Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Se usó la API de Cloud Translation para traducir esta página.

Restricciones de la referencia de seguridad de Cloud de Confiance by S3NS

Si eres un cliente nuevo, Cloud de Confiance se aprovisiona automáticamente un recurso de organización para tu dominio en los siguientes casos:

Un usuario de tu dominio accede por primera vez.
Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.

La configuración predeterminada de este recurso de organización, que se caracteriza por un acceso sin restricciones, puede hacer que la infraestructura sea susceptible a violaciones de la seguridad. Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad crítica que expone los sistemas a posibles incumplimientos.

LaCloud de Confiance by S3NS seguridad básica aborda las posturas de seguridad no seguras con un paquete de políticas de la organización que se aplican cuando se crea un recurso de la organización. Para obtener más información, consulta cómo obtener un recurso de organización. Algunos ejemplos de estas políticas de la organización incluyen inhabilitar la creación de claves de cuentas de servicio y la carga de claves de cuentas de servicio.

Cuando un usuario existente crea una organización, la postura de seguridad del nuevo recurso de organización puede ser diferente de la de los recursos de organización existentes. Cloud de Confiance by S3NS Las restricciones de la referencia de seguridad se aplican a todas las organizaciones creadas a partir del 3 de mayo de 2024. Es posible que algunas organizaciones creadas entre febrero y abril de 2024 también tengan establecida esta aplicación predeterminada de políticas. Para ver las políticas de la organización que se aplican a tu organización, consulta Visualiza las políticas de la organización.

Antes de comenzar

Para obtener más información sobre qué son las políticas y restricciones de la organización y cómo funcionan, consulta la introducción al servicio de políticas de la organización.

Roles obligatorios

Si deseas obtener los permisos que necesitas para administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para administrar las políticas de la organización. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para administrar las políticas de la organización:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Puedes delegar la administración de las políticas de la organización agregando condiciones de IAM a la vinculación del rol de administrador de políticas de la organización. Para controlar los recursos en los que un principal puede administrar políticas de la organización, puedes hacer que la vinculación del rol dependa de una etiqueta en particular. Para obtener más información, consulta Usa restricciones.

Políticas de la organización aplicadas a los recursos de la organización

En la siguiente tabla, se enumeran las restricciones de la política de la organización que se aplican automáticamente cuando creas un recurso de organización.

Nombre de la política de la organización	Restricción de las políticas de la organización	Descripción	Impacto de la aplicación
Inhabilita la creación de claves de cuentas de servicio	`constraints/iam.managed.disableServiceAccountKeyCreation`	Impedir que los usuarios creen claves persistentes para las cuentas de servicio Para obtener información sobre cómo administrar las claves de cuentas de servicio, consulta Proporciona alternativas a la creación de claves de cuentas de servicio.	Reduce el riesgo de exposición de las credenciales de la cuenta de servicio.
Inhabilita la carga de claves de cuentas de servicio	`constraints/iam.managed.disableServiceAccountKeyUpload`	Impide la carga de claves públicas externas a las cuentas de servicio. Si quieres obtener información para acceder a recursos sin claves de cuentas de servicio, consulta estas prácticas recomendadas.	Reduce el riesgo de exposición de las credenciales de la cuenta de servicio.
Evita que se otorgue el rol de Editor a las cuentas de servicio predeterminadas	`constraints/iam.automaticIamGrantsForDefaultServiceAccounts`	Evita que las cuentas de servicio predeterminadas reciban el rol de IAM de editor, que es demasiado permisivo, cuando se creen.	El rol de Editor permite que la cuenta de servicio cree y borre recursos para la mayoría de los servicios de Cloud de Confiance , lo que genera una vulnerabilidad si se vulnera la cuenta de servicio.
Restringe identidades por dominio	`constraints/iam.allowedPolicyMemberDomains`	Limita el uso compartido de recursos a las identidades que pertenecen a un recurso de organización o a un ID de cliente de Google Workspace en particular.	Dejar el recurso de la organización abierto para que accedan a él actores con dominios distintos del propio del cliente crea una vulnerabilidad.
Restringe contactos por dominio	`constraints/essentialcontacts.managed.allowedContactDomains`	Limita los Contactos esenciales para que solo las identidades de usuario administradas de los dominios seleccionados puedan recibir notificaciones de la plataforma.	Se podría agregar un agente malicioso con un dominio diferente como contacto esencial, lo que comprometería la postura de seguridad.
Restringe el reenvío de protocolo según el tipo de dirección IP	`constraints/compute.managed.restrictProtocolForwardingCreationForTypes`	Restringe la configuración del reenvío de protocolos solo a direcciones IP internas.	Protege las instancias de destino de la exposición al tráfico externo.
Acceso uniforme a nivel de bucket	`constraints/storage.uniformBucketLevelAccess`	Evita que los buckets de Cloud Storage usen una LCA por objeto (un sistema independiente de las políticas de permiso y denegación) para proporcionar acceso.	Aplica la coherencia para la administración y la auditoría del acceso.

Administra la aplicación de políticas de la organización

Puedes administrar la aplicación de las políticas de la organización de las siguientes maneras:

Enumera las políticas de la organización

Para verificar si se aplican las restricciones de la Cloud de Confiance by S3NS seguridad básica en tu organización, usa el siguiente comando:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Reemplaza ORGANIZATION_ID por el identificador único de tu organización.

Inhabilita las políticas de la organización

Para inhabilitar o borrar una política de la organización, ejecuta el siguiente comando:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Reemplaza lo siguiente:

CONSTRAINT_NAME: Es el nombre de la restricción de la política de la organización que deseas borrar, por ejemplo, iam.allowedPolicyMemberDomains.
ORGANIZATION_ID: Es el identificador único de tu organización.

¿Qué sigue?

Para obtener más información sobre cómo crear y administrar políticas de la organización, consulta Usa restricciones.