Các phương pháp hay nhất về việc uỷ quyền trên toàn miền

Là quản trị viên, bạn có thể sử dụng tính năng uỷ quyền trên toàn miền để cho phép các ứng dụng nội bộ và ứng dụng bên thứ ba truy cập vào dữ liệu Google Workspace của người dùng, bỏ qua việc người dùng cuối đồng ý. Để thực hiện việc này, bạn hãy tạo một tài khoản dịch vụ trong bảng điều khiển Cloud và uỷ quyền trên toàn miền cho tài khoản đó trong Bảng điều khiển dành cho quản trị viên của Google. Bạn cũng có thể cung cấp các phạm vi API hạn chế cho tài khoản dịch vụ trong Bảng điều khiển dành cho quản trị viên. Để biết thêm thông tin về tính năng uỷ quyền trên toàn miền, hãy chuyển đến phần Kiểm soát quyền truy cập vào API bằng tính năng uỷ quyền trên toàn miền.

Quản lý và bảo mật tài khoản dịch vụ

Giải pháp Quản lý danh tính và quyền truy cập (IAM) cung cấp các nguyên tắc sử dụng tài khoản dịch vụ để hạn chế quyền truy cập và bảo vệ khỏi các mối đe doạ về việc leo thang đặc quyền và chối bỏ trách nhiệm. Để xem các nguyên tắc, hãy chuyển đến phần Các phương pháp hay nhất để sử dụng tài khoản dịch vụ.

Mặc dù tất cả các đề xuất trong hướng dẫn đều áp dụng để bảo vệ các tài khoản dịch vụ sử dụng tính năng uỷ quyền trên toàn miền, nhưng một số phương pháp được nêu bật như sau:

Sử dụng quyền truy cập trực tiếp vào tài khoản dịch vụ hoặc sự đồng ý của OAuth

Tránh sử dụng tính năng uỷ quyền trên toàn miền nếu bạn có thể hoàn thành trực tiếp nhiệm vụ của mình bằng tài khoản dịch vụ hoặc bằng sự đồng ý của OAuth.

Nếu không thể tránh việc sử dụng tính năng uỷ quyền trên toàn miền, hãy hạn chế tập hợp các phạm vi OAuth mà tài khoản dịch vụ có thể sử dụng. Mặc dù các phạm vi OAuth không hạn chế người dùng mà tài khoản dịch vụ có thể mạo danh, nhưng chúng hạn chế các loại dữ liệu người dùng mà tài khoản dịch vụ có thể truy cập.

Tránh sử dụng tính năng uỷ quyền trên toàn miền

Hạn chế việc tạo và tải khoá tài khoản dịch vụ lên

Sử dụng chính sách tổ chức để hạn chế việc tạo và tải khoá lên cho các tài khoản dịch vụ có tính năng uỷ quyền trên toàn miền. Điều này hạn chế việc mạo danh tài khoản dịch vụ thông qua khoá tài khoản dịch vụ.

Không cho phép người dùng tạo hoặc tải khoá tài khoản dịch vụ lên

Tắt tính năng tự động cấp vai trò cho tài khoản dịch vụ mặc định

Các tài khoản dịch vụ được tạo theo mặc định sẽ được cấp vai trò Người chỉnh sửa, cho phép tài khoản đọc và sửa đổi tất cả tài nguyên trong dự án trên đám mây của Google. Bạn có thể tắt tính năng tự động cấp vai trò cho các tài khoản dịch vụ mặc định để đảm bảo rằng các tài khoản này không tự động nhận được vai trò Người chỉnh sửa và người dùng độc hại không thể dễ dàng khai thác các tài khoản này.

Không sử dụng tính năng tự động cấp vai trò cho các tài khoản dịch vụ mặc định

Hạn chế việc di chuyển ngang

Di chuyển ngang là khi một tài khoản dịch vụ trong một dự án có quyền mạo danh một tài khoản dịch vụ trong một dự án khác. Điều này có thể dẫn đến việc truy cập không mong muốn vào tài nguyên. Sử dụng "thông tin chi tiết về việc di chuyển ngang" để phát hiện và hạn chế việc di chuyển ngang thông qua tính năng mạo danh.

Sử dụng thông tin chi tiết về việc di chuyển ngang để hạn chế việc di chuyển ngang

Hạn chế quyền truy cập vào các tài khoản dịch vụ có tính năng uỷ quyền trên toàn miền

Không cho phép người dùng thay đổi chính sách cho phép của một tài khoản dịch vụ nếu tài khoản dịch vụ đó có nhiều đặc quyền hơn người dùng. Sử dụng vai trò IAM để hạn chế quyền truy cập vào các tài khoản dịch vụ có quyền uỷ quyền trên toàn miền.

Tránh cho phép người dùng thay đổi chính sách cho phép của các tài khoản dịch vụ có nhiều đặc quyền hơn

Bảo vệ tài khoản dịch vụ khỏi rủi ro nội bộ

Chỉ sử dụng tính năng uỷ quyền trên toàn miền khi bạn có một trường hợp kinh doanh quan trọng đòi hỏi ứng dụng phải bỏ qua sự đồng ý của người dùng để truy cập vào dữ liệu Google Workspace. Hãy thử các giải pháp thay thế như OAuth có sự đồng ý của người dùng hoặc sử dụng các ứng dụng trên Marketplace. Để biết thêm thông tin, hãy chuyển đến Google Workspace Marketplace.

Hãy làm theo các phương pháp hay nhất sau đây để bảo vệ các tài khoản dịch vụ có đặc quyền uỷ quyền trên toàn miền khỏi rủi ro nội bộ:

Chỉ cấp quyền truy cập vào các đặc quyền thiết yếu

Đảm bảo rằng các tài khoản dịch vụ có tính năng uỷ quyền trên toàn miền chỉ có các đặc quyền thiết yếu cần thiết để thực hiện các chức năng dự kiến. Không cấp quyền truy cập vào các phạm vi OAuth không thiết yếu.

Lưu trữ tài khoản dịch vụ trong các dự án Google Cloud riêng biệt

Đảm bảo rằng các tài khoản dịch vụ có tính năng uỷ quyền trên toàn miền được lưu trữ trong các dự án Google Cloud riêng biệt. Không sử dụng các dự án đó cho các nhu cầu kinh doanh khác.

Tránh sử dụng khoá tài khoản dịch vụ

Bạn không cần sử dụng khoá tài khoản dịch vụ để thực hiện tính năng uỷ quyền trên toàn miền. Thay vào đó, hãy sử dụng API signJwt.

Tránh sử dụng khoá tài khoản dịch vụ cho tính năng uỷ quyền trên toàn miền

Hạn chế quyền truy cập vào các dự án có tính năng uỷ quyền trên toàn miền

Giảm thiểu số người có quyền chỉnh sửa các dự án Google Cloud có thiết lập tính năng uỷ quyền trên toàn miền. Bạn có thể sử dụng Cloud Asset Inventory API để tìm hiểu xem ai có quyền truy cập vào các tài khoản dịch vụ. Ví dụ: sử dụng Cloud Shell để chạy:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID: Mã tổ chức Google Cloud của bạn. Tìm hiểu thêm
  • PROJECT_ID: Mã của dự án trên đám mây Google Cloud mà tài khoản dịch vụ nằm trong đó. Tìm hiểu thêm
  • SERVICE_ACCOUNT_ID: Mã của tài khoản dịch vụ. Mã này được liệt kê trong phần Mã ứng dụng trên trang uỷ quyền trên toàn miền của Bảng điều khiển dành cho quản trị viên hoặc trong địa chỉ email của tài khoản dịch vụ. Tìm hiểu thêm

Tìm các quyền hoặc vai trò như iam.serviceAccountTokenCreator hoặc iam.serviceAccountKeyAdmin của chủ sở hữu và người chỉnh sửa để tìm hiểu xem ai có quyền trực tiếp hoặc quyền được kế thừa đối với tài khoản dịch vụ.

Tìm hiểu xem ai có quyền truy cập vào các tài khoản dịch vụ Google Cloud