שיטות מומלצות להענקת גישה ברמת הדומיין

שימוש בגישה ישירה לחשבון שירות או בהסכמה ל-OAuth

אם אתם יכולים לבצע את המשימה ישירות באמצעות חשבון שירות או באמצעות הסכמה ל-OAuth, רצוי להימנע משימוש בהענקת הרשאות גישה ברמת הדומיין.

אם אתם לא יכולים להימנע משימוש בהענקת הרשאות גישה ברמת הדומיין, אפשר להגביל את קבוצת היקפי ההרשאות של OAuth שאפשר להשתמש בהם בחשבון השירות. היקפי ההרשאות של OAuth לא מגבילים את המשתמשים שחשבון השירות יכול להתחזות אליהם, אבל הם מגבילים את הסוגים של נתוני המשתמשים שלחשבון השירות יש גישה אליהם.

להימנע משימוש במתן הרשאות גישה ברמת הדומיין

הגבלת היצירה וההעלאה של מפתחות לחשבון שירות

שימוש במדיניות הארגון כדי להגביל את יצירת המפתחות וההעלאה שלהם לחשבונות שירות עם הענקת גישה ברמת הדומיין. כך מגבילים את ההתחזות לחשבון שירות באמצעות מפתחות של חשבונות שירות.

לא מאפשרים למשתמשים ליצור או להעלות מפתחות לחשבונות שירות

השבתה של הענקת תפקידים אוטומטית לחשבונות שירות שמוגדרים כברירת מחדל

חשבונות שירות שנוצרים כברירת מחדל מקבלים את התפקיד 'עריכה', שמאפשר לחשבון לקרוא ולשנות את כל המשאבים בפרויקט ב-Google Cloud. כדי לוודא שחשבונות שירות שהוגדרו כברירת מחדל לא יקבלו באופן אוטומטי את התפקיד'עריכה' ומשתמש זדוני לא יוכל לנצל אותם בקלות, אפשר להשבית את מתן התפקידים האוטומטי לחשבונות האלה.

לא משתמשים במתן תפקידים אוטומטי בחשבונות שירות שהוגדרו כברירת מחדל

הגבלת תנועה רוחבית

תנועה רוחבית קורית כשלחשבון שירות בפרויקט אחד יש הרשאה להתחזות לחשבון שירות בפרויקט אחר. זה עלול לגרום לגישה לא מכוונת למשאבים. השתמשו בתובנות לגבי תנועה רוחבית כדי לזהות ולהגביל תנועה רוחבית באמצעות התחזות.

שימוש בתובנות לגבי תנועה רוחבית כדי להגביל תנועה רוחבית

הגבלת הגישה לחשבונות שירות עם הקצאת הרשאות ברמת הדומיין

אם לחשבון השירות יש יותר הרשאות מלמשתמש, אל תאפשרו לו לשנות את כללי מדיניות ההרשאות של חשבון השירות. משתמשים בתפקידי IAM כדי להגביל את הגישה לחשבונות שירות עם הרשאות להאצלת סמכויות ברמת הדומיין.

אסור לאפשר למשתמשים לשנות את כללי מדיניות ההרשאות של חשבונות שירות שיש להם הרשאות גבוהות יותר

הענקת גישה רק להרשאות חיוניות

חשוב לוודא שלחשבונות שירות עם הענקת הרשאות ברמת הדומיין יש רק את ההרשאות החיוניות שנדרשות לביצוע הפונקציות שהם נועדו לבצע. אל תעניקו גישה להיקפי הרשאות לא חיוניים של OAuth.

אירוח חשבונות שירות בפרויקטים ייעודיים ב-Google Cloud

מוודאים שחשבונות שירות עם הרשאות גישה ברמת הדומיין מאוחסנים בפרויקטים ייעודיים ב-Google Cloud. אל תשתמשו בפרויקטים האלה לצרכים עסקיים אחרים.

להימנע משימוש במפתחות של חשבונות שירות

לא צריך להשתמש במפתחות של חשבונות שירות כדי להעניק גישה ברמת הדומיין. במקום זאת, אפשר להשתמש ב-signJwt API.

להימנע משימוש במפתחות של חשבונות שירות להענקת גישה ברמת הדומיין

הגבלת הגישה לפרויקטים שמוגדר בהם מתן הרשאות גישה ברמת הדומיין

צריך לצמצם את מספר האנשים שיש להם גישת עריכה לפרויקטים ב-Google Cloud עם הגדרת הרשאת גישה ברמת הדומיין. אתם יכולים להשתמש ב-Cloud Asset Inventory API כדי להבין למי יש גישה לחשבונות שירות. לדוגמה, אפשר להשתמש ב-Cloud Shell כדי להריץ את הפקודה:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID

• ‫ORG_ID: מזהה הארגון ב-Google Cloud. מידע נוסף
• ‫PROJECT_ID: המזהה של הפרויקט בענן של Google שחשבון השירות משויך אליו. מידע נוסף
• ‫SERVICE_ACCOUNT_ID: המזהה של חשבון השירות. המזהה מופיע בקטע Client ID בדף 'הענקת הרשאות גישה ברמת הדומיין' במסוף Admin, או בכתובת האימייל של חשבון השירות. מידע נוסף

מחפשים הרשאות או תפקידים כמו iam.serviceAccountTokenCreator או iam.serviceAccountKeyAdmin בעלים ועורך כדי להבין למי יש הרשאות ישירות או הרשאות שעברו בירושה לחשבון השירות.

הבנת ההרשאות של משתמשים בחשבונות שירות ב-Google Cloud