שיטות מומלצות להענקת גישה ברמת הדומיין

שימוש בגישה ישירה לחשבון שירות או בהסכמה ל-OAuth

אם אתם יכולים לבצע את המשימה ישירות באמצעות חשבון שירות או באמצעות הסכמה ל-OAuth, רצוי להימנע משימוש בהענקת הרשאות גישה ברמת הדומיין.

אם אתם לא יכולים להימנע משימוש בהענקת הרשאות גישה ברמת הדומיין, אפשר להגביל את קבוצת היקפי ההרשאות של OAuth שאפשר להשתמש בהם בחשבון השירות. היקפי ההרשאות של OAuth לא מגבילים את המשתמשים שחשבון השירות יכול להתחזות אליהם, אבל הם מגבילים את הסוגים של נתוני המשתמשים שלחשבון השירות יש גישה אליהם.

להימנע משימוש במתן הרשאות גישה ברמת הדומיין

הגבלת יצירה והעלאה של מפתחות לחשבון שירות

משתמשים במדיניות הארגון כדי להגביל את יצירת המפתחות וההעלאה שלהם לחשבונות שירות עם הענקת גישה ברמת הדומיין. ההגדרה הזו מגבילה את ההתחזות לחשבון שירות באמצעות מפתחות של חשבונות שירות.

לא מאפשרים למשתמשים ליצור או להעלות מפתחות לחשבונות שירות

השבתה של הענקת תפקידים אוטומטית לחשבונות שירות שמוגדרים כברירת מחדל

חשבונות שירות שנוצרים כברירת מחדל מקבלים את התפקיד 'עריכה', שמאפשר לחשבון לקרוא ולשנות את כל המשאבים בפרויקט ב-Google Cloud. כדי לוודא שחשבונות שירות שמוגדרים כברירת מחדל לא מקבלים באופן אוטומטי את התפקיד'עריכה' ומשתמש זדוני לא יכול לנצל אותם בקלות, אפשר להשבית את מתן התפקידים האוטומטי לחשבונות האלה.

לא משתמשים במתן תפקידים אוטומטי בחשבונות שירות שהוגדרו כברירת מחדל

הגבלת תנועה רוחבית

תנועה רוחבית קורית כשלחשבון שירות בפרויקט אחד יש הרשאה להתחזות לחשבון שירות בפרויקט אחר. זה עלול לגרום לגישה לא מכוונת למשאבים. משתמשים בתובנות לגבי תנועה רוחבית כדי לזהות ולהגביל תנועה רוחבית באמצעות התחזות.

שימוש בתובנות לגבי תנועה רוחבית כדי להגביל תנועה רוחבית

הגבלת הגישה לחשבונות שירות עם הקצאת הרשאות ברמת הדומיין

אם לחשבון השירות יש יותר הרשאות מלמשתמש, אל תאפשרו לו לשנות את כללי מדיניות ההרשאות של חשבון השירות. משתמשים בתפקידי IAM כדי להגביל את הגישה לחשבונות שירות עם הרשאות להענקת גישה ברמת הדומיין.

אסור לאפשר למשתמשים לשנות את כללי מדיניות ההרשאות של חשבונות שירות שיש להם הרשאות גבוהות יותר

מתן גישה רק להרשאות חיוניות

חשוב לוודא שלחשבונות שירות עם הענקת גישה ברמת הדומיין יש רק את ההרשאות החיוניות שנדרשות לביצוע הפונקציות שהם מיועדים להן. אל תעניקו גישה להיקפי הרשאות לא חיוניים של OAuth.

אירוח חשבונות שירות בפרויקטים ייעודיים ב-Google Cloud

מוודאים שחשבונות שירות עם הרשאות גישה ברמת הדומיין מאוחסנים בפרויקטים ייעודיים ב-Google Cloud. אל תשתמשו בפרויקטים האלה לצרכים עסקיים אחרים.

להימנע משימוש במפתחות של חשבונות שירות

לא נדרש להשתמש במפתחות של חשבונות שירות כדי להעניק גישה ברמת הדומיין. במקום זאת, צריך להשתמש ב-signJwt API.

להימנע משימוש במפתחות של חשבונות שירות להענקת גישה ברמת הדומיין

הגבלת הגישה לפרויקטים שמוגדר בהם מתן הרשאות גישה ברמת הדומיין

צריך לצמצם את מספר האנשים שיש להם גישת עריכה לפרויקטים ב-Google Cloud עם הגדרת הרשאת גישה ברמת הדומיין. אתם יכולים להשתמש ב-Cloud Asset Inventory API כדי להבין למי יש גישה לחשבונות שירות. לדוגמה, אפשר להשתמש ב-Cloud Shell כדי להריץ את הפקודה:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID

• ‫ORG_ID: מזהה הארגון ב-Google Cloud. מידע נוסף
• ‫PROJECT_ID: מזהה הפרויקט ב-Google Cloud שחשבון השירות משויך אליו. מידע נוסף
• ‫SERVICE_ACCOUNT_ID: המזהה של חשבון השירות. המזהה מופיע בקטע Client ID בדף 'הענקת הרשאות גישה ברמת הדומיין' במסוף Admin, או בכתובת האימייל של חשבון השירות. מידע נוסף

מחפשים הרשאות או תפקידים כמו iam.serviceAccountTokenCreator או iam.serviceAccountKeyAdmin בעלים ועורך כדי להבין למי יש הרשאות ישירות או הרשאות שעברו בירושה לחשבון השירות.

הבנת הגישה לחשבונות שירות ב-Google Cloud