Wenn Sie ein neuer Kunde sind, Cloud de Confiance wird in den folgenden Fällen automatisch eine Organisationsressource für Ihre Domain bereitgestellt:
- Ein Nutzer aus Ihrer Domain meldet sich zum ersten Mal an.
- Ein Nutzer erstellt ein Rechnungskonto, dem keine zugehörige Organisationsressource zugeordnet ist.
Die Standardkonfiguration dieser Organisationsressource, die durch uneingeschränkten Zugriff gekennzeichnet ist, kann die Infrastruktur anfällig für Sicherheitslücken machen. So ist beispielsweise das Erstellen von Standardschlüsseln für Dienstkonten eine kritische Sicherheitslücke, die Systeme potenziellen Sicherheitsverletzungen aussetzt.
DieCloud de Confiance by S3NS -Sicherheitsbaseline behebt unsichere Sicherheitsstatus mit einem Bündel von Organisationsrichtlinien, die beim Erstellen einer Organisationsressource erzwungen werden. Weitere Informationen finden Sie unter Organisationsressource beziehen. Beispiele für diese Organisationsrichtlinien sind das Deaktivieren des Erstellens von Dienstkontoschlüsseln und das Deaktivieren des Hochladens von Dienstkontoschlüsseln.
Wenn ein vorhandener Nutzer eine Organisation erstellt, kann sich der Sicherheitsstatus für die neue Organisationsressource von dem der vorhandenen Organisationsressourcen unterscheiden. Cloud de Confiance by S3NS Einschränkungen für die Sicherheitsbaseline werden für alle Organisationen erzwungen, die am oder nach dem 3. Mai 2024 erstellt wurden. Bei einigen Organisationen, die zwischen Februar 2024 und April 2024 erstellt wurden, sind diese Standardrichtlinienerzwingungen möglicherweise ebenfalls festgelegt. Informationen zum Aufrufen von Organisationsrichtlinien, die auf Ihre Organisation angewendet werden, finden Sie unter Organisationsrichtlinien ansehen.
Hinweise
Weitere Informationen zu Organisationsrichtlinien und Einschränkungen sowie zu ihrer Funktionsweise finden Sie in der Einführung in den Organisationsrichtliniendienst.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization Policy Administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Sie können die Verwaltung von Organisationsrichtlinien delegieren, indem Sie der Rollenbindung des Administrators für Organisationsrichtlinien IAM-Bedingungen hinzufügen. Wenn Sie steuern möchten, für welche Ressourcen ein Hauptkonto Organisationsrichtlinien verwalten kann, können Sie die Rollenbindung an ein bestimmtes Tag binden. Weitere Informationen finden Sie unter Einschränkungen verwenden.
Auf Organisationsressourcen erzwungene Organisationsrichtlinien
In der folgenden Tabelle sind die Einschränkungen für Organisationsrichtlinien aufgeführt, die automatisch erzwungen werden, wenn Sie eine Organisationsressource erstellen.
| Name der Organisationsrichtlinie | Einschränkung der Organisationsrichtlinie | Beschreibung | Auswirkungen der Erzwingung |
|---|---|---|---|
| Erstellen von Dienstkontoschlüsseln deaktivieren | constraints/iam.managed.disableServiceAccountKeyCreation |
Verhindern, dass Nutzer dauerhafte Schlüssel für Dienstkonten erstellen. Informationen zum Verwalten von Dienstkontoschlüsseln finden Sie unter Alternativen zum Erstellen von Dienstkontoschlüsseln anbieten. | Das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden, wird verringert. |
| Hochladen von Dienstkontoschlüsseln deaktivieren | constraints/iam.managed.disableServiceAccountKeyUpload |
Das Hochladen externer öffentlicher Schlüssel in Dienstkonten verhindern. Informationen zum Zugriff auf Ressourcen ohne Dienstkontoschlüssel finden Sie in diesen Best Practices. | Das Risiko, dass Anmeldedaten für Dienstkonten offengelegt werden, wird verringert. |
| Verhindern, dass Standarddienstkonten die Rolle „Bearbeiter“ erhalten | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Verhindert, dass Standarddienstkonten beim Erstellen die IAM-Rolle „Editor“ mit übermäßigen Berechtigungen erhalten. | Mit der Rolle „Bearbeiter“ kann das Dienstkonto Ressourcen für die meisten Cloud de Confiance -Dienste erstellen und löschen. Dies stellt eine Sicherheitslücke dar, wenn das Dienstkonto kompromittiert wird. |
| Identitäten nach Domain einschränken | constraints/iam.allowedPolicyMemberDomains |
Beschränken Sie die Ressourcenfreigabe auf Identitäten, die zu einer bestimmten Organisationsressource oder Google Workspace-Kundennummer gehören. | Wenn die Organisationsressource für den Zugriff durch Akteure mit anderen Domains als der des Kunden geöffnet bleibt, entsteht eine Sicherheitslücke. |
| Kontakte nach Domain einschränken | constraints/essentialcontacts.managed.allowedContactDomains |
Durch diese Einschränkung von „Wichtige Kontakte“ erhalten nur verwaltete Nutzeridentitäten in den ausgewählten Domains Plattformbenachrichtigungen. | Ein böswilliger Akteur mit einer anderen Domain könnte als wichtiger Kontakt hinzugefügt werden, was zu einer Beeinträchtigung der Sicherheit führen würde. |
| Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Beschränken Sie die Konfiguration der Protokollweiterleitung auf interne IP-Adressen. | Schützt Zielinstanzen vor externem Traffic. |
| Einheitlicher Zugriff auf Bucket-Ebene | constraints/storage.uniformBucketLevelAccess |
Verhindert, dass Cloud Storage-Buckets ACLs pro Objekt (ein separates System von Zulassungs- und Ablehnungsrichtlinien) für den Zugriff verwenden. | Sorgt für Konsistenz bei der Zugriffsverwaltung und beim Auditing. |
Durchsetzung von Organisationsrichtlinien verwalten
Sie können die Durchsetzung von Organisationsrichtlinien auf folgende Weise verwalten:
Organisationsrichtlinien auflisten
Mit dem folgenden Befehl können Sie prüfen, ob die Einschränkungen der Cloud de Confiance by S3NS -Sicherheitsbaseline in Ihrer Organisation erzwungen werden:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennung Ihrer Organisation.
Organisationsrichtlinien deaktivieren
Führen Sie den folgenden Befehl aus, um eine Organisationsrichtlinie zu deaktivieren oder zu löschen:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME: der Name der Einschränkung der Organisationsrichtlinie, die Sie löschen möchten, z. B.iam.allowedPolicyMemberDomainsORGANIZATION_ID: die eindeutige Kennung Ihrer Organisation
Nächste Schritte
Weitere Informationen zum Erstellen und Verwalten von Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.