Best Practices für die domainweite Delegierung

Als Administrator können Sie die domainweite Delegierung nutzen, um internen und Drittanbieter-Apps Zugriff auf die Google Workspace-Daten Ihrer Nutzer zu gewähren, ohne die Einwilligung der Endnutzer zu benötigen. Dazu erstellen Sie in der Google Cloud Console ein Dienstkonto und delegieren in der Admin-Konsole die domainweite Berechtigung an das Konto. Sie können dem Dienstkonto in der Admin-Konsole auch eingeschränkte API-Bereiche zuweisen. Weitere Informationen zur domainweiten Delegierung finden Sie im Hilfeartikel Zugriff auf die API mit domainweiter Delegierung verwalten.

Dienstkonten verwalten und schützen

Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) bietet Richtlinien für die Verwendung von Dienstkonten, um den Zugriff einzuschränken und vor Rechteausweitung und Bedrohungen durch Nichtabstreitbarkeit zu schützen. Die Richtlinien finden Sie unter Best Practices für die Verwendung von Dienstkonten.

Alle Empfehlungen in diesem Leitfaden gelten zum Schutz von Dienstkonten, für die die domainweite Delegierung aktiviert ist. Wir haben hier einige Best Practices für Sie zusammengestellt:

Direkten Dienstkonto-Zugriff oder OAuth-Zustimmung verwenden

Vermeiden Sie die Verwendung der domainweiten Delegierung, wenn Sie Ihre Aufgabe direkt mit einem Dienstkonto oder der OAuth-Zustimmung ausführen können.

Wenn Sie die domainweite Delegierung nicht vermeiden können, schränken Sie die Reihe der OAuth-Bereiche ein, die das Dienstkonto verwenden kann. OAuth-Bereiche beschränken zwar nicht, welche Nutzer die Identität des Dienstkontos übernehmen können, aber sie beschränken die Arten von Nutzerdaten, auf die das Dienstkonto zugreifen kann.

Verwenden Sie nie die domainweite Delegierung

Erstellung und Upload von Dienstkontoschlüsseln einschränken

Verwenden Sie Organisationsrichtlinien, um die Erstellung und den Upload von Schlüsseln für Dienstkonten mit domainweiter Delegierung einzuschränken. Dadurch wird die Identitätsübernahme von Dienstkonten über Dienstkontoschlüssel eingeschränkt.

Erlauben Sie es Nutzern nie, Dienstkontoschlüssel zu erstellen oder hochzuladen

Automatische Rollenzuweisungen für Standarddienstkonten deaktivieren

Dienstkonten, die standardmäßig erstellt werden, erhalten die Rolle „Bearbeiter“, die es dem Nutzer des Kontos ermöglicht, alle Ressourcen im Google Cloud-Projekt zu lesen und zu ändern. Sie können automatische Rollenzuweisungen für Standarddienstkonten deaktivieren, damit diese nicht automatisch die Rolle „Bearbeiter“ erhalten und nicht so einfach von böswilligen Nutzern ausgenutzt werden können.

Verwenden Sie nie automatische Rollenzuweisungen für Standarddienstkonten

Lateral Movement begrenzen

Ein „Lateral Movement“ besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Dies kann zu unbeabsichtigtem Zugriff auf Ressourcen führen. Nutzen Sie die Erkenntnisse über Lateral Movement, um Lateral Movement durch Identitätsdiebstahl zu erkennen und einzuschränken.

Mit Statistiken zum "Lateral Movement" das "Lateral Movement" begrenzen

Zugriff auf Dienstkonten mit domainweiter Delegierung einschränken

Nutzern sollten niemals die „allow“-Richtlinie eines Dienstkontos ändern dürfen, das mehr Berechtigungen als der Nutzer hat. Verwenden Sie IAM-Rollen, um den Zugriff auf Dienstkonten mit domainweiter Delegierung einzuschränken.

Nutzern nicht das Ändern der „allow“-Richtlinien von Dienstkonten erlauben, die mehr Berechtigungen als der Nutzer haben

Dienstkonten vor Insider-Risiken schützen

Verwenden Sie die domainweite Delegierung nur dann, wenn es einen kritischen Geschäftsgrund gibt, für den es erforderlich ist, dass eine App die Nutzereinwilligung für den Zugriff auf Google Workspace-Daten umgeht. Probieren Sie Alternativen wie OAuth mit Nutzereinwilligung aus oder verwenden Sie Marketplace-Apps. Weitere Informationen finden Sie unter Google Workspace Marketplace.

Beachten Sie diese Best Practices, um Dienstkonten mit domainweiten Delegierungsberechtigungen vor Insider-Risiken zu schützen:

Nur Zugriff auf die erforderlichen Berechtigungen gewähren

Achten Sie darauf, dass Dienstkonten mit domainweiter Delegierung nur die erforderlichen Berechtigungen haben, um die vorgesehenen Funktionen auszuführen. Gewähren Sie keinen Zugriff auf nicht erforderliche OAuth-Bereiche.

Dienstkonten in dedizierten Google Cloud-Projekten hosten

Achten Sie darauf, dass Dienstkonten mit domainweiter Delegierung in dedizierten Google Cloud-Projekten gehostet werden. Verwenden Sie diese Projekte nicht für andere geschäftliche Zwecke.

Verwendung von Dienstkontoschlüsseln vermeiden

Dienstkontoschlüssel sind für die domainweite Delegierung nicht erforderlich. Verwenden Sie stattdessen die signJwt API.

Keine Dienstkontoschlüssel für die domainweite Delegierung verwenden

Zugriff auf Projekte mit domainweiter Delegierung einschränken

Minimieren Sie die Anzahl der Personen mit Bearbeitungszugriff auf Google Cloud-Projekte, für die die domainweite Delegierung eingerichtet ist. Mit der Cloud Asset Inventory API können Sie nachvollziehen, wer Zugriff auf Dienstkonten hat. Verwenden Sie beispielsweise Cloud Shell, um Folgendes auszuführen:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID: Ihre Google Cloud-Organisations-ID. Weitere Informationen
  • PROJECT_ID: ID des Google Cloud-Projekts, in dem sich das Dienstkonto befindet. Weitere Informationen
  • SERVICE_ACCOUNT_ID: ID des Dienstkontos. Die ID finden Sie in der Admin-Konsole auf der Seite für die domainweite Delegierung unter „Client-ID“ oder in der E-Mail-Adresse des Dienstkontos. Weitere Informationen

Suchen Sie nach Berechtigungen oder Rollen wie Inhaber und Bearbeiter von iam.serviceAccountTokenCreator oder iam.serviceAccountKeyAdmin, um zu sehen, wer direkte oder übernommene Berechtigungen für das Dienstkonto hat.

Nachvollziehen, wer Zugriff auf Google Cloud-Dienstkonten hat