Como administrador, puedes usar la delegación para todo el dominio y permitir que las apps internas y de terceros accedan a los datos de Google Workspace de tus usuarios sin necesidad de obtener el consentimiento del usuario final. Para ello, crea una cuenta de servicio en la consola de Google Cloud y delega la autoridad en todo el dominio a la cuenta en la consola del administrador de Google. También puedes proporcionar alcances de API limitados a la cuenta de servicio en la Consola del administrador. Para obtener más información sobre la delegación de todo el dominio, consulta Controla el acceso a la API con la delegación de todo el dominio.
Administra y protege cuentas de servicio
Identity and Access Management (IAM) proporciona lineamientos para usar cuentas de servicio y limitar el acceso, y protegerse contra las amenazas de elevación de privilegios y no repudio. Para revisar los lineamientos, consulta Prácticas recomendadas para usar cuentas de servicio.
Si bien todas las recomendaciones de la guía se aplican para proteger las cuentas de servicio que usan la delegación de todo el dominio, algunas prácticas destacadas son las siguientes:
 |
Usa el acceso directo a la cuenta de servicio o el consentimiento de OAuth en su lugar Evita usar la delegación de todo el dominio si puedes realizar la tarea directamente con una cuenta de servicio o mediante el consentimiento de OAuth. Si no puedes evitar el uso de la delegación de todo el dominio, restringe el conjunto de permisos de OAuth que puede usar la cuenta de servicio. Aunque los permisos de OAuth no restringen los usuarios en cuyo nombre puede actuar la cuenta de servicio, sí restringen los tipos de datos del usuario a los que puede acceder la cuenta de servicio. |
|
|
Restringe la creación y carga de claves de cuentas de servicio Usa políticas de la organización para restringir la creación y carga de claves para cuentas de servicio con delegación de todo el dominio. Esto limita la suplantación de cuentas de servicio a través de claves de cuentas de servicio. No permitas que los usuarios creen o suban claves de cuenta de servicio |
|
|
Inhabilita el otorgamiento automático de roles para las cuentas de servicio predeterminadas A las cuentas de servicio que se crean de forma predeterminada se les otorga el rol de Editor, lo que permite que la cuenta lea y modifique todos los recursos del proyecto de Google Cloud. Puedes inhabilitar las asignaciones de roles automáticas para las cuentas de servicio predeterminadas y, así, asegurarte de que no obtengan automáticamente el rol de Editor y de que un usuario malicioso no pueda aprovecharlas fácilmente. No uses asignaciones de roles automáticas para las cuentas de servicio predeterminadas |
|
|
Limita el movimiento lateral El movimiento lateral es cuando una cuenta de servicio en un proyecto tiene permiso para actuar en nombre de una cuenta de servicio en otro proyecto. Esto puede generar un acceso no intencionado a los recursos. Usa las "estadísticas de movimiento lateral" para detectar y limitar el movimiento lateral a través de la suplantación de identidad. Usa las estadísticas de movimiento lateral para limitar el movimiento lateral |
|
|
Limita el acceso a las cuentas de servicio con delegación de todo el dominio No permitas que un usuario cambie la política de permisos de una cuenta de servicio si esta tiene más privilegios que el usuario. Usa roles de IAM para limitar el acceso a las cuentas de servicio con concesiones de delegación para todo el dominio. |
Protege las cuentas de servicio del riesgo interno
Usa la delegación en todo el dominio solo cuando tengas un caso comercial crítico que requiera que una app omita el consentimiento del usuario para acceder a los datos de Google Workspace. Prueba alternativas, como OAuth con consentimiento del usuario, o usa apps de Marketplace. Para obtener más información, consulta Google Workspace Marketplace.
Sigue estas prácticas recomendadas para proteger las cuentas de servicio con privilegios de delegación de todo el dominio del riesgo interno:
|
|
Otorga acceso solo a los privilegios esenciales Asegúrate de que las cuentas de servicio con delegación para todo el dominio solo tengan los privilegios esenciales necesarios para realizar sus funciones previstas. No otorgues acceso a permisos de OAuth no esenciales. |
|
|
Aloja cuentas de servicio en proyectos dedicados de Google Cloud Asegúrate de que las cuentas de servicio con delegación en todo el dominio estén alojadas en proyectos dedicados de Google Cloud. No uses esos proyectos para otras necesidades comerciales. |
|
|
Evita usar claves de cuentas de servicio No es necesario usar claves de cuentas de servicio para realizar la delegación de todo el dominio. En su lugar, usa la API de signJwt. Evita usar claves de cuenta de servicio para la delegación de todo el dominio |
|
|
Restringe el acceso a los proyectos que tienen delegación para todo el dominio Minimiza la cantidad de personas que tienen acceso de edición a los proyectos de Google Cloud con la delegación en todo el dominio configurada. Puedes usar la API de Cloud Asset Inventory para comprender quién tiene acceso a las cuentas de servicio. Por ejemplo, usa Cloud Shell para ejecutar el siguiente comando:
Busca permisos o roles como Comprende quién tiene acceso a las cuentas de servicio de Google Cloud |