Найкращі методи делегування повноважень на рівні домену

Адміністратори можуть застосовувати делегування повноважень на рівні домену, щоб дозволити внутрішнім і стороннім додаткам отримувати доступ до даних Google Workspace ваших користувачів, не запитуючи їхню згоду. Для цього ви створюєте сервісний обліковий запис у консолі Google Cloud і делегуєте обліковому запису повноваження на рівні домену в Консолі адміністратора Google. Ви також можете надати обмежені області дії API для сервісного облікового запису в Консолі адміністратора. Щоб дізнатися більше про делегування повноважень на рівні домену, прочитайте цю статтю.

Як керувати сервісними обліковими записами й захищати їх

Керування ідентифікацією і доступом (IAM) надає вказівки щодо використання сервісних облікових записів для обмеження доступу й захисту від підвищення повноважень і загроз невідмови. Щоб переглянути вказівки, перейдіть до практичних порад щодо використання сервісних облікових записів

Для захисту сервісних облікових записів, які використовують делегування повноважень на рівні домену, застосовуються всі рекомендації в посібнику, але нижче наведено особливо важливі.

За можливості використовуйте прямий доступ до сервісного облікового запису або згоду OAuth, а не делегування повноважень

Не використовуйте делегування повноважень на рівні домену, якщо ви можете виконати завдання безпосередньо за допомогою сервісного облікового запису або запиту згоди OAuth.

Якщо ви не можете уникнути делегування повноважень на рівні домену, обмежте набір областей дії OAuth, які може використовувати сервісний обліковий запис. Хоча області дії OAuth не обмежують коло користувачів, від імені яких може діяти сервісний обліковий запис, вони обмежують типи даних, до яких сервісний обліковий запис може отримати доступ.

Уникайте делегування повноважень на рівні домену

Забороніть створення й завантаження ключів сервісного облікового запису

Налаштуйте правила організації так, щоб заборонити створення й завантаження ключів для сервісних облікових записів, яким делеговано повноваження в домені. Це обмежить можливість виконання дій від імені сервісних облікових записів за допомогою їх ключів.

Забороніть користувачам створювати або завантажувати ключі сервісних облікових записів

Вимкніть автоматичне надання ролей для сервісних облікових записів за умовчанням

Сервісним обліковим записам, створеним за умовчанням, надається роль редактора, яка дозволяє обліковому запису читати й змінювати всі ресурси в проекті Google Cloud. Ви можете вимкнути автоматичне надання ролей для сервісних облікових записів за умовчанням, щоб вони не отримували роль редактора автоматично. Завдяки цьому зловмисникам буде важче ними скористатися. 

Не використовуйте автоматичне надання ролей для сервісних облікових записів за умовчанням

Обмежте горизонтальне переміщення

Горизонтальне переміщення — право сервісного облікового запису в одному проекті діяти від імені сервісного облікового запису в іншому проекті. При цьому може виникнути ризик несанкціонованого доступу до ресурсів. Використовуйте звіти про горизонтальне переміщення, щоб виявляти й обмежувати такі можливості. 

Використовуйте звіти про горизонтальне переміщення, щоб обмежити його

Обмежте доступ до сервісних облікових записів, яким делеговано повноваження в домені

Не дозволяйте користувачеві змінювати правила дозволів для сервісного облікового запису, якщо в цього облікового запису більше повноважень, ніж у користувача. Обмежте доступ до сервісних облікових записів, яким делеговано повноваження в домені, за допомогою ролей IAM. 

Забороніть користувачам змінювати правила дозволів для сервісних облікових записів, у яких більше повноважень, ніж у цих користувачів

Захистіть сервісні облікові записи від внутрішніх загроз

Застосовуйте делегування повноважень у домені, лише якщо це вкрай необхідно, щоб додаток міг отримати доступ до даних Google Workspace без згоди користувача. Спробуйте альтернативні рішення, наприклад OAuth зі згодою користувача або додатки з каталогу Marketplace. Щоб дізнатися більше, перегляньте статтю про Google Workspace Marketplace

Щоб захистити від внутрішніх загроз сервісні облікові записи, яким делеговано повноваження в усьому домені, дотримуйтесь перелічених рекомендацій.

Надавайте мінімальний необхідний набір прав

Переконайтеся, що сервісні облікові записи, яким делеговано повноваження в домені, мають лише ті права, що необхідні для виконання функцій, для яких їх було створено. Не надавайте доступ до несуттєвих областей дії OAuth.

Розміщуйте сервісні облікові записи в спеціальних проектах Google Cloud

Переконайтеся, що сервісні облікові записи, яким делеговано повноваження в домені, розміщено в окремих проектах Google Cloud. Не використовуйте ці проекти для інших цілей.

Не використовуйте ключі сервісних облікових записів

Використовувати ключі сервісного облікового запису для делегування повноважень у домені необов’язково. Натомість застосовуйте signJwt API. 

Не використовуйте ключі сервісних облікових записів для делегування повноважень у домені

Обмежте доступ до проектів, які мають делегування повноважень у домені

Надайте права редагування проектів Google Cloud із делегуванням повноважень у домені мінімальній необхідній кількості користувачів. Дізнатися, у кого є доступ до сервісних облікових записів, можна за допомогою Cloud Asset Inventory API. Наприклад, у Cloud Shell виконайте таку команду:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: ваш ідентифікатор організації Google Cloud. Докладніше
  • PROJECT_ID: ідентифікатор проекту Google Cloud, у якому розташовується сервісний обліковий запис. Докладніше
  • SERVICE_ACCOUNT_ID: ідентифікатор сервісного облікового запису. Його вказано в Консолі адміністратора в розділі "Ідентифікатор клієнта" на сторінці делегування повноважень у домені або в електронній адресі сервісного облікового запису. Докладніше

Зверніть увагу на дозволи або ролі власника й редактора, наприклад iam.serviceAccountTokenCreator або iam.serviceAccountKeyAdmin, щоб зрозуміти, у кого є прямі або успадковані права на використання сервісного облікового запису.

З’ясуйте, хто має доступ до сервісних облікових записів Google Cloud

Пов’язані теми

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
2078357364352803624
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false
false
false