Best practices voor het delegeren van taken binnen het hele domein

Als beheerder kunt u domeinbrede delegatie gebruiken om interne en externe apps toegang te geven tot de Google Workspace-gegevens van uw gebruikers, zonder dat de eindgebruiker hiervoor toestemming hoeft te geven. Hiervoor maakt u een serviceaccount aan in de Google Cloud-console en delegeert u domeinbrede bevoegdheden aan dit account in uw Google Beheerconsole. U kunt het serviceaccount ook beperkte API-scopes toekennen in de Beheerconsole. Ga naar Toegang tot API beheren met domeinbrede delegatie voor meer informatie over domeinbrede delegatie.

Beheer en beveilig serviceaccounts

Identity and Access Management (IAM) biedt richtlijnen voor het gebruik van serviceaccounts om de toegang te beperken en te beschermen tegen privilege-escalatie en bedreigingen met betrekking tot niet-afwijzing. Raadpleeg de richtlijnen voor de beste werkwijzen voor het gebruik van serviceaccounts .

Hoewel alle aanbevelingen in de handleiding van toepassing zijn op de bescherming van serviceaccounts die gebruikmaken van domeinbrede delegatie, worden hieronder enkele belangrijke werkwijzen benadrukt:

Gebruik in plaats daarvan directe toegang tot het serviceaccount of OAuth-toestemming.

Vermijd het gebruik van domeinbrede delegatie als u uw taak rechtstreeks kunt uitvoeren met behulp van een serviceaccount of door middel van OAuth-toestemming.

Als u domeinbrede delegatie niet kunt vermijden, beperk dan de set OAuth-scopes die het serviceaccount kan gebruiken. Hoewel OAuth-scopes niet bepalen welke gebruikers het serviceaccount kan imiteren, beperken ze wel de soorten gebruikersgegevens waartoe het serviceaccount toegang heeft.

Vermijd het gebruik van domeinbrede delegatie.

Beperk het aanmaken en uploaden van serviceaccountsleutels.

Gebruik organisatiebeleid om het aanmaken en uploaden van sleutels voor serviceaccounts met domeinbrede delegatie te beperken. Dit voorkomt dat serviceaccounts via serviceaccountsleutels worden geïmiteerd.

Voorkom dat gebruikers serviceaccount-sleutels aanmaken of uploaden.

Schakel automatische roltoekenning voor standaard serviceaccounts uit.

Serviceaccounts die standaard worden aangemaakt, krijgen de rol 'Editor' toegewezen. Deze rol stelt het account in staat om alle resources in het Google Cloud-project te lezen en te wijzigen. U kunt het automatisch toekennen van rollen aan standaard serviceaccounts uitschakelen om te voorkomen dat ze automatisch de rol 'Editor' krijgen en daardoor niet gemakkelijk door kwaadwillende gebruikers kunnen worden misbruikt.

Gebruik geen automatische roltoekenning voor standaard serviceaccounts.

Beperk zijwaartse bewegingen.

Laterale beweging treedt op wanneer een serviceaccount in het ene project toestemming heeft om zich voor te doen als een serviceaccount in een ander project. Dit kan leiden tot onbedoelde toegang tot resources. Gebruik 'inzichten in laterale beweging' om laterale beweging door middel van impersonatie te detecteren en te beperken.

Gebruik inzichten in zijwaartse bewegingen om zijwaartse bewegingen te beperken.

Beperk de toegang tot serviceaccounts met domeinbrede delegatie.

Voorkom dat een gebruiker het toegangsbeleid van een serviceaccount wijzigt als het serviceaccount meer bevoegdheden heeft dan de gebruiker. Gebruik IAM-rollen om de toegang tot serviceaccounts te beperken met domeinbrede delegatierechten.

Voorkom dat gebruikers het toegangsbeleid van serviceaccounts met hogere privileges kunnen wijzigen.

Bescherm serviceaccounts tegen interne risico's.

Gebruik domeinbrede delegatie alleen als er een cruciale zakelijke reden is waarom een ​​app de toestemming van de gebruiker moet omzeilen om toegang te krijgen tot Google Workspace-gegevens. Probeer alternatieven zoals OAuth met toestemming van de gebruiker of gebruik apps uit de Marketplace. Ga voor meer informatie naar Google Workspace Marketplace .

Volg deze best practices om serviceaccounts met domeinbrede delegatierechten te beschermen tegen interne risico's:

Geef alleen toegang tot essentiële privileges.

Zorg ervoor dat serviceaccounts met domeinbrede delegatie alleen de essentiële privileges hebben die nodig zijn om hun beoogde functies uit te voeren. Geef geen toegang tot niet-essentiële OAuth-scopes.

Host serviceaccounts in speciale Google Cloud-projecten.

Zorg ervoor dat serviceaccounts met domeinbrede delegatie worden gehost in speciale Google Cloud-projecten. Gebruik deze projecten niet voor andere zakelijke doeleinden.

Vermijd het gebruik van serviceaccountsleutels.

Het gebruik van serviceaccount-sleutels is niet nodig voor domeinbrede delegatie. Gebruik in plaats daarvan de signJwt API.

Vermijd het gebruik van serviceaccountsleutels voor domeinbrede delegatie.

Beperk de toegang tot projecten met domeinbrede delegatie.

Beperk het aantal personen met bewerkingsrechten voor Google Cloud-projecten door domeinbrede delegatie in te stellen. U kunt de Cloud Asset Inventory API gebruiken om te zien wie toegang heeft tot serviceaccounts. Gebruik bijvoorbeeld Cloud Shell om het volgende commando uit te voeren: 

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID : Uw Google Cloud-organisatie-ID. Meer informatie
  • PROJECT_ID : ID van het Google Cloud-project waaronder het serviceaccount valt. Meer informatie
  • SERVICE_ACCOUNT_ID : ID van het serviceaccount. De ID staat vermeld onder Client-ID op de pagina voor domeinbrede delegatie in de beheerdersconsole, of in het e-mailadres van het serviceaccount. Meer informatie

Zoek naar machtigingen of rollen zoals iam.serviceAccountTokenCreator of iam.serviceAccountKeyAdmin owner en editor om te begrijpen wie directe of overgeërfde machtigingen heeft voor het serviceaccount.

Inzicht in wie toegang heeft tot Google Cloud-serviceaccounts