En tant qu'administrateur, vous pouvez utiliser la délégation au niveau du domaine pour autoriser les applications internes et tierces à accéder aux données Google Workspace de vos utilisateurs, sans avoir à obtenir leur consentement. Pour ce faire, vous devez créer un compte de service dans la console Google Cloud et lui déléguer une autorité au niveau du domaine dans la console d'administration Google. Vous pouvez également fournir des niveaux d'accès API limités au compte de service dans la console d'administration. Pour en savoir plus sur la délégation au niveau du domaine, consultez Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine.
Gérer et sécuriser les comptes de service
Identity and Access Management (IAM) fournit des consignes pour utiliser les comptes de service afin de limiter l'accès et de se protéger contre l'élévation des privilèges et les menaces de non-répudiation. Pour consulter ces consignes, accédez à Bonnes pratiques d'utilisation des comptes de service.
Bien que toutes les recommandations du guide s'appliquent à la protection des comptes de service qui utilisent la délégation au niveau du domaine, voici quelques pratiques à suivre :
 |
Utiliser un accès direct au compte de service ou un consentement OAuth à la place Évitez d'utiliser une délégation au niveau du domaine si vous pouvez accomplir votre tâche directement avec un compte de service ou en utilisant le consentement OAuth. Si vous ne pouvez pas éviter la délégation au niveau du domaine, limitez l'ensemble des niveaux d'accès OAuth que le compte de service peut utiliser. Bien que les niveaux d'accès OAuth ne restreignent pas les utilisateurs que le compte de service peut emprunter, ils limitent les types de données utilisateur auxquels le compte de service peut accéder. |
|
|
Restreindre la création et l'importation de clés de compte de service Utilisez des règles d'administration pour restreindre la création et l'importation de clés pour les comptes de service avec délégation au niveau du domaine. Cela limite l'usurpation d'identité du compte de service via les clés de compte de service. Ne pas autoriser les utilisateurs à créer ou à importer des clés de compte de service. |
|
|
Désactiver les attributions automatiques de rôles pour les comptes de service par défaut Les comptes de service créés par défaut se voient attribuer le rôle d'éditeur, ce qui leur permet de lire et de modifier toutes les ressources du projet Google Cloud. Vous pouvez désactiver les attributions automatiques de rôles pour les comptes de service par défaut afin de vous assurer qu'ils n'obtiennent pas automatiquement le rôle d'éditeur et qu'ils ne peuvent pas être facilement exploités par un utilisateur malveillant. Ne pas utiliser l'attribution automatique de rôles pour les comptes de service par défaut |
|
|
Limiter les mouvements latéraux Le mouvement latéral se produit lorsqu'un compte de service d'un projet est autorisé à usurper l'identité d'un compte de service d'un autre projet. Cela peut entraîner un accès non intentionnel aux ressources. Utilisez les "insights sur les mouvements latéraux" pour détecter et limiter les mouvements latéraux par usurpation d'identité. Utiliser les insights sur les mouvements latéraux pour limiter les mouvements latéraux |
|
|
Limiter l'accès aux comptes de service avec délégation au niveau du domaine Ne laissez pas un utilisateur modifier la stratégie d'autorisation d'un compte de service si celui-ci dispose de plus de privilèges que l'utilisateur. Utilisez les rôles IAM pour limiter l'accès aux comptes de service avec des délégations au niveau du domaine. |
Protéger les comptes de service contre les risques internes
N'utilisez la délégation au niveau du domaine que lorsque vous avez un cas d'utilisation critique qui nécessite qu'une application contourne le consentement de l'utilisateur pour accéder aux données Google Workspace. Essayez d'autres solutions, telles qu'OAuth avec le consentement de l'utilisateur ou l'utilisation d'applications Marketplace. Pour en savoir plus, consultez Google Workspace Marketplace.
Suivez ces bonnes pratiques pour protéger les comptes de service avec des privilèges de délégation au niveau du domaine contre les risques internes :
|
|
N'accorder l'accès qu'aux privilèges essentiels Assurez-vous que les comptes de service avec délégation au niveau du domaine ne disposent que des privilèges essentiels nécessaires à l'exécution des fonctions prévues. N'accordez pas l'accès à des niveaux d'accès OAuth non essentiels. |
|
|
Héberger les comptes de service dans des projets Google Cloud dédiés Assurez-vous que les comptes de service avec délégation au niveau du domaine sont hébergés dans des projets Google Cloud dédiés. N'utilisez pas ces projets pour d'autres besoins commerciaux. |
|
|
Éviter d'utiliser des clés de compte de service L'utilisation de clés de compte de service n'est pas nécessaire pour effectuer une délégation au niveau du domaine. Utilisez plutôt l'API signJwt. Éviter d'utiliser des clés de compte de service pour la délégation au niveau du domaine |
|
|
Restreindre l'accès aux projets qui disposent d'une délégation au niveau du domaine Réduisez le nombre de personnes autorisées à modifier les projets Google Cloud pour lesquels la délégation au niveau du domaine est configurée. Vous pouvez utiliser l'API Cloud Asset Inventory pour savoir qui a accès aux comptes de service. Par exemple, utilisez Cloud Shell pour exécuter :
Recherchez des autorisations ou des rôles tels que |