Como administrador, puedes usar la delegación de todo el dominio para permitir que las apps internas y de terceros accedan a los datos de Google Workspace de tus usuarios, sin necesidad del consentimiento del usuario final. Para ello, crea una cuenta de servicio en la consola de Google Cloud y delega la autoridad de todo el dominio a la cuenta en la Consola del administrador de Google. También puedes proporcionar permisos de API limitados a la cuenta de servicio en la Consola del administrador. Para obtener más información sobre la delegación de todo el dominio, consulta Controla el acceso a la API con la delegación de todo el dominio.
Administra y protege las cuentas de servicio
Identity and Access Management (IAM) proporciona lineamientos para usar cuentas de servicio para limitar el acceso y proteger contra la elevación de privilegios y las amenazas de no repudio. Para revisar los lineamientos, consulta Prácticas recomendadas para usar cuentas de servicio.
Si bien todas las recomendaciones de la guía se aplican para proteger las cuentas de servicio que usan la delegación de todo el dominio, algunas prácticas destacadas son las siguientes:
 |
Usa el acceso directo a la cuenta de servicio o el consentimiento de OAuth en su lugar Evita usar la delegación de todo el dominio si puedes realizar la tarea directamente con una cuenta de servicio o mediante el consentimiento de OAuth. Si no puedes evitar el uso de la delegación de todo el dominio, restringe el conjunto de permisos de OAuth que puede usar la cuenta de servicio. Aunque los permisos de OAuth no restringen los usuarios en cuyo nombre puede actuar la cuenta de servicio, sí restringen los tipos de datos del usuario a los que puede acceder la cuenta de servicio. |
|
|
Restringe la creación y carga de claves de cuentas de servicio Usa políticas de la organización para restringir la creación y carga de claves para cuentas de servicio con delegación de todo el dominio. Esto limita la suplantación de cuentas de servicio a través de claves de cuentas de servicio. No permitas que los usuarios creen o suban claves de cuenta de servicio |
|
|
Inhabilita las asignaciones de roles automáticas para las cuentas de servicio predeterminadas A las cuentas de servicio que se crean de forma predeterminada se les otorga el rol de editor, lo que permite que la cuenta lea y modifique todos los recursos del proyecto de Google Cloud. Puedes inhabilitar las asignaciones de roles automáticas para las cuentas de servicio predeterminadas para asegurarte de que no obtengan automáticamente el rol de editor y de que un usuario malicioso no pueda aprovecharlas con facilidad. No uses asignaciones de funciones automáticas para las cuentas de servicio predeterminadas |
|
|
Limita el movimiento lateral El movimiento lateral es cuando una cuenta de servicio en un proyecto tiene permiso para actuar en nombre de una cuenta de servicio en otro proyecto. Esto puede generar un acceso no deseado a los recursos. Usa las "estadísticas de movimiento lateral" para detectar y limitar el movimiento lateral a través de la suplantación. Usa las estadísticas de movimiento lateral para limitar el movimiento lateral |
|
|
Limita el acceso a las cuentas de servicio con delegación de todo el dominio No permitas que un usuario cambie la política de permisos de una cuenta de servicio si esta tiene más privilegios que el usuario. Usa los roles de IAM para limitar el acceso a las cuentas de servicio con permisos de delegación de todo el dominio. |
Protege las cuentas de servicio del riesgo interno
Usa la delegación de todo el dominio solo cuando tengas un caso de uso comercial fundamental que requiera que una app omita el consentimiento del usuario para acceder a los datos de Google Workspace. Prueba alternativas como OAuth con el consentimiento del usuario o usa apps de Marketplace. Para obtener más información, consulta Google Workspace Marketplace.
Sigue estas prácticas recomendadas para proteger las cuentas de servicio con privilegios de delegación de todo el dominio del riesgo interno:
|
|
Otorga acceso solo a los privilegios esenciales Asegúrate de que las cuentas de servicio con delegación de todo el dominio solo tengan los privilegios esenciales necesarios para realizar las funciones deseadas. No otorgues acceso a permisos de OAuth no esenciales. |
|
|
Aloja cuentas de servicio en proyectos de Google Cloud dedicados Asegúrate de que las cuentas de servicio con delegación de todo el dominio estén alojadas en proyectos de Google Cloud dedicados. No uses esos proyectos para otras necesidades comerciales. |
|
|
Evita usar claves de cuentas de servicio No es necesario usar claves de cuentas de servicio para realizar la delegación de todo el dominio. En su lugar, usa la API de signJwt. Evita usar claves de cuenta de servicio para la delegación de todo el dominio |
|
|
Restringe el acceso a los proyectos que tienen delegación de todo el dominio Minimiza la cantidad de personas que tienen acceso de edición a los proyectos de Google Cloud con la delegación de todo el dominio configurada. Puedes usar la API de Cloud Asset Inventory para comprender quién tiene acceso a las cuentas de servicio. Por ejemplo, usa Cloud Shell para ejecutar lo siguiente:
Busca permisos o roles como Comprende quién tiene acceso a las cuentas de servicio de Google Cloud |