Práticas recomendadas para a delegação em todo o domínio

Por ser administrador, você pode usar a delegação em todo o domínio para permitir que apps internos e de terceiros acessem os dados do Google Workspace dos seus usuários sem o consentimento do usuário final. Para fazer isso, crie uma conta de serviço no console do Google Cloud e delegue autoridade em todo o domínio para a conta no Google Admin Console. Você também pode definir escopos de API limitados para a conta de serviço no Admin Console. Saiba mais sobre a delegação em todo o domínio em Controlar o acesso da API com a delegação em todo o domínio.

Gerenciar e proteger contas de serviço

O Identity and Access Management (IAM) apresenta diretrizes sobre o uso de contas de serviço para limitar o acesso e proteger contra escalonamento de privilégios e ameaças de não repúdio. Para conferir as diretrizes, acesse Práticas recomendadas para usar contas de serviço.

Embora todas as recomendações no guia se apliquem à proteção de contas de serviço que usam a delegação em todo o domínio, algumas práticas destacadas são as seguintes:

Use o acesso direto à conta de serviço ou o consentimento do OAuth

Evite usar a delegação em todo o domínio se você puder realizar sua tarefa diretamente usando uma conta de serviço ou o consentimento do OAuth.

Se não for possível evitar o uso de delegação em todo o domínio, restrinja o conjunto de escopos do OAuth que a conta de serviço pode usar. Embora os escopos do OAuth não restrinjam os usuários que a conta de serviço pode personificar, eles restringem os tipos de dados do usuário que a conta de serviço pode acessar.

Evite usar a delegação em todo o domínio

Restringir a criação e o upload da chave da conta de serviço

Use as políticas da organização para restringir a criação e o upload de chaves para contas de serviço com delegação em todo o domínio. Isso limita a identidade temporária de conta de serviço com chaves de contas de serviço.

Não permita que os usuários criem ou façam upload de chaves de contas de serviço

Desativar concessões automáticas de papéis para contas de serviço padrão

As contas de serviço criadas por padrão recebem o papel de Editor, que permite ler e modificar todos os recursos no projeto do Google Cloud. É possível desativar as concessões automáticas de papéis para contas de serviço padrão para garantir que elas não recebam automaticamente o papel de Editor e não sejam exploradas facilmente por um usuário mal-intencionado.

Não use concessões automáticas de papéis para contas de serviço padrão

Limitar o movimento lateral

O movimento lateral ocorre quando uma conta de serviço em um projeto tem permissão para personificar uma conta de serviço em outro projeto. Isso pode resultar em acesso não intencional a recursos. Use insights de movimentos laterais para detectar e limitar o movimento lateral com a falsificação de identidade.

Usar insights de movimento lateral para limitar o movimento lateral

Limitar o acesso a contas de serviço com a delegação em todo o domínio

Não permita que um usuário mude a política de permissão de uma conta de serviço se a conta tiver mais privilégios que o usuário. Use papéis do IAM para limitar o acesso a contas de serviço com concessões de delegação em todo o domínio.

Evite permitir que os usuários alterem as políticas de permissão de contas de serviço com mais privilégios

Proteja as contas de serviço contra riscos de pessoas com informações privilegiadas

Use a delegação em todo o domínio somente quando você tiver um caso de negócios crítico que exija que um app ignore o consentimento do usuário para acessar os dados do Google Workspace. Tente alternativas como o OAuth com o consentimento do usuário ou use apps do Marketplace. Para mais informações, acesse o Google Workspace Marketplace.

Siga estas práticas recomendadas para proteger as contas de serviço com privilégios de delegação em todo o domínio contra riscos de pessoas com informações privilegiadas:

Conceder acesso apenas a privilégios essenciais

Verifique se as contas de serviço com delegação em todo o domínio têm apenas os privilégios essenciais necessários para executar as funções pretendidas. Não conceda acesso a escopos não essenciais do OAuth.

Hospedar contas de serviço em projetos dedicados do Google Cloud

Verifique se as contas de serviço com delegação em todo o domínio estão hospedadas em projetos dedicados do Google Cloud. Não use esses projetos para outras necessidades de negócios.

Evite usar chaves de conta de serviço

Não é necessário usar chaves de conta de serviço para realizar a delegação em todo o domínio. Use a API signJwt.

Evitar o uso de chaves de conta de serviço na delegação em todo o domínio

Restringir o acesso a projetos com delegação em todo o domínio

Minimize o número de pessoas que têm acesso de edição dos projetos do Google Cloud com a delegação em todo o domínio configurada. É possível usar a API Inventário de recursos do Cloud para entender quem tem acesso às contas de serviço. Por exemplo, use o Cloud Shell para executar:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID: o ID da sua organização do Google Cloud. Saiba mais
  • PROJECT_ID: ID do projeto na nuvem do Google Cloud em que a conta de serviço está localizada. Saiba mais
  • SERVICE_ACCOUNT_ID: ID da conta de serviço. Ele aparece em "ID do cliente", na página de delegação em todo o domínio do Admin Console ou no endereço de e-mail da conta de serviço. Saiba mais

Procure permissões ou papéis como proprietário e editor de iam.serviceAccountTokenCreator ou iam.serviceAccountKeyAdmin para entender quem tem permissões diretas ou herdadas na conta de serviço.

Entender quem tem acesso às contas de serviço do Google Cloud