Các phương pháp hay nhất về việc uỷ quyền trên toàn miền

Là quản trị viên, bạn có thể sử dụng tính năng uỷ quyền trên toàn miền để cho phép các ứng dụng nội bộ và ứng dụng bên thứ ba truy cập vào dữ liệu Google Workspace của người dùng mà không cần có sự đồng ý của người dùng cuối. Để làm việc này, bạn tạo một tài khoản dịch vụ trong bảng điều khiển Google Cloud và uỷ quyền trên toàn miền cho tài khoản đó trong Bảng điều khiển dành cho quản trị viên của Google. Bạn cũng có thể cung cấp các phạm vi API hạn chế cho tài khoản dịch vụ trong Bảng điều khiển dành cho quản trị viên. Để biết thêm thông tin về tính năng uỷ quyền trong toàn miền, hãy xem bài viết Kiểm soát quyền truy cập API bằng tính năng uỷ quyền trong toàn miền.

Quản lý và bảo mật tài khoản dịch vụ

Giải pháp Quản lý danh tính và quyền truy cập (IAM) cung cấp các nguyên tắc sử dụng tài khoản dịch vụ để hạn chế quyền truy cập và bảo vệ khỏi các mối đe doạ leo thang đặc quyền và không thể chối bỏ. Để xem các nguyên tắc, hãy chuyển đến phần Các phương pháp hay nhất để sử dụng tài khoản dịch vụ.

Mặc dù tất cả các đề xuất trong hướng dẫn đều áp dụng để bảo vệ tài khoản dịch vụ sử dụng tính năng uỷ quyền trên toàn miền, nhưng một số phương pháp được nêu bật như sau:

Thay vào đó, hãy sử dụng quyền truy cập trực tiếp vào tài khoản dịch vụ hoặc sự đồng ý của OAuth

Tránh sử dụng tính năng uỷ quyền trên toàn miền nếu bạn có thể hoàn thành nhiệm vụ trực tiếp bằng tài khoản dịch vụ hoặc bằng cách sử dụng sự đồng ý OAuth.

Nếu không thể tránh sử dụng tính năng uỷ quyền trên toàn miền, hãy hạn chế tập hợp các phạm vi OAuth mà tài khoản dịch vụ có thể sử dụng. Mặc dù phạm vi OAuth không hạn chế những người dùng mà tài khoản dịch vụ có thể mạo danh, nhưng chúng hạn chế các loại dữ liệu người dùng mà tài khoản dịch vụ có thể truy cập.

Tránh sử dụng tính năng uỷ quyền trên toàn miền

Hạn chế việc tạo và tải khoá tài khoản dịch vụ lên

Sử dụng chính sách tổ chức để hạn chế việc tạo và tải khoá lên cho tài khoản dịch vụ có uỷ quyền trên toàn miền. Điều này hạn chế việc mạo danh tài khoản dịch vụ thông qua khoá tài khoản dịch vụ.

Không cho phép người dùng tạo hoặc tải khoá tài khoản dịch vụ lên

Tắt tính năng tự động cấp vai trò cho tài khoản dịch vụ mặc định

Theo mặc định, các tài khoản dịch vụ được tạo sẽ được cấp vai trò Người chỉnh sửa. Vai trò này cho phép tài khoản đọc và sửa đổi tất cả các tài nguyên trong dự án Google Cloud. Bạn có thể tắt tính năng tự động cấp vai trò cho tài khoản dịch vụ mặc định để đảm bảo rằng các tài khoản này không tự động nhận được vai trò Người chỉnh sửa và người dùng độc hại không thể dễ dàng khai thác các tài khoản này.

Không sử dụng tính năng cấp vai trò tự động cho tài khoản dịch vụ mặc định

Hạn chế chuyển động ngang

Di chuyển ngang là khi một tài khoản dịch vụ trong một dự án có quyền mạo danh một tài khoản dịch vụ trong một dự án khác. Điều này có thể dẫn đến việc truy cập ngoài ý muốn vào các tài nguyên. Sử dụng "thông tin chi tiết về chuyển động ngang" để phát hiện và hạn chế chuyển động ngang thông qua hành vi mạo danh.

Sử dụng thông tin chi tiết về chuyển động ngang để hạn chế chuyển động ngang

Giới hạn quyền truy cập vào tài khoản dịch vụ bằng tính năng uỷ quyền trên toàn miền

Không cho phép người dùng thay đổi chính sách cho phép của tài khoản dịch vụ nếu tài khoản dịch vụ có nhiều đặc quyền hơn người dùng. Sử dụng vai trò IAM để hạn chế quyền truy cập vào tài khoản dịch vụ có quyền uỷ quyền trên toàn miền.

Tránh để người dùng thay đổi chính sách cho phép của các tài khoản dịch vụ có nhiều đặc quyền hơn

Bảo vệ tài khoản dịch vụ khỏi rủi ro nội bộ

Chỉ sử dụng tính năng uỷ quyền trên toàn miền khi bạn có một trường hợp kinh doanh quan trọng yêu cầu ứng dụng bỏ qua sự đồng ý của người dùng để truy cập vào dữ liệu Google Workspace. Hãy thử các phương án thay thế như OAuth có sự đồng ý của người dùng hoặc sử dụng các ứng dụng trên Marketplace. Để biết thêm thông tin, hãy truy cập vào Google Workspace Marketplace.

Hãy làm theo các phương pháp hay nhất sau đây để bảo vệ tài khoản dịch vụ có đặc quyền uỷ quyền trên toàn miền khỏi rủi ro nội bộ:

Chỉ cấp quyền truy cập vào các đặc quyền thiết yếu

Đảm bảo rằng các tài khoản dịch vụ có tính năng uỷ quyền trên toàn miền chỉ có những đặc quyền cần thiết để thực hiện các chức năng dự kiến. Không cấp quyền truy cập vào các phạm vi OAuth không cần thiết.

Lưu trữ tài khoản dịch vụ trong các dự án riêng biệt trên Google Cloud

Đảm bảo rằng các tài khoản dịch vụ có tính năng uỷ quyền trên toàn miền được lưu trữ trong các dự án chuyên biệt trên Google Cloud. Không sử dụng những dự án đó cho các nhu cầu khác của doanh nghiệp.

Tránh sử dụng khoá tài khoản dịch vụ

Bạn không cần sử dụng khoá tài khoản dịch vụ để thực hiện uỷ quyền trên toàn miền. Thay vào đó, hãy sử dụng API signJwt.

Tránh sử dụng khoá tài khoản dịch vụ cho tính năng uỷ quyền trên toàn miền

Hạn chế quyền truy cập vào các dự án có tính năng uỷ quyền trên toàn miền

Giảm thiểu số người có quyền chỉnh sửa các dự án trên Google Cloud có chế độ uỷ quyền trên toàn miền. Bạn có thể sử dụng Cloud Asset Inventory API để biết những người có quyền truy cập vào tài khoản dịch vụ. Ví dụ: sử dụng Cloud Shell để chạy:

gcloud asset get-effective-iam-policy
--scope=organizations/ORG_ID
--names=//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_ID
  • ORG_ID: Mã tổ chức của bạn trên Google Cloud. Tìm hiểu thêm
  • PROJECT_ID: Mã dự án trên Google Cloud mà tài khoản dịch vụ thuộc về. Tìm hiểu thêm
  • SERVICE_ACCOUNT_ID: Mã nhận dạng của tài khoản dịch vụ. Mã nhận dạng này nằm trong phần Mã ứng dụng khách trên trang uỷ quyền trên toàn miền của Bảng điều khiển dành cho quản trị viên hoặc trong địa chỉ email của tài khoản dịch vụ. Tìm hiểu thêm

Tìm các quyền hoặc vai trò như chủ sở hữu iam.serviceAccountTokenCreator hoặc người chỉnh sửa iam.serviceAccountKeyAdmin để biết ai có quyền trực tiếp hoặc quyền được kế thừa đối với tài khoản dịch vụ.

Tìm hiểu những người có quyền truy cập vào tài khoản dịch vụ Google Cloud