Si eres un cliente nuevo, Google Cloud se aprovisiona automáticamente un recurso de organización para tu dominio en los siguientes casos:
- Un usuario de tu dominio accede por primera vez.
- Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.
La configuración predeterminada de este recurso de organización, que se caracteriza por un acceso sin restricciones, puede hacer que la infraestructura sea susceptible a violaciones de seguridad. Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad crítica que expone los sistemas a posibles incumplimientos.
Con la aplicación de políticas de la organización con seguridad predeterminada, las posiciones inseguras se abordan con un paquete de políticas de la organización que se aplican en el momento de la creación de un recurso de la organización. Algunos ejemplos de estas aplicaciones incluyen inhabilitar la creación y la carga de claves de cuentas de servicio.
Cuando un usuario existente crea una organización, la postura de seguridad del nuevo recurso de organización puede ser diferente de la de los recursos de organización existentes. Las políticas de la organización seguras de forma predeterminada se aplican a todas las organizaciones creadas a partir del 3 de mayo de 2024. Es posible que algunas organizaciones creadas entre febrero y abril de 2024 también tengan establecidas estas aplicaciones de políticas predeterminadas. Para ver las políticas de la organización que se aplican a tu organización, consulta Visualiza las políticas de la organización.
Como administrador, a continuación, se indican las situaciones en las que estas aplicaciones de políticas de la organización se aplican automáticamente:
- Cuenta de Google Workspace o Cloud Identity: Cuando tienes una cuenta de Google Workspace o Cloud Identity, se crea un recurso de organización asociado a tu dominio. Las políticas de la organización con seguridad predeterminada se aplican automáticamente al recurso de la organización.
- Creación de la cuenta de facturación: Si la cuenta de facturación que creas no está asociada a un recurso de organización, se creará automáticamente un recurso de organización. Las políticas de la organización seguras de forma predeterminada se aplican al recurso de organización. Esta situación funciona tanto en la consola de Google Cloud como en gcloud CLI.
Permisos necesarios
La función de administración de identidades y accesos roles/orgpolicy.policyAdmin permite a un administrador gestionar las políticas de la organización. Debes ser administrador de políticas de la organización para cambiar o anular las políticas de la organización.
Para otorgar el rol, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Reemplaza lo siguiente:
ORGANIZATION: Es el identificador único de tu organización.PRINCIPAL: Es la principal a la que se agregará la vinculación. Debe tener el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo,user:[email protected].ROLE: Es el rol que se otorgará a la principal. Usa la ruta completa de un rol predefinido. En este caso, debería serroles/orgpolicy.policyAdmin.
Políticas de la organización aplicadas a los recursos de la organización
En la siguiente tabla, se enumeran las restricciones de la política de la organización que se aplican automáticamente cuando creas un recurso de organización.
| Nombre de la política de la organización | Restricción de las políticas de la organización | Descripción | Impacto de la aplicación |
|---|---|---|---|
| Inhabilita la creación de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyCreation |
Impedir que los usuarios creen claves persistentes para las cuentas de servicio Para obtener información sobre cómo administrar las claves de cuentas de servicio, consulta Proporciona alternativas a la creación de claves de cuentas de servicio. | Reduce el riesgo de exposición de las credenciales de la cuenta de servicio. |
| Inhabilita la carga de claves de cuentas de servicio | constraints/iam.disableServiceAccountKeyUpload |
Impide la carga de claves públicas externas a las cuentas de servicio. Si quieres obtener información para acceder a recursos sin claves de cuentas de servicio, consulta estas prácticas recomendadas. | Reduce el riesgo de exposición de las credenciales de la cuenta de servicio. |
| Inhabilita las asignaciones de roles automáticas a las cuentas de servicio predeterminadas | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Evita que las cuentas de servicio predeterminadas reciban el rol de IAM Editor demasiado permisivo cuando se creen. |
El rol Editor permite que la cuenta de servicio cree y borre recursos para la mayoría de los servicios de Google Cloud , lo que genera una vulnerabilidad si se ve comprometida la cuenta de servicio. |
| Restringe identidades por dominio | constraints/iam.allowedPolicyMemberDomains |
Limita el uso compartido de recursos a las identidades que pertenecen a un recurso de organización en particular. | Dejar el recurso de la organización abierto para que accedan a él actores con dominios distintos del propio del cliente crea una vulnerabilidad. |
| Restringe contactos por dominio | constraints/essentialcontacts.allowedContactDomains |
Limita los Contactos esenciales para que solo las identidades de usuario administradas de los dominios seleccionados puedan recibir notificaciones de la plataforma. | Se podría agregar un agente malicioso con un dominio diferente como contacto esencial, lo que comprometería la postura de seguridad. |
| Acceso uniforme a nivel de bucket | constraints/storage.uniformBucketLevelAccess |
Evita que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de permiso y denegación) para proporcionar acceso. | Aplica la coherencia para la administración y la auditoría de acceso. |
| Usar DNS zonal de forma predeterminada | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Establece restricciones para que los desarrolladores de aplicaciones no puedan elegir la configuración global de DNS para las instancias de Compute Engine. | La configuración de DNS global tiene una confiabilidad de servicio menor que la configuración de DNS zonal. |
| Restringe el reenvío de protocolo según el tipo de dirección IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Restringe la configuración del reenvío de protocolos solo a direcciones IP internas. | Protege las instancias de destino de la exposición al tráfico externo. |
Administra la aplicación de políticas de la organización
Puedes administrar la aplicación de las políticas de la organización de las siguientes maneras:
Enumera las políticas de la organización
Para verificar si las políticas de la organización seguras de forma predeterminada se aplican en tu organización, usa el siguiente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el identificador único de tu organización.
Inhabilita las políticas de la organización
Para inhabilitar o borrar una política de la organización, ejecuta el siguiente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Reemplaza lo siguiente:
CONSTRAINT_NAMEes el nombre de la restricción de la política de la organización que deseas borrar. Un ejemplo esiam.allowedPolicyMemberDomains.ORGANIZATION_IDes el identificador único de tu organización.
Agrega o actualiza valores para una política de la organización
Para agregar o actualizar valores de una política de la organización, debes almacenarlos en un archivo YAML. A continuación, se muestra un ejemplo de cómo puede verse el contenido de este archivo:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para agregar o actualizar estos valores que se indican en el archivo YAML, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_FILE
Reemplaza POLICY_FILE por la ruta de acceso al archivo YAML que contiene los valores de la política de la organización.