Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud dari S3NS. Lihat Perbedaan dari Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengelola resource organisasi yang aman secara default

Jika Anda adalah pelanggan baru, Trusted Cloud akan otomatis menyediakan resource organisasi untuk domain Anda dalam skenario berikut:

Pengguna dari domain Anda login untuk pertama kalinya.
Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.

Konfigurasi default resource organisasi ini, yang ditandai dengan akses tanpa batasan, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default adalah kerentanan kritis yang mengekspos sistem terhadap potensi pelanggaran.

Dengan penerapan kebijakan organisasi yang aman secara default, postur yang tidak aman ditangani dengan sekumpulan kebijakan organisasi yang diterapkan pada saat pembuatan resource organisasi. Contoh penerapan ini mencakup penonaktifan pembuatan kunci akun layanan dan penonaktifan upload kunci akun layanan.

Saat pengguna yang sudah ada membuat organisasi, postur keamanan untuk resource organisasi baru mungkin berbeda dengan resource organisasi yang sudah ada. Kebijakan organisasi yang aman secara default diterapkan untuk semua organisasi yang dibuat pada atau setelah 3 Mei 2024. Beberapa organisasi yang dibuat antara Februari 2024 dan April 2024 mungkin juga telah menetapkan pemberlakuan kebijakan default ini. Untuk melihat kebijakan organisasi yang diterapkan ke organisasi Anda, lihat Melihat kebijakan organisasi.

Sebagai administrator, berikut adalah skenario saat penerapan kebijakan organisasi ini diterapkan secara otomatis:

Akun Google Workspace atau Cloud Identity: Jika Anda memiliki akun Google Workspace atau Cloud Identity, resource organisasi yang terkait dengan domain Anda akan dibuat. Kebijakan organisasi yang aman secara default diterapkan secara otomatis pada resource organisasi.
Pembuatan akun penagihan: Jika akun penagihan yang Anda buat tidak dikaitkan dengan resource organisasi, resource organisasi akan dibuat secara otomatis. Kebijakan organisasi yang aman secara default diterapkan pada resource organisasi. Skenario ini berfungsi di konsol Trusted Cloud dan gcloud CLI.

Izin yang diperlukan

Peran Identity and Access Management roles/orgpolicy.policyAdmin memungkinkan administrator mengelola kebijakan organisasi. Anda harus menjadi administrator kebijakan organisasi untuk mengubah atau mengganti kebijakan organisasi. Untuk memberikan peran, jalankan perintah berikut:

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

Ganti kode berikut:

ORGANIZATION: ID unik organisasi Anda.
PRINCIPAL: Akun utama yang akan ditambahkan binding-nya. Nilainya harus dalam format user|group|serviceAccount:email atau domain:domain. Contohnya, user:222larabrown@gmail.com
ROLE: Peran yang akan diberikan kepada akun utama. Gunakan jalur lengkap peran yang telah ditentukan sebelumnya. Dalam hal ini, nilainya harus roles/orgpolicy.policyAdmin.

Kebijakan organisasi yang diterapkan pada resource organisasi

Tabel berikut mencantumkan batasan kebijakan organisasi yang diterapkan secara otomatis saat Anda membuat resource organisasi.

Nama kebijakan organisasi	Batasan kebijakan organisasi	Deskripsi	Dampak penegakan
Menonaktifkan pembuatan kunci akun layanan	`constraints/iam.disableServiceAccountKeyCreation`	Mencegah pengguna membuat kunci persisten untuk akun layanan. Untuk mengetahui informasi tentang cara mengelola kunci akun layanan, lihat Menyediakan alternatif lain untuk membuat kunci akun layanan.	Mengurangi risiko kredensial akun layanan yang terekspos.
Menonaktifkan upload kunci akun layanan	`constraints/iam.disableServiceAccountKeyUpload`	Mencegah upload kunci publik eksternal ke akun layanan. Untuk mengetahui informasi tentang cara mengakses resource tanpa kunci akun layanan, lihat praktik terbaik ini.	Mengurangi risiko kredensial akun layanan yang terekspos.
Menonaktifkan pemberian peran otomatis ke akun layanan default	`constraints/iam.automaticIamGrantsForDefaultServiceAccounts`	Mencegah akun layanan default menerima peran IAM `Editor` yang terlalu permisif saat pembuatan.	Peran `Editor` memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar layanan Trusted Cloud , yang menciptakan kerentanan jika akun layanan tersebut disusupi.
Membatasi identitas menurut domain	`constraints/iam.allowedPolicyMemberDomains`	Membatasi berbagi resource hanya untuk identitas yang termasuk dalam resource organisasi tertentu.	Membiarkan resource organisasi terbuka untuk diakses oleh pelaku dengan domain selain domain pelanggan sendiri akan menciptakan kerentanan.
Membatasi kontak menurut domain	`constraints/essentialcontacts.allowedContactDomains`	Batasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform.	Pihak tidak bertanggung jawab dengan domain yang berbeda dapat ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan terganggu.
Akses level bucket yang seragam	`constraints/storage.uniformBucketLevelAccess`	Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan izinkan dan tolak) untuk memberikan akses.	Menerapkan konsistensi untuk pengelolaan akses dan audit.
Menggunakan DNS zona secara default	`constraints/compute.setNewProjectDefaultToZonalDNSOnly`	Menetapkan batasan yang melarang developer aplikasi memilih setelan DNS global untuk instance Compute Engine.	Setelan DNS global memiliki keandalan layanan yang lebih rendah daripada setelan DNS zona.
Membatasi penerusan protokol berdasarkan jenis alamat IP	`constraints/compute.restrictProtocolForwardingCreationForTypes`	Batasi konfigurasi penerusan protokol hanya untuk alamat IP internal.	Melindungi instance target dari eksposur ke traffic eksternal.

Mengelola penegakan kebijakan organisasi

Anda dapat mengelola penerapan kebijakan organisasi dengan cara berikut:

Mencantumkan kebijakan organisasi

Untuk memeriksa apakah kebijakan organisasi aman secara default diterapkan di organisasi Anda, gunakan perintah berikut:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID unik organisasi Anda.

Menonaktifkan kebijakan organisasi

Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Ganti kode berikut:

CONSTRAINT_NAME adalah nama batasan kebijakan organisasi yang ingin Anda hapus. Contohnya adalah iam.allowedPolicyMemberDomains.
ORGANIZATION_ID adalah ID unik organisasi Anda.

Menambahkan atau memperbarui nilai untuk kebijakan organisasi

Untuk menambahkan atau memperbarui nilai kebijakan organisasi, Anda harus menyimpan nilai dalam file YAML. Contoh isi file ini:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

Untuk menambahkan atau memperbarui nilai yang tercantum dalam file YAML ini, jalankan perintah berikut:

gcloud org-policies set-policy POLICY_FILE

Ganti POLICY_FILE dengan jalur ke file YAML yang berisi nilai kebijakan organisasi.