ডোমেইন-ওয়াইড ডেলিগেশনের সেরা অনুশীলন

একজন প্রশাসক হিসেবে, আপনি ব্যবহারকারীর সম্মতি ছাড়াই অভ্যন্তরীণ এবং তৃতীয় পক্ষের অ্যাপগুলোকে আপনার ব্যবহারকারীদের গুগল ওয়ার্কস্পেস ডেটা অ্যাক্সেস করার অনুমতি দিতে ডোমেন-ব্যাপী ডেলিগেশন ব্যবহার করতে পারেন। এটি করার জন্য, আপনাকে গুগল ক্লাউড কনসোলে একটি সার্ভিস অ্যাকাউন্ট তৈরি করতে হবে এবং আপনার গুগল অ্যাডমিন কনসোলে সেই অ্যাকাউন্টে ডোমেন-ব্যাপী কর্তৃত্ব অর্পণ করতে হবে। এছাড়াও আপনি অ্যাডমিন কনসোলে সার্ভিস অ্যাকাউন্টটিকে সীমিত এপিআই স্কোপ প্রদান করতে পারেন। ডোমেন-ব্যাপী ডেলিগেশন সম্পর্কে আরও তথ্যের জন্য, ‘ডোমেন-ব্যাপী ডেলিগেশন দিয়ে এপিআই অ্যাক্সেস নিয়ন্ত্রণ করুন’ অংশে যান।

পরিষেবা অ্যাকাউন্টগুলি পরিচালনা ও সুরক্ষিত করুন

আইডেন্টিটি অ্যান্ড অ্যাক্সেস ম্যানেজমেন্ট (IAM) সার্ভিস অ্যাকাউন্ট ব্যবহার করে অ্যাক্সেস সীমিত করা এবং প্রিভিলেজ এসকেলেশন ও নন-রিপিউডিয়েশন থ্রেট থেকে সুরক্ষার জন্য নির্দেশিকা প্রদান করে। নির্দেশিকাগুলো পর্যালোচনা করতে, ‘সার্ভিস অ্যাকাউন্ট ব্যবহারের সর্বোত্তম অনুশীলন’ (Best practices for using service accounts) অংশে যান।

যদিও এই নির্দেশিকার সমস্ত সুপারিশ ডোমেন-ব্যাপী ডেলিগেশন ব্যবহারকারী পরিষেবা অ্যাকাউন্টগুলিকে সুরক্ষিত করার জন্য প্রযোজ্য, কিছু বিশেষভাবে উল্লেখযোগ্য অনুশীলন নিম্নরূপ:

এর পরিবর্তে সরাসরি পরিষেবা অ্যাকাউন্ট অ্যাক্সেস বা OAuth সম্মতি ব্যবহার করুন।

যদি আপনি একটি সার্ভিস অ্যাকাউন্ট ব্যবহার করে অথবা OAuth কনসেন্টের মাধ্যমে সরাসরি আপনার কাজটি সম্পন্ন করতে পারেন, তাহলে ডোমেন-ব্যাপী ডেলিগেশন ব্যবহার করা থেকে বিরত থাকুন।

যদি আপনি ডোমেন-ব্যাপী ডেলিগেশন ব্যবহার এড়াতে না পারেন, তবে সার্ভিস অ্যাকাউন্টটি যে OAuth স্কোপগুলো ব্যবহার করতে পারবে, সেগুলোকে সীমিত করুন। যদিও OAuth স্কোপগুলো সার্ভিস অ্যাকাউন্টটি কোন ব্যবহারকারীদের ছদ্মবেশ ধারণ করতে পারবে তা সীমাবদ্ধ করে না, তবে এগুলো সার্ভিস অ্যাকাউন্টটি কোন ধরনের ব্যবহারকারীর ডেটা অ্যাক্সেস করতে পারবে তা সীমাবদ্ধ করে।

ডোমেনব্যাপী ডেলিগেশন ব্যবহার করা এড়িয়ে চলুন

পরিষেবা অ্যাকাউন্ট কী তৈরি এবং আপলোড সীমাবদ্ধ করুন

ডোমেন-ব্যাপী ডেলিগেশন সহ সার্ভিস অ্যাকাউন্টগুলির জন্য কী তৈরি এবং আপলোড সীমাবদ্ধ করতে সাংগঠনিক নীতিমালা ব্যবহার করুন। এটি সার্ভিস অ্যাকাউন্ট কী-এর মাধ্যমে সার্ভিস অ্যাকাউন্টের ছদ্মবেশ ধারণ সীমিত করে।

ব্যবহারকারীদের পরিষেবা অ্যাকাউন্ট কী তৈরি বা আপলোড করতে দেবেন না।

ডিফল্ট পরিষেবা অ্যাকাউন্টগুলির জন্য স্বয়ংক্রিয় ভূমিকা প্রদান নিষ্ক্রিয় করুন

ডিফল্টভাবে তৈরি হওয়া সার্ভিস অ্যাকাউন্টগুলোকে এডিটর রোল দেওয়া হয়, যা অ্যাকাউন্টটিকে গুগল ক্লাউড প্রজেক্টের সমস্ত রিসোর্স পড়তে ও পরিবর্তন করতে অনুমতি দেয়। আপনি ডিফল্ট সার্ভিস অ্যাকাউন্টগুলোর জন্য স্বয়ংক্রিয় রোল প্রদান নিষ্ক্রিয় করতে পারেন, যাতে তারা স্বয়ংক্রিয়ভাবে এডিটর রোল না পায় এবং কোনো বিদ্বেষী ব্যবহারকারী সহজে এর অপব্যবহার করতে না পারে।

ডিফল্ট সার্ভিস অ্যাকাউন্টগুলির জন্য স্বয়ংক্রিয় রোল গ্রান্ট ব্যবহার করবেন না।

পার্শ্বীয় চলাচল সীমিত করুন

ল্যাটারাল মুভমেন্ট হলো যখন একটি প্রজেক্টের কোনো সার্ভিস অ্যাকাউন্টের অন্য একটি প্রজেক্টের সার্ভিস অ্যাকাউন্ট ছদ্মবেশ ধারণ করার অনুমতি থাকে। এর ফলে রিসোর্সগুলিতে অনাকাঙ্ক্ষিত অ্যাক্সেস ঘটতে পারে। ছদ্মবেশ ধারণের মাধ্যমে ল্যাটারাল মুভমেন্ট শনাক্ত ও সীমিত করতে 'ল্যাটারাল মুভমেন্ট ইনসাইটস' ব্যবহার করুন।

পার্শ্বীয় গতিবিধি সীমিত করতে পার্শ্বীয় গতিবিধি সম্পর্কিত ধারণা ব্যবহার করুন।

ডোমেনব্যাপী প্রতিনিধিদলের মাধ্যমে পরিষেবা অ্যাকাউন্টগুলিতে অ্যাক্সেস সীমিত করুন।

কোনো সার্ভিস অ্যাকাউন্টের অনুমতি নীতি (allow policy) ব্যবহারকারীকে পরিবর্তন করতে দেবেন না, যদি সার্ভিস অ্যাকাউন্টটির ব্যবহারকারীর চেয়ে বেশি সুবিধা (privileges) থাকে। ডোমেন-ব্যাপী ডেলিগেশন গ্রান্ট (domain-wide delegation grants) সহ সার্ভিস অ্যাকাউন্টগুলিতে অ্যাক্সেস সীমিত করতে IAM রোল ব্যবহার করুন।

অধিক সুবিধাপ্রাপ্ত পরিষেবা অ্যাকাউন্টগুলির অনুমতি নীতি ব্যবহারকারীদের পরিবর্তন করতে দেওয়া থেকে বিরত থাকুন।

অভ্যন্তরীণ ঝুঁকি থেকে পরিষেবা অ্যাকাউন্টগুলিকে সুরক্ষিত রাখুন

শুধুমাত্র তখনই ডোমেন-ব্যাপী ডেলিগেশন ব্যবহার করুন, যখন কোনো গুরুত্বপূর্ণ ব্যবসায়িক কারণে কোনো অ্যাপকে ব্যবহারকারীর সম্মতি এড়িয়ে গুগল ওয়ার্কস্পেস ডেটা অ্যাক্সেস করার প্রয়োজন হয়। এর বিকল্প হিসেবে ব্যবহারকারীর সম্মতিসহ OAuth অথবা মার্কেটপ্লেস অ্যাপ ব্যবহার করে দেখুন। আরও তথ্যের জন্য, গুগল ওয়ার্কস্পেস মার্কেটপ্লেস- এ যান।

ডোমেন-ব্যাপী ডেলিগেশন সুবিধা সম্পন্ন সার্ভিস অ্যাকাউন্টগুলোকে অভ্যন্তরীণ ঝুঁকি থেকে সুরক্ষিত রাখতে এই সর্বোত্তম পদ্ধতিগুলো অনুসরণ করুন:

শুধুমাত্র অপরিহার্য সুযোগ-সুবিধাগুলিতে প্রবেশাধিকার দিন।

নিশ্চিত করুন যে ডোমেন-ব্যাপী ডেলিগেশন সহ পরিষেবা অ্যাকাউন্টগুলির কাছে শুধুমাত্র তাদের উদ্দিষ্ট কাজগুলি সম্পাদনের জন্য প্রয়োজনীয় বিশেষাধিকার রয়েছে। অনাবশ্যক OAuth স্কোপগুলিতে অ্যাক্সেস দেবেন না।

ডেডিকেটেড গুগল ক্লাউড প্রোজেক্টে হোস্ট সার্ভিস অ্যাকাউন্ট

নিশ্চিত করুন যে ডোমেন-ব্যাপী ডেলিগেশন সহ পরিষেবা অ্যাকাউন্টগুলি ডেডিকেটেড গুগল ক্লাউড প্রজেক্টে হোস্ট করা আছে। অন্য কোনো ব্যবসায়িক প্রয়োজনে সেই প্রজেক্টগুলি ব্যবহার করবেন না।

সার্ভিস অ্যাকাউন্ট কী ব্যবহার করা এড়িয়ে চলুন

ডোমেন-ব্যাপী ডেলিগেশন সম্পাদনের জন্য সার্ভিস অ্যাকাউন্ট কী ব্যবহার করার প্রয়োজন নেই। এর পরিবর্তে signJwt API ব্যবহার করুন।

ডোমেন-ব্যাপী ডেলিগেশনের জন্য সার্ভিস অ্যাকাউন্ট কী ব্যবহার করা পরিহার করুন।

যেসব প্রোজেক্টে ডোমেন-ব্যাপী প্রতিনিধিদল রয়েছে, সেগুলিতে প্রবেশাধিকার সীমাবদ্ধ করুন।

ডোমেন-ব্যাপী ডেলিগেশন সেট আপ করে গুগল ক্লাউড প্রজেক্টে সম্পাদনার অ্যাক্সেস থাকা ব্যক্তির সংখ্যা কমিয়ে আনুন। সার্ভিস অ্যাকাউন্টগুলোতে কার অ্যাক্সেস আছে তা জানতে আপনি ক্লাউড অ্যাসেট ইনভেন্টরি এপিআই (Cloud Asset Inventory API) ব্যবহার করতে পারেন। উদাহরণস্বরূপ, ক্লাউড শেল (Cloud Shell) ব্যবহার করে নিম্নলিখিত কমান্ডটি চালান: 

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID : আপনার গুগল ক্লাউড অর্গানাইজেশন আইডি। আরও জানুন।
  • PROJECT_ID : যে গুগল ক্লাউড প্রজেক্টের অধীনে সার্ভিস অ্যাকাউন্টটি রয়েছে, তার আইডি। আরও জানুন
  • SERVICE_ACCOUNT_ID : সার্ভিস অ্যাকাউন্টের আইডি। এই আইডিটি অ্যাডমিন কনসোলের ডোমেন-ব্যাপী ডেলিগেশন পৃষ্ঠায় ক্লায়েন্ট আইডি-র অধীনে, অথবা সার্ভিস অ্যাকাউন্টের ইমেল ঠিকানায় তালিকাভুক্ত থাকে। আরও জানুন

সার্ভিস অ্যাকাউন্টে কার সরাসরি বা উত্তরাধিকারসূত্রে অনুমতি আছে তা বোঝার জন্য iam.serviceAccountTokenCreator অথবা iam.serviceAccountKeyAdmin owner এবং editor-এর মতো অনুমতি বা ভূমিকাগুলো দেখুন।

গুগল ক্লাউড পরিষেবা অ্যাকাউন্টগুলিতে কার অ্যাক্সেস আছে তা বুঝুন।