بهترین شیوه‌های واگذاری اختیار در سطح دامنه

به عنوان یک مدیر، می‌توانید از واگذاری اختیارات در سطح دامنه استفاده کنید تا به برنامه‌های داخلی و شخص ثالث اجازه دهید به داده‌های Google Workspace کاربران شما دسترسی داشته باشند و رضایت کاربر نهایی را دور بزنند. برای انجام این کار، یک حساب کاربری در کنسول Google Cloud ایجاد می‌کنید و اختیارات در سطح دامنه را به حساب کاربری در کنسول Google Admin خود واگذار می‌کنید. همچنین می‌توانید در کنسول Admin، محدوده‌های API محدودی را به حساب کاربری سرویس ارائه دهید. برای اطلاعات بیشتر در مورد واگذاری اختیارات در سطح دامنه، به بخش کنترل دسترسی API با واگذاری اختیارات در سطح دامنه مراجعه کنید.

مدیریت و ایمن‌سازی حساب‌های سرویس

مدیریت هویت و دسترسی (IAM) دستورالعمل‌هایی برای استفاده از حساب‌های سرویس به منظور محدود کردن دسترسی و محافظت در برابر افزایش امتیاز و تهدیدات عدم انکار ارائه می‌دهد. برای مرور دستورالعمل‌ها، به بهترین شیوه‌ها برای استفاده از حساب‌های سرویس مراجعه کنید.

اگرچه تمام توصیه‌های این راهنما برای محافظت از حساب‌های خدماتی که از نمایندگی در سطح دامنه استفاده می‌کنند، اعمال می‌شود، برخی از شیوه‌های برجسته به شرح زیر است:

به جای آن از دسترسی مستقیم به حساب سرویس یا رضایت OAuth استفاده کنید

اگر می‌توانید وظیفه خود را مستقیماً با استفاده از یک حساب کاربری سرویس یا با استفاده از رضایت OAuth انجام دهید، از واگذاری اختیار در سطح دامنه خودداری کنید.

اگر نمی‌توانید از استفاده از واگذاری اختیار در سطح دامنه اجتناب کنید، مجموعه دامنه‌های OAuth را که حساب سرویس می‌تواند از آنها استفاده کند، محدود کنید. اگرچه دامنه‌های OAuth کاربرانی را که حساب سرویس می‌تواند جعل هویت کند محدود نمی‌کنند، اما انواع داده‌های کاربری را که حساب سرویس می‌تواند به آنها دسترسی داشته باشد، محدود می‌کنند.

از استفاده از نمایندگی در سطح دامنه خودداری کنید

ایجاد و آپلود کلید حساب سرویس را محدود کنید

از سیاست‌های سازمانی برای محدود کردن ایجاد و آپلود کلید برای حساب‌های سرویس با واگذاری اختیارات در سطح دامنه استفاده کنید. این کار جعل هویت حساب سرویس از طریق کلیدهای حساب سرویس را محدود می‌کند.

به کاربران اجازه ایجاد یا آپلود کلیدهای حساب سرویس را ندهید

غیرفعال کردن اعطای خودکار نقش برای حساب‌های سرویس پیش‌فرض

حساب‌های خدماتی که به طور پیش‌فرض ایجاد می‌شوند، نقش ویرایشگر (Editor) را دریافت می‌کنند که به حساب اجازه می‌دهد تمام منابع موجود در پروژه Google Cloud را بخواند و تغییر دهد. می‌توانید اعطای خودکار نقش را برای حساب‌های خدماتی پیش‌فرض غیرفعال کنید تا مطمئن شوید که آنها به طور خودکار نقش ویرایشگر را دریافت نمی‌کنند و به راحتی توسط یک کاربر مخرب قابل سوءاستفاده نیستند.

از اعطای خودکار نقش برای حساب‌های سرویس پیش‌فرض استفاده نکنید

محدود کردن حرکت جانبی

حرکت جانبی زمانی است که یک حساب کاربری سرویس در یک پروژه اجازه دارد خود را به جای یک حساب کاربری سرویس در پروژه دیگر جا بزند. این می‌تواند منجر به دسترسی ناخواسته به منابع شود. از «بینش‌های حرکت جانبی» برای شناسایی و محدود کردن حرکت جانبی از طریق جعل هویت استفاده کنید.

از بینش‌های حرکت جانبی برای محدود کردن حرکت جانبی استفاده کنید

محدود کردن دسترسی به حساب‌های سرویس با استفاده از واگذاری اختیارات در سطح دامنه

اگر حساب سرویس مجوزهای بیشتری نسبت به کاربر دارد، به کاربر اجازه ندهید سیاست اجازه دسترسی به آن حساب سرویس را تغییر دهد. از نقش‌های IAM برای محدود کردن دسترسی به حساب‌های سرویس با اعطای نمایندگی در سطح دامنه استفاده کنید.

از اجازه دادن به کاربران برای تغییر سیاست‌های مجاز حساب‌های خدماتی با امتیاز بیشتر خودداری کنید.

محافظت از حساب‌های کاربری سرویس در برابر خطرات داخلی

فقط زمانی از واگذاری اختیار در سطح دامنه استفاده کنید که یک پرونده تجاری حیاتی دارید که نیاز دارد یک برنامه برای دسترسی به داده‌های Google Workspace، رضایت کاربر را نادیده بگیرد. گزینه‌های دیگری مانند OAuth را با رضایت کاربر امتحان کنید یا از برنامه‌های Marketplace استفاده کنید. برای اطلاعات بیشتر، به Google Workspace Marketplace مراجعه کنید.

برای محافظت از حساب‌های کاربری سرویس با امتیازات واگذاری در سطح دامنه در برابر خطرات داخلی، از این شیوه‌های برتر پیروی کنید:

فقط به امتیازات ضروری دسترسی بدهید

اطمینان حاصل کنید که حساب‌های کاربری سرویس با واگذاری اختیارات در سطح دامنه، فقط مجوزهای ضروری مورد نیاز برای انجام وظایف مورد نظر خود را دارند. به دامنه‌های OAuth غیرضروری دسترسی ندهید.

حساب‌های سرویس میزبانی در پروژه‌های اختصاصی Google Cloud

مطمئن شوید که حساب‌های کاربری سرویس با قابلیت واگذاری دامنه در پروژه‌های اختصاصی Google Cloud میزبانی می‌شوند. از این پروژه‌ها برای سایر نیازهای تجاری استفاده نکنید.

از استفاده از کلیدهای حساب سرویس خودداری کنید

استفاده از کلیدهای حساب سرویس برای انجام واگذاری در سطح دامنه ضروری نیست. به جای آن از API signJwt استفاده کنید.

از استفاده از کلیدهای حساب سرویس برای واگذاری اختیارات در سطح دامنه خودداری کنید

محدود کردن دسترسی به پروژه‌هایی که دارای نمایندگی در سطح دامنه هستند

با تنظیم واگذاری اختیارات در سطح دامنه، تعداد افرادی که دسترسی ویرایش به پروژه‌های Google Cloud دارند را به حداقل برسانید. می‌توانید از API موجودی دارایی‌های ابری (Cloud Asset Inventory API) برای فهمیدن اینکه چه کسی به حساب‌های سرویس دسترسی دارد، استفاده کنید. به عنوان مثال، از Cloud Shell برای اجرای موارد زیر استفاده کنید: 

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID : شناسه سازمان Google Cloud شما. اطلاعات بیشتر
  • PROJECT_ID : شناسه پروژه Google Cloud که حساب سرویس تحت آن قرار دارد. اطلاعات بیشتر
  • SERVICE_ACCOUNT_ID : شناسه حساب سرویس. این شناسه در زیر شناسه کلاینت در صفحه واگذاری دامنه در کنسول مدیریت یا در آدرس ایمیل حساب سرویس فهرست شده است. اطلاعات بیشتر

به دنبال مجوزها یا نقش‌هایی مانند iam.serviceAccountTokenCreator یا مالک و ویرایشگر iam.serviceAccountKeyAdmin باشید تا بفهمید چه کسی مجوزهای مستقیم یا ارثی به حساب سرویس دارد.

بفهمید چه کسی به حساب‌های سرویس Google Cloud دسترسی دارد