এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

ডোমেইন-ওয়াইড ডেলিগেশনের সেরা অনুশীলন

একজন প্রশাসক হিসেবে, আপনি ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করে অভ্যন্তরীণ এবং তৃতীয় পক্ষের অ্যাপগুলিকে আপনার ব্যবহারকারীর Google Workspace ডেটা অ্যাক্সেস করার অনুমতি দিতে পারেন, শেষ ব্যবহারকারীর সম্মতি উপেক্ষা করে। এটি করার জন্য, আপনি Google ক্লাউড কনসোলে একটি পরিষেবা অ্যাকাউন্ট তৈরি করেন এবং আপনার Google অ্যাডমিন কনসোলে থাকা অ্যাকাউন্টে ডোমেন-ওয়াইড কর্তৃত্ব অর্পণ করেন। আপনি অ্যাডমিন কনসোলে থাকা পরিষেবা অ্যাকাউন্টে সীমিত API স্কোপও প্রদান করতে পারেন। ডোমেন-ওয়াইড ডেলিগেশন সম্পর্কে আরও তথ্যের জন্য, Control API access with domain-overdeligation -এ যান।

পরিষেবা অ্যাকাউন্টগুলি পরিচালনা এবং সুরক্ষিত করুন

আইডেন্টিটি অ্যান্ড অ্যাক্সেস ম্যানেজমেন্ট (IAM) পরিষেবা অ্যাকাউন্ট ব্যবহারের জন্য নির্দেশিকা প্রদান করে যাতে অ্যাক্সেস সীমিত করা যায় এবং বিশেষাধিকার বৃদ্ধি এবং অ-প্রত্যাখ্যান হুমকি থেকে রক্ষা করা যায়। নির্দেশিকা পর্যালোচনা করতে, পরিষেবা অ্যাকাউন্ট ব্যবহারের জন্য সেরা অনুশীলন বিভাগে যান।

যদিও নির্দেশিকায় দেওয়া সমস্ত সুপারিশ ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করে এমন পরিষেবা অ্যাকাউন্টগুলিকে সুরক্ষিত করার জন্য প্রযোজ্য, কিছু হাইলাইট করা অনুশীলন নিম্নরূপ:

	পরিবর্তে সরাসরি পরিষেবা অ্যাকাউন্ট অ্যাক্সেস অথবা OAuth সম্মতি ব্যবহার করুন যদি আপনি সরাসরি কোনও পরিষেবা অ্যাকাউন্ট ব্যবহার করে অথবা OAuth সম্মতি ব্যবহার করে আপনার কাজ সম্পন্ন করতে পারেন, তাহলে ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করা এড়িয়ে চলুন। যদি আপনি ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার এড়াতে না পারেন, তাহলে পরিষেবা অ্যাকাউন্টটি যে OAuth স্কোপগুলি ব্যবহার করতে পারে তার সেট সীমাবদ্ধ করুন। যদিও OAuth স্কোপগুলি পরিষেবা অ্যাকাউন্টটি কোন ব্যবহারকারীদের ছদ্মবেশ ধারণ করতে পারে তা সীমাবদ্ধ করে না, তবে পরিষেবা অ্যাকাউন্টটি কী ধরণের ব্যবহারকারীর ডেটা অ্যাক্সেস করতে পারে তা তারা সীমাবদ্ধ করে। ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করা এড়িয়ে চলুন
	পরিষেবা অ্যাকাউন্ট কী তৈরি এবং আপলোড সীমাবদ্ধ করুন ডোমেন-ওয়াইড ডেলিগেশনের মাধ্যমে পরিষেবা অ্যাকাউন্টের জন্য কী তৈরি এবং আপলোড সীমাবদ্ধ করতে প্রতিষ্ঠানের নীতি ব্যবহার করুন। এটি পরিষেবা অ্যাকাউন্ট কীগুলির মাধ্যমে পরিষেবা অ্যাকাউন্টের ছদ্মবেশ ধারণ সীমিত করে। ব্যবহারকারীদের পরিষেবা অ্যাকাউন্ট কী তৈরি বা আপলোড করতে দেবেন না
	ডিফল্ট পরিষেবা অ্যাকাউন্টগুলির জন্য স্বয়ংক্রিয় ভূমিকা অনুদান অক্ষম করুন ডিফল্টভাবে তৈরি করা পরিষেবা অ্যাকাউন্টগুলিকে সম্পাদক ভূমিকা দেওয়া হয়, যা অ্যাকাউন্টটিকে Google ক্লাউড প্রকল্পের সমস্ত সংস্থান পড়তে এবং সংশোধন করতে দেয়। আপনি ডিফল্ট পরিষেবা অ্যাকাউন্টগুলির জন্য স্বয়ংক্রিয় ভূমিকা অনুদান অক্ষম করতে পারেন যাতে তারা স্বয়ংক্রিয়ভাবে সম্পাদক ভূমিকা না পায় এবং কোনও ক্ষতিকারক ব্যবহারকারী দ্বারা সহজেই শোষণ করা না যায়। ডিফল্ট পরিষেবা অ্যাকাউন্টের জন্য স্বয়ংক্রিয় ভূমিকা অনুদান ব্যবহার করবেন না।
	পার্শ্বীয় নড়াচড়া সীমিত করুন ল্যাটেরাল মুভমেন্ট হলো যখন একটি প্রোজেক্টের একটি সার্ভিস অ্যাকাউন্ট অন্য প্রোজেক্টের একটি সার্ভিস অ্যাকাউন্টের ছদ্মবেশ ধারণ করার অনুমতি পায়। এর ফলে রিসোর্সে অনিচ্ছাকৃত অ্যাক্সেস হতে পারে। ইমপারসনেশনের মাধ্যমে ল্যাটেরাল মুভমেন্ট সনাক্ত এবং সীমিত করতে "ল্যাটেরাল মুভমেন্ট ইনসাইট" ব্যবহার করুন। পার্শ্বীয় নড়াচড়া সীমিত করতে পার্শ্বীয় নড়াচড়ার অন্তর্দৃষ্টি ব্যবহার করুন
	ডোমেন-ওয়াইড ডেলিগেশনের মাধ্যমে পরিষেবা অ্যাকাউন্টগুলিতে অ্যাক্সেস সীমিত করুন যদি কোনও পরিষেবা অ্যাকাউন্টে ব্যবহারকারীর চেয়ে বেশি সুবিধা থাকে, তাহলে কোনও ব্যবহারকারীকে পরিষেবা অ্যাকাউন্টের অনুমতি নীতি পরিবর্তন করতে দেবেন না। ডোমেন-ওয়াইড ডেলিগেশন গ্রান্ট সহ পরিষেবা অ্যাকাউন্টগুলিতে অ্যাক্সেস সীমিত করতে IAM ভূমিকা ব্যবহার করুন। ব্যবহারকারীদের আরও সুবিধাপ্রাপ্ত পরিষেবা অ্যাকাউন্টের অনুমতি নীতি পরিবর্তন করতে দেওয়া এড়িয়ে চলুন।

অভ্যন্তরীণ ঝুঁকি থেকে পরিষেবা অ্যাকাউন্টগুলিকে রক্ষা করুন

ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করুন শুধুমাত্র তখনই যখন আপনার কোনও গুরুত্বপূর্ণ ব্যবসায়িক কেস থাকে যেখানে Google Workspace ডেটা অ্যাক্সেস করার জন্য কোনও অ্যাপকে ব্যবহারকারীর সম্মতি বাইপাস করতে হয়। ব্যবহারকারীর সম্মতিতে OAuth এর মতো বিকল্পগুলি চেষ্টা করুন অথবা Marketplace অ্যাপ ব্যবহার করুন। আরও তথ্যের জন্য, Google Workspace Marketplace দেখুন।

ডোমেন-ওয়াইড ডেলিগেশন সুবিধা সহ পরিষেবা অ্যাকাউন্টগুলিকে অভ্যন্তরীণ ঝুঁকি থেকে রক্ষা করতে এই সেরা পদ্ধতিগুলি অনুসরণ করুন:

	শুধুমাত্র প্রয়োজনীয় সুযোগ-সুবিধাগুলিতে অ্যাক্সেস দিন নিশ্চিত করুন যে ডোমেন-ওয়াইড ডেলিগেশন সহ পরিষেবা অ্যাকাউন্টগুলিতে তাদের উদ্দেশ্যমূলক কার্য সম্পাদনের জন্য প্রয়োজনীয় কেবলমাত্র প্রয়োজনীয় সুযোগ-সুবিধা রয়েছে। অ-প্রয়োজনীয় OAuth স্কোপে অ্যাক্সেস দেবেন না।
	ডেডিকেটেড গুগল ক্লাউড প্রোজেক্টে হোস্ট সার্ভিস অ্যাকাউন্ট নিশ্চিত করুন যে ডোমেন-ওয়াইড ডেলিগেশন সহ পরিষেবা অ্যাকাউন্টগুলি ডেডিকেটেড গুগল ক্লাউড প্রকল্পগুলিতে হোস্ট করা আছে। অন্যান্য ব্যবসায়িক প্রয়োজনে এই প্রকল্পগুলি ব্যবহার করবেন না।
	পরিষেবা অ্যাকাউন্ট কী ব্যবহার করা এড়িয়ে চলুন ডোমেন-ওয়াইড ডেলিগেশন সম্পাদনের জন্য পরিষেবা অ্যাকাউন্ট কী ব্যবহার করা আবশ্যক নয়। পরিবর্তে signJwt API ব্যবহার করুন। ডোমেন-ওয়াইড ডেলিগেশনের জন্য পরিষেবা অ্যাকাউন্ট কী ব্যবহার করা এড়িয়ে চলুন
	ডোমেন-ওয়াইড ডেলিগেশন আছে এমন প্রকল্পগুলিতে অ্যাক্সেস সীমাবদ্ধ করুন ডোমেন-ওয়াইড ডেলিগেশন সেট আপের মাধ্যমে গুগল ক্লাউড প্রোজেক্টে সম্পাদনা অ্যাক্সেস আছে এমন লোকের সংখ্যা কমিয়ে আনুন। পরিষেবা অ্যাকাউন্টগুলিতে কার অ্যাক্সেস আছে তা বুঝতে আপনি ক্লাউড অ্যাসেট ইনভেন্টরি API ব্যবহার করতে পারেন। উদাহরণস্বরূপ, ক্লাউড শেল ব্যবহার করে এটি চালান: gcloud asset get-effective-iam-policy --scope=organizations/ORG_ID --names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID ORG_ID : আপনার Google ক্লাউড প্রতিষ্ঠানের আইডি। আরও জানুন PROJECT_ID : পরিষেবা অ্যাকাউন্টটি যে Google ক্লাউড প্রকল্পের অধীনে থাকে তার আইডি। আরও জানুন SERVICE_ACCOUNT_ID : পরিষেবা অ্যাকাউন্টের আইডি। আইডিটি অ্যাডমিন কনসোলের ডোমেন-ওয়াইড ডেলিগেশন পৃষ্ঠায় ক্লায়েন্ট আইডির অধীনে অথবা পরিষেবা অ্যাকাউন্টের ইমেল ঠিকানায় তালিকাভুক্ত করা হয়েছে। আরও জানুন পরিষেবা অ্যাকাউন্টে সরাসরি বা উত্তরাধিকারসূত্রে কার অনুমতি আছে তা বোঝার জন্য iam.serviceAccountTokenCreator বা iam.serviceAccountKeyAdmin মালিক এবং সম্পাদকের মতো অনুমতি বা ভূমিকাগুলি সন্ধান করুন। গুগল ক্লাউড পরিষেবা অ্যাকাউন্টগুলিতে কার অ্যাক্সেস আছে তা বুঝুন

পরিষেবা অ্যাকাউন্টগুলি পরিচালনা এবং সুরক্ষিত করুন

অভ্যন্তরীণ ঝুঁকি থেকে পরিষেবা অ্যাকাউন্টগুলিকে রক্ষা করুন

সম্পর্কিত বিষয়