Es posible que parte o toda la información de esta página no se aplique a Cloud de Confiance de S3NS. Para obtener más información, consulta Diferencias con respecto a Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Restricciones de la configuración de seguridad básica de Cloud de Confiance by S3NS

Si eres un cliente nuevo, Cloud de Confiance se aprovisiona automáticamente un recurso de organización para tu dominio en los siguientes casos:

Un usuario de tu dominio inicia sesión por primera vez.
Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.

La configuración predeterminada de este recurso de organización, que se caracteriza por un acceso sin restricciones, puede hacer que la infraestructura sea vulnerable a las brechas de seguridad. Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad crítica que expone los sistemas a posibles brechas de seguridad.

Cloud de Confiance by S3NS La configuración de seguridad básica aborda las posturas de seguridad no seguras con un paquete de políticas de organización que se aplican cuando se crea un recurso de organización. Para obtener más información, consulta el artículo sobre cómo obtener un recurso de organización. Algunos ejemplos de estas políticas de organización son la inhabilitación de la creación de claves de cuentas de servicio y la inhabilitación de la subida de claves de cuentas de servicio.

Cuando un usuario crea una organización, la postura de seguridad del nuevo recurso de organización puede ser diferente de la de los recursos de organización que ya tenga. Cloud de Confiance by S3NS Las restricciones de la configuración de seguridad básica se aplican a todas las organizaciones creadas a partir del 3 de mayo del 2024. Es posible que algunas organizaciones creadas entre febrero y abril del 2024 también tengan estas políticas predeterminadas. Para ver las políticas de organización aplicadas a tu organización, consulta Ver políticas de organización.

Antes de empezar

Para obtener más información sobre qué son las políticas y las restricciones de la organización y cómo funcionan, consulta la introducción al servicio de políticas de la organización.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para gestionar las políticas de la organización. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización, se necesitan los siguientes permisos:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Puedes delegar la administración de las políticas de organización añadiendo condiciones de IAM a la vinculación del rol de administrador de políticas de organización. Para controlar los recursos en los que una entidad puede gestionar las políticas de la organización, puedes hacer que la vinculación de roles dependa de una etiqueta concreta. Para obtener más información, consulta Usar restricciones.

Políticas de organización aplicadas a los recursos de la organización

En la siguiente tabla se enumeran las restricciones de política de organización que se aplican automáticamente al crear un recurso de organización.

Nombre de la política de organización	Restricción de política de organización	Descripción	Impacto de la aplicación
Inhabilitar la creación de claves de cuentas de servicio	`constraints/iam.managed.disableServiceAccountKeyCreation`	Evita que los usuarios creen claves persistentes para cuentas de servicio. Para obtener información sobre cómo gestionar las claves de cuentas de servicio, consulta el artículo Ofrecer alternativas a la creación de claves de cuentas de servicio.	Reduce el riesgo de que se expongan las credenciales de las cuentas de servicio.
Inhabilitar la subida de claves a cuentas de servicio	`constraints/iam.managed.disableServiceAccountKeyUpload`	Evita que se suban claves públicas externas a cuentas de servicio. Para obtener información sobre cómo acceder a recursos sin claves de cuentas de servicio, consulta estas prácticas recomendadas.	Reduce el riesgo de que se expongan las credenciales de las cuentas de servicio.
Impedir que se conceda el rol Editor a las cuentas de servicio predeterminadas	`constraints/iam.automaticIamGrantsForDefaultServiceAccounts`	Evita que las cuentas de servicio predeterminadas reciban el rol Editor de gestión de identidades y accesos, que tiene demasiados permisos, cuando se creen.	El rol Editor permite que la cuenta de servicio cree y elimine recursos para la mayoría de los Cloud de Confiance servicios, lo que crea una vulnerabilidad si la cuenta de servicio se ve comprometida.
Restringir identidades por dominio	`constraints/iam.allowedPolicyMemberDomains`	Limita el uso compartido de recursos a las identidades que pertenezcan a un recurso de organización o a un ID de cliente de Google Workspace concretos.	Si se deja abierto el acceso al recurso de la organización a agentes con dominios distintos al del cliente, se crea una vulnerabilidad.
Restringir contactos por dominio	`constraints/essentialcontacts.managed.allowedContactDomains`	Limita los contactos esenciales para permitir que solo las identidades de usuario gestionadas de los dominios seleccionados reciban notificaciones de la plataforma.	Un agente pernicioso con un dominio diferente podría añadirse como contacto esencial, lo que provocaría que la seguridad se viera comprometida.
Restricción del reenvío de protocolos en función del tipo de dirección IP	`constraints/compute.managed.restrictProtocolForwardingCreationForTypes`	Restringe la configuración del reenvío de protocolos solo a las direcciones IP internas.	Protege las instancias de destino frente a la exposición al tráfico externo.
Acceso uniforme a nivel de segmento	`constraints/storage.uniformBucketLevelAccess`	Evita que los segmentos de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de permiso y denegación) para proporcionar acceso.	Aplica la coherencia en la gestión de accesos y la auditoría.

Gestionar la aplicación de las políticas de la organización

Puede gestionar la aplicación de las políticas de la organización de las siguientes formas:

Mostrar políticas de organización

Para comprobar si se aplican las restricciones de la configuración de seguridad básica de Cloud de Confiance by S3NS en tu organización, usa el siguiente comando:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Sustituye ORGANIZATION_ID por el identificador único de tu organización.

Inhabilitar políticas de organización

Para inhabilitar o eliminar una política de la organización, ejecuta el siguiente comando:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Haz los cambios siguientes:

CONSTRAINT_NAME: el nombre de la restricción de la política de la organización que quieras eliminar. Por ejemplo, iam.allowedPolicyMemberDomains
ORGANIZATION_ID: identificador único de tu organización

Siguientes pasos

Para obtener más información sobre cómo crear y gestionar políticas de la organización, consulta Usar restricciones.