Si vous êtes un nouveau client, Cloud de Confiance provisionne automatiquement une ressource d'organisation pour votre domaine dans les cas suivants :
- Un utilisateur de votre domaine se connecte pour la première fois.
- Un utilisateur crée un compte de facturation qui n'est pas associé à une ressource d'organisation.
La configuration par défaut de cette ressource d'organisation, caractérisée par un accès illimité, peut rendre l'infrastructure vulnérable aux failles de sécurité. Par exemple, la création de clés de compte de service par défaut est une vulnérabilité critique qui expose les systèmes à des failles potentielles.
Cloud de Confiance by S3NS La référence de sécurité corrige les postures de sécurité non sécurisées avec un ensemble de règles d'administration appliquées lors de la création d'une ressource d'organisation. Pour en savoir plus, consultez Obtenir une ressource d'organisation. Parmi ces règles d'administration, citons la désactivation de la création de clés de compte de service et la désactivation de l'importation de clés de compte de service.
Lorsqu'un utilisateur existant crée une organisation, la posture de sécurité de la nouvelle ressource d'organisation peut être différente de celle des ressources d'organisation existantes. Cloud de Confiance by S3NS Les contraintes de la référence de sécurité sont appliquées à toutes les organisations créées à partir du 3 mai 2024. Certaines organisations créées entre février et avril 2024 peuvent également avoir ces règles par défaut appliquées. Pour afficher les règles d'administration appliquées à votre organisation, consultez Afficher les règles d'administration.
Avant de commencer
Pour en savoir plus sur les règles d'administration et leurs contraintes, ainsi que sur leur fonctionnement, consultez la section Présentation du service de règles d'administration.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer des règles d'administration,
demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les règles d'administration :
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Vous pouvez déléguer l'administration des règles d'administration en ajoutant des conditions IAM à la liaison de rôle Administrateur des règles d'administration. Pour contrôler les ressources sur lesquelles un principal peut gérer les règles d'administration, vous pouvez rendre la liaison de rôle conditionnelle à un tagparticulier. Pour en savoir plus, consultez Utiliser des contraintes.Règles d'administration appliquées aux ressources d'organisation
Le tableau suivant répertorie les contraintes de règles d'administration qui sont automatiquement appliquées lorsque vous créez une ressource d'organisation.
| Nom de la règle d'administration | Contrainte liée aux règles d'administration | Description | Impact de l'application |
|---|---|---|---|
| Désactiver la création de clés de compte de service | constraints/iam.managed.disableServiceAccountKeyCreation |
Empêcher les utilisateurs de créer des clés persistantes pour les comptes de service. Pour en savoir plus sur la gestion des clés de compte de service, consultez Fournir des alternatives à la création de clés de compte de service. | Réduit le risque d'exposition des identifiants de compte de service. |
| Désactiver l'importation de clés de compte de service | constraints/iam.disableServiceAccountKeyUpload |
Empêcher l'importation de clés publiques externes dans des comptes de service. Pour en savoir plus sur l'accès aux ressources sans clés de compte de service, consultez ces bonnes pratiques. | Réduit le risque d'exposition des identifiants de compte de service. |
| Empêcher l'attribution du rôle Éditeur aux comptes de service par défaut | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Empêcher l'attribution du rôle IAM Éditeur trop permissif aux comptes de service par défaut lors de leur création. | Le rôle Éditeur permet au compte de service de créer et de supprimer des ressources pour la plupart des Cloud de Confiance services, ce qui crée une faille si le compte de service est compromis. |
| Restreindre les identités par domaine | constraints/iam.allowedPolicyMemberDomains |
Limiter le partage de ressources aux identités appartenant à une ressource d'organisation ou à un ID client Google Workspace particulier. | Laisser la ressource d'organisation ouverte à l'accès par des acteurs dont les domaines sont différents de celui du client crée une vulnérabilité. |
| Restreindre les contacts par domaine | constraints/essentialcontacts.managed.allowedContactDomains |
Limiter les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à recevoir des notifications de la plate-forme. | Un acteur malveillant avec un domaine différent peut être ajouté en tant que contact essentiel, ce qui entraîne une posture de sécurité compromise. |
| Restreindre le transfert de protocole en fonction du type d'adresse IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Restreindre la configuration du transfert de protocole aux adresses IP internes uniquement. | Protège les instances cibles contre l'exposition au trafic externe. |
| Accès uniforme au niveau du bucket | constraints/storage.uniformBucketLevelAccess |
Empêcher les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des règles d'autorisation et de refus) pour fournir l'accès. | Assure la cohérence de la gestion des accès et de l'audit. |
Remarque : Pour certaines organisations créées après le 15 août 2024, la contrainte de règle d'administration constraints/compute.restrictProtocolForwardingCreationForTypes peut déjà être appliquée.
Gérer l'application des règles d'administration
Vous pouvez gérer l'application des règles d'administration de différentes manières :
Lister les règles d'administration
Pour vérifier si les Cloud de Confiance by S3NS contraintes de la référence de sécurité sont appliquées à votre organisation, utilisez la commande suivante :
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'identifiant unique de votre organisation.
Désactiver les règles d'administration
Pour désactiver ou supprimer une règle d'administration, exécutez la commande suivante :
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Remplacez les éléments suivants :
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez supprimer (par exemple,iam.allowedPolicyMemberDomains)ORGANIZATION_ID: identifiant unique de votre organisation
Étape suivante
Pour en savoir plus sur la création et la gestion des règles d'administration, consultez Utiliser des contraintes.