Best Practices für die domainweite Delegierung

Als Administrator können Sie die domainweite Delegierung nutzen, um internen und Drittanbieter-Apps Zugriff auf die Google Workspace-Daten Ihrer Nutzer zu gewähren, ohne die Einwilligung der Endnutzer zu benötigen. Dazu erstellen Sie ein Dienstkonto in der Google Cloud Console und delegieren die domainweite Autorität für das Konto in Ihrer Admin-Konsole. Sie können dem Dienstkonto auch eingeschränkte API-Bereiche in der Admin-Konsole zuweisen. Weitere Informationen zur domainweiten Delegierung finden Sie im Hilfeartikel Zugriff auf die API mit domainweiter Delegierung verwalten.

Dienstkonten verwalten und schützen

Identity and Access Management (IAM) bietet Richtlinien für die Verwendung von Dienstkonten, um den Zugriff einzuschränken und vor Rechteausweitungen und Bedrohungen durch Nichtabstreitbarkeit zu schützen. Die Richtlinien finden Sie unter Best Practices für die Verwendung von Dienstkonten.

Alle Empfehlungen in diesem Leitfaden gelten zum Schutz von Dienstkonten, für die die domainweite Delegierung aktiviert ist. Wir haben hier einige Best Practices für Sie zusammengestellt:

Direkten Dienstkonto-Zugriff oder OAuth-Zustimmung verwenden

Vermeiden Sie die Verwendung der domainweiten Delegierung, wenn Sie Ihre Aufgabe direkt mit einem Dienstkonto oder mit OAuth-Zustimmung ausführen können.

Wenn Sie die domainweite Delegierung nicht vermeiden können, schränken Sie die Reihe der OAuth-Bereiche ein, die das Dienstkonto verwenden kann. OAuth-Bereiche beschränken zwar nicht, welche Nutzer die Identität des Dienstkontos übernehmen können, aber sie beschränken die Arten von Nutzerdaten, auf die das Dienstkonto zugreifen kann.

Verwenden Sie nie die domainweite Delegierung

Erstellen und Hochladen von Dienstkontoschlüsseln einschränken

Mit Organisationsrichtlinien können Sie das Erstellen und Hochladen von Schlüsseln für Dienstkonten mit domainweiter Delegierung einschränken. Dadurch wird die Identitätsübernahme von Dienstkonten über Dienstkontoschlüssel eingeschränkt.

Erlauben Sie es Nutzern nie, Dienstkontoschlüssel zu erstellen oder hochzuladen

Automatische Rollenzuweisungen für Standarddienstkonten deaktivieren

Dienstkonten, die standardmäßig erstellt werden, erhalten die Rolle „Bearbeiter“, die es dem Nutzer des Kontos ermöglicht, alle Ressourcen im Google Cloud-Projekt zu lesen und zu ändern. Sie können automatische Rollenzuweisungen für Standarddienstkonten deaktivieren, damit diese nicht automatisch die Rolle „Bearbeiter“ erhalten und nicht so leicht von einem böswilligen Nutzer ausgenutzt werden können.

Verwenden Sie nie automatische Rollenzuweisungen für Standarddienstkonten

Lateral Movement begrenzen

Ein „Lateral Movement“ besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Dies kann zu unbeabsichtigten Zugriffen auf Ressourcen führen. Nutzen Sie die Erkenntnisse über Lateral Movement, um Lateral Movement durch Identitätsdiebstahl zu erkennen und einzuschränken.

Mit Statistiken zum „Lateral Movement“ das „Lateral Movement“ begrenzen

Zugriff auf Dienstkonten mit domainweiter Delegierung einschränken

Nutzern sollten niemals die „allow“-Richtlinie eines Dienstkontos ändern dürfen, das mehr Berechtigungen als der Nutzer hat. Verwenden Sie IAM-Rollen, um den Zugriff auf Dienstkonten mit domainweiten Delegierungsberechtigungen einzuschränken.

Nutzern nicht das Ändern der „allow“-Richtlinien von Dienstkonten erlauben, die mehr Berechtigungen als der Nutzer haben

Dienstkonten vor Insiderrisiken schützen

Verwenden Sie die domainweite Delegierung nur dann, wenn es einen kritischen Geschäftsgrund gibt, für den es erforderlich ist, dass eine App die Nutzereinwilligung für den Zugriff auf Google Workspace-Daten umgeht. Verwenden Sie Alternativen wie OAuth mit Nutzerzustimmung oder Marketplace-Apps. Weitere Informationen finden Sie im Google Workspace Marketplace.

Befolgen Sie diese Best Practices, um Dienstkonten mit delegierten Berechtigungen für die gesamte Domain vor Insider-Risiken zu schützen:

Nur Zugriff auf wichtige Berechtigungen gewähren

Achten Sie darauf, dass Dienstkonten mit domainweiter Delegierung nur die Berechtigungen haben, die für die Ausführung der vorgesehenen Funktionen erforderlich sind. Gewähren Sie keinen Zugriff auf nicht erforderliche OAuth-Bereiche.

Dienstkonten in dedizierten Google Cloud-Projekten hosten

Achten Sie darauf, dass Dienstkonten mit domainweiter Delegierung in dedizierten Google Cloud-Projekten gehostet werden. Verwenden Sie diese Projekte nicht für andere geschäftliche Zwecke.

Verwendung von Dienstkontoschlüsseln vermeiden

Die Verwendung von Dienstkontoschlüsseln ist für die domainweite Delegierung nicht erforderlich. Verwenden Sie stattdessen die signJwt API.

Keine Dienstkontoschlüssel für die domainweite Delegierung verwenden

Zugriff auf Projekte mit domainweiter Delegierung einschränken

Reduzieren Sie die Anzahl der Personen, die Bearbeitungszugriff auf Google Cloud-Projekte mit eingerichteter domänenweiten Delegierung haben. Mit der Cloud Asset Inventory API können Sie herausfinden, wer Zugriff auf Dienstkonten hat. Verwenden Sie beispielsweise Cloud Shell, um Folgendes auszuführen:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID: Ihre Google Cloud-Organisations-ID. Weitere Informationen
  • PROJECT_ID: ID des Google Cloud-Projekts, in dem sich das Dienstkonto befindet. Weitere Informationen
  • SERVICE_ACCOUNT_ID: ID des Dienstkontos. Die ID wird auf der Seite „Domainweite Delegation“ der Admin-Konsole unter „Client-ID“ oder in der E-Mail-Adresse des Dienstkontos aufgeführt. Weitere Informationen

Suchen Sie nach Berechtigungen oder Rollen wie Inhaber und Bearbeiter von iam.serviceAccountTokenCreator oder iam.serviceAccountKeyAdmin, um zu sehen, wer direkte oder übernommene Berechtigungen für das Dienstkonto hat.

Nachvollziehen, wer Zugriff auf Google Cloud-Dienstkonten hat