Bästa praxis för domänomfattande delegering

Som administratör kan du använda domänomfattande delegering för att ge interna appar och tredjepartsappar åtkomst till dina användares Google Workspace-data och kringgå slutanvändarnas samtycke. För att göra detta skapar du ett tjänstkonto i Google Cloud-konsolen och delegerar domänomfattande behörighet till kontot i din Google-administratörskonsol. Du kan också ge begränsade API-omfattningar till tjänstkontot i administratörskonsolen. För mer information om domänomfattande delegering, gå till Styr API-åtkomst med domänomfattande delegering .

Hantera och säkra servicekonton

Identitets- och åtkomsthantering (IAM) tillhandahåller riktlinjer för användning av tjänstkonton för att begränsa åtkomst och skydda mot privilegieeskalering och hot mot oavvislighet. För att granska riktlinjerna, gå till Bästa praxis för användning av tjänstkonton .

Även om alla rekommendationer i guiden gäller för att skydda tjänstkonton som använder domänomfattande delegering, är några framhävda metoder följande:

Använd direkt åtkomst till tjänstkonto eller OAuth-samtycke istället

Undvik att använda domänomfattande delegering om du kan utföra din uppgift direkt med hjälp av ett tjänstkonto eller genom att använda OAuth-medgivande.

Om du inte kan undvika att använda domänomfattande delegering, begränsa uppsättningen OAuth-omfattningar som tjänstekontot kan använda. Även om OAuth-omfattningar inte begränsar vilka användare tjänstekontot kan imitera, begränsar de vilka typer av användardata som tjänstekontot kan komma åt.

Undvik att använda domänomfattande delegering

Begränsa skapande och uppladdning av servicekontonycklar

Använd organisationspolicyer för att begränsa skapande och uppladdning av nycklar för tjänstekonton med domänomfattande delegering. Detta begränsar personifiering av tjänstekonton via tjänstekontonycklar.

Låt inte användare skapa eller ladda upp nycklar till tjänstkonton

Inaktivera automatiska rolltilldelningar för standardtjänstkonton

Tjänstkonton som skapas som standard tilldelas rollen Redigerare, vilket gör att kontot kan läsa och ändra alla resurser i Google Cloud-projektet. Du kan inaktivera automatiska rolltilldelningar för standardtjänstkonton för att säkerställa att de inte automatiskt får rollen Redigerare och inte enkelt kan utnyttjas av en illvillig användare.

Använd inte automatiska rolltilldelningar för standardtjänstkonton

Begränsa sidledsrörelser

Lateral förflyttning är när ett servicekonto i ett projekt har behörighet att imitera ett servicekonto i ett annat projekt. Detta kan resultera i oavsiktlig åtkomst till resurser. Använd "insikter om laterala förflyttningar" för att upptäcka och begränsa lateral förflyttning genom imitation.

Använd insikter om sidrörelser för att begränsa sidrörelser

Begränsa åtkomst till tjänstkonton med domänomfattande delegering

Låt inte en användare ändra tillåtelsepolicyn för ett tjänstkonto om tjänstkontot har fler behörigheter än användaren. Använd IAM-roller för att begränsa åtkomst till tjänstkonton med domänomfattande delegeringsbehörigheter.

Undvik att låta användare ändra tillåtelsepolicyerna för mer privilegierade tjänstkonton

Skydda servicekonton från insiderrisk

Använd domänomfattande delegering endast när du har ett kritiskt affärsärende som kräver att en app kringgår användarnas samtycke för att få åtkomst till Google Workspace-data. Prova alternativ som OAuth med användarnas samtycke eller använd Marketplace-appar. För mer information, gå till Google Workspace Marketplace .

Följ dessa bästa metoder för att skydda tjänstkonton med domänomfattande delegeringsbehörigheter från insiderrisk:

Bevilja endast åtkomst till nödvändiga privilegier

Se till att tjänstkonton med domänomfattande delegering endast har de nödvändiga behörigheter som krävs för att utföra sina avsedda funktioner. Ge inte åtkomst till icke-nödvändiga OAuth-omfång.

Värdtjänstkonton i dedikerade Google Cloud-projekt

Se till att tjänstkonton med domänomfattande delegering finns i dedikerade Google Cloud-projekt. Använd inte dessa projekt för andra affärsbehov.

Undvik att använda servicekontonycklar

Det är inte nödvändigt att använda servicekontonycklar för att utföra domänomfattande delegering. Använd signJwt API istället.

Undvik att använda servicekontonycklar för domänomfattande delegering

Begränsa åtkomst till projekt som har domänomfattande delegering

Minimera antalet personer som har redigeringsåtkomst till Google Cloud-projekt med domänomfattande delegeringskonfiguration. Du kan använda Cloud Asset Inventory API för att förstå vem som har åtkomst till tjänstkonton. Använd till exempel Cloud Shell för att köra: 

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID : Ditt organisations-ID för Google Cloud. Läs mer
  • PROJECT_ID : ID för Google Cloud-projektet som tjänstkontot finns under. Läs mer
  • SERVICE_ACCOUNT_ID : ID för tjänstkontot. ID:t listas under Klient-ID på administratörskonsolens domänomfattande delegeringssida eller i tjänstkontots e-postadress. Läs mer

Leta efter behörigheter eller roller som iam.serviceAccountTokenCreator eller iam.serviceAccountKeyAdmin ägare och redigerare, för att förstå vem som har direkta eller ärvda behörigheter till tjänstkontot.

Förstå vem som har åtkomst till Google Cloud-tjänstkonton