Best practice per la delega a livello di dominio

In qualità di amministratore, puoi utilizzare la delega a livello di dominio per consentire alle app interne e di terze parti di accedere ai dati di Google Workspace dei tuoi utenti, ignorando il bypassando dell'utente finale. Per farlo, crea un service account nella console Google Cloud e delega l'autorità a livello di dominio all'account nella Console di amministrazione Google. Puoi anche fornire gli ambiti API limitati all'account di servizio nella Console di amministrazione. Per saperne di più sulla delega a livello di dominio, consulta Controllare l'accesso all'API con la delega a livello di dominio.

Gestire e proteggere i service account

Identity and Access Management (IAM) fornisce linee guida per l'utilizzo degli account di servizio al fine di limitare l'accesso e proteggere da escalation dei privilegi e minacce di non ripudio. Per esaminare le linee guida, vai a Best practice per l'utilizzo dei service account.

Sebbene tutti i consigli nella guida mirino a proteggere gli account di servizio che utilizzano la delega a livello di dominio, si evidenziano le seguenti pratiche:

Utilizza l'accesso diretto all'account di servizio o il consenso OAuth

Evita di utilizzare la delega a livello di dominio se puoi svolgere l'attività direttamente utilizzando un service account o il consenso OAuth.

Se non puoi evitare di utilizzare la delega a livello di dominio, limita l'insieme di ambiti OAuth che il service account può utilizzare. Anche se gli ambiti OAuth non limitano gli utenti che l'account di servizio può rappresentare tramite simulazione dell'identità, limitano i tipi di dati utente a cui l'account di servizio può accedere.

Evitare di utilizzare la delega a livello di dominio

Limitare la creazione e il caricamento delle chiavi del service account

Utilizza i criteri dell'organizzazione per limitare la creazione e il caricamento delle chiavi per i service account con delega a livello di dominio. Questo limita la simulazione dell'identità degli account di servizio tramite chiavi degli account di servizio.

Non consentire agli utenti di creare o caricare chiavi service account

Disattivare la concessione automatica dei ruoli per i service account predefiniti

Agli account di servizio creati per impostazione predefinita viene concesso il ruolo Editor, che consente all'account di leggere e modificare tutte le risorse nel progetto Google Cloud. Puoi disattivare la concessione automatica dei ruoli per i service account predefiniti per assicurarti che non ottengano automaticamente il ruolo Editor e non possano essere facilmente sfruttati da un utente malintenzionato.

Non utilizzare le concessioni automatiche dei ruoli per i service account predefiniti

Limitare il movimento laterale

Il movimento laterale si verifica quando un service account in un progetto è autorizzato a simulare l'identità di un service account in un altro progetto. Ciò può comportare un accesso involontario alle risorse. Utilizza le "informazioni sul movimento laterale" per rilevare e limitare i movimenti laterali tramite il furto d'identità.

Utilizzare gli approfondimenti sul movimento laterale per limitare il movimento laterale

Limita l'accesso agli account di servizio con delega a livello di dominio

Non consentire a un utente di modificare il criterio di autorizzazione di un service account se il service account ha più privilegi dell'utente. Utilizza i ruoli IAM per limitare l'accesso ai service account con concessioni di delega a livello di dominio.

Evita di consentire agli utenti di modificare i criteri di autorizzazione di service account con più privilegi

Proteggere i service account dai rischi interni

Utilizza la delega a livello di dominio solo quando hai un caso aziendale critico che richiede a un'app di ignorare il consenso dell'utente per accedere ai dati di Google Workspace. Prova alternative come OAuth con il consenso dell'utente o utilizza le app del Marketplace. Per saperne di più, visita Google Workspace Marketplace.

Segui queste best practice per proteggere gli account di servizio con privilegi di delega a livello di dominio da rischi legati al personale interno:

Concedi l'accesso solo ai privilegi essenziali

Assicurati che i service account con delega a livello di dominio dispongano solo dei privilegi essenziali necessari per svolgere le funzioni previste. Non concedere l'accesso agli ambiti OAuth non essenziali.

Ospita i service account in progetti Google Cloud dedicati

Assicurati che i service account con delega a livello di dominio siano ospitati in progetti Google Cloud dedicati. Non utilizzare questi progetti per altre esigenze aziendali.

Evitare di utilizzare chiavi dei service account

L'utilizzo delle chiavi del service account non è necessario per eseguire la delega sull'intero dominio. Utilizza invece l'API signJwt.

Evita di utilizzare le chiavi dei service account per la delega a livello di dominio

Limitare l'accesso ai progetti con delega a livello di dominio

Riduci al minimo il numero di persone con accesso in modifica ai progetti Google Cloud con la delega a livello di dominio configurata. Puoi utilizzare l'API Cloud Asset Inventory per capire chi ha accesso ai service account. Ad esempio, utilizza Cloud Shell per eseguire:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID: l'ID organizzazione Google Cloud. Scopri di più
  • PROJECT_ID: ID del progetto Google Cloud in cui si trova l'account di servizio. Scopri di più
  • SERVICE_ACCOUNT_ID: l'ID del service account. L'ID è indicato nell'ID client nella pagina della delega a livello di dominio della Console di amministrazione oppure nell'indirizzo email dell'account di servizio. Scopri di più

Cerca autorizzazioni o ruoli come proprietario ed editor di iam.serviceAccountTokenCreator o iam.serviceAccountKeyAdmin per capire chi ha le autorizzazioni dirette o ereditate per il service account.

Informazioni su chi ha accesso agli account di servizio Google Cloud