Berechtigungen
Die IAM-Rolle (Identity and Access Management) roles/orgpolicy.policyAdmin
ermöglicht einem Administrator die Verwaltung von Organisationsrichtlinien. Sie müssen eine Organisation sein
Richtlinienadministrator, um Organisationsrichtlinien zu ändern oder zu überschreiben.
Führen Sie den folgenden Befehl aus, um die Rolle zu gewähren:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Ersetzen Sie Folgendes:
ORGANIZATION
: Eindeutige Kennung Ihrer Organisation.PRINCIPAL
: Das Hauptkonto, für das die Bindung hinzugefügt werden soll. Dieser Wert sollte das Formatuser|group|serviceAccount:email
oderdomain:domain
. Beispiel:user:[email protected]
ROLE
: Rolle, die dem Hauptkonto gewährt werden soll. Verwenden Sie den vollständigen Pfad eines vordefinierte Rolle. In diesem Fall sollte esroles/orgpolicy.policyAdmin
sein.
Für Organisationsressourcen erzwungene Organisationsrichtlinien
In der folgenden Tabelle sind die Einschränkungen für Organisationsrichtlinien aufgeführt, die automatisch erzwungen, wenn Sie eine Organisationsressource erstellen.
Name der Organisationsrichtlinie | Einschränkung der Organisationsrichtlinie | Beschreibung | Auswirkungen der Durchsetzung |
---|---|---|---|
Erstellen von Dienstkontoschlüsseln deaktivieren | iam.disableServiceAccountKeyCreation |
Verhindern, dass Nutzer persistente Schlüssel für Dienstkonten erstellen. Informationen zum Verwalten von Dienstkontoschlüsseln finden Sie unter Alternativen zum Erstellen von Dienstkontoschlüsseln bieten. | Reduziert das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden. |
Upload von Dienstkontoschlüsseln deaktivieren | iam.disableServiceAccountKeyUpload |
Verhindern Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten. Informationen zum Zugriff auf Ressourcen ohne Dienstkontoschlüssel finden Sie in diesen Best Practices. | Reduziert das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden. |
Automatische Rollenzuweisungen für Standarddienstkonten deaktivieren | iam.automaticIamGrantsForDefaultServiceAccounts |
Verhindern, dass Standarddienstkonten bei der Erstellung die zu moderate IAM-Rolle Editor erhalten. |
Die Rolle Editor ermöglicht dem Dienstkonto, Ressourcen für die meisten Google Cloud-Dienste zu erstellen und zu löschen. Dadurch entsteht eine Sicherheitslücke, wenn das Dienstkonto manipuliert wird. |
Identitäten nach Domain einschränken | iam.allowedPolicyMemberDomains |
Beschränken Sie die Ressourcenfreigabe auf Identitäten, die zu einer bestimmten Organisationsressource gehören. | Die Organisationsressource ist für Akteure mit anderen Domains zugänglich als die des Kunden, erzeugt eine Sicherheitslücke. |
Kontakte nach Domain einschränken | essentialcontacts.allowedContactDomains |
Beschränken Sie „Wichtige Kontakte“ so, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten. | Ein böswilliger Akteur mit einer anderen Domain wird möglicherweise als wichtige Kontakte hinzugefügt, was zu einer Beeinträchtigung des Sicherheitsstatus führt. |
Einheitlicher Zugriff auf Bucket-Ebene | storage.uniformBucketLevelAccess |
Verhindern, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein unabhängiges System von IAM-Richtlinien), um Zugriff bereitzustellen. | Erzwingt Konsistenz bei der Zugriffsverwaltung und Prüfung. |
Standardmäßig zonales DNS verwenden | compute.setNewProjectDefaultToZonalDNSOnly |
Legen Sie Einschränkungen fest, für die Anwendungsentwickler keine globalen DNS-Einstellungen für Compute Engine-Instanzen auswählen können. | Globale DNS-Einstellungen haben eine geringere Dienstzuverlässigkeit als zonale DNS-Einstellungen. |
Erzwingung von Organisationsrichtlinien verwalten
Sie können die Erzwingung von Organisationsrichtlinien auf folgende Arten verwalten:
Organisationsrichtlinien auflisten
So prüfen Sie, ob die standardmäßigen „Standard-Sicherheit“-Organisationsrichtlinien für Ihre Organisation erzwungen werden: verwenden Sie den folgenden Befehl:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID
durch die eindeutige Kennung Ihrer Organisation.
Organisationsrichtlinien deaktivieren
Führen Sie den folgenden Befehl aus, um eine Organisationsrichtlinie zu deaktivieren oder zu löschen:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME
ist der Name der Organisationsrichtlinie die Sie löschen möchten. Ein Beispiel dafür istiam.allowedPolicyMemberDomains
.ORGANIZATION_ID
ist die eindeutige Kennung Ihrer Organisation.
Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren
Wenn Sie Werte für eine Organisationsrichtlinie hinzufügen oder aktualisieren möchten, müssen Sie die Werte in einer YAML-Datei speichern. Hier sehen Sie ein Beispiel für den Inhalt dieser Datei:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Führen Sie den folgenden Befehl aus, um die in der YAML-Datei aufgeführten Werte hinzuzufügen oder zu aktualisieren:
gcloud org-policies set-policy POLICY_FILE
Ersetzen Sie POLICY_FILE
durch den Pfad zur YAML-Datei, die den
Werte der Organisationsrichtlinie fest.