Alan genelinde yetkiyle ilgili en iyi uygulamalar

Yönetici olarak, dahili ve üçüncü taraf uygulamaların son kullanıcı iznini atlayarak kullanıcılarınızın Google Workspace verilerine erişmesine izin vermek için alan genelinde yetkilendirmeden yararlanabilirsiniz. Bunun için Google Cloud Console'da bir hizmet hesabı oluşturur ve Google Yönetici Konsolunuzda bu hesaba alan genelinde yetki verirsiniz. Yönetici Konsolu'nda hizmet hesabına sınırlı API kapsamları da sağlayabilirsiniz. Alan genelinde yetki hakkında daha fazla bilgi edinmek için Alan genelinde yetkiyle API erişimini kontrol etme başlıklı makaleyi inceleyin.

Hizmet hesaplarını yönetme ve hesapların güvenliğini sağlama

Identity and Access Management (IAM), erişimi sınırlandırmak ve ayrıcalık artırma ile inkar edilmeyen tehditlere karşı koruma sağlamak için hizmet hesaplarının kullanımıyla ilgili yönergeler sağlar. Yönergeleri incelemek için Hizmet hesaplarının kullanımına ilişkin en iyi uygulamalar başlıklı makaleyi inceleyin. 

Kılavuzdaki tüm öneriler, alan genelinde yetki kullanan hizmet hesaplarını korumak için geçerli olsa da öne çıkan uygulamalardan bazıları şunlardır:

Bunun yerine doğrudan hizmet hesabı erişimi veya OAuth izni kullanın

Görevinizi doğrudan bir hizmet hesabı veya OAuth izni kullanarak gerçekleştirebiliyorsanız alan genelinde yetki kullanmaktan kaçının.

Alan genelinde yetki kullanmaktan kaçınamıyorsanız hizmet hesabının kullanabileceği OAuth kapsamları grubunu kısıtlayabilirsiniz. OAuth kapsamları, hizmet hesabının kimliğine bürünebilecek kullanıcıları kısıtlamasa da hizmet hesabının erişebileceği kullanıcı verisi türlerini kısıtlar.

Alan genelinde yetki kullanmaktan kaçının

Hizmet hesabı anahtarı oluşturmayı ve yüklemeyi kısıtlayın

Alan genelinde yetkiyle hizmet hesapları için anahtar oluşturma ve yüklemeyi kısıtlamak için kuruluş politikalarını kullanın. Bu, hizmet hesabı anahtarları üzerinden hizmet hesabı kimliğine bürünmeyi sınırlar.

Kullanıcıların hizmet hesabı anahtarları oluşturmasına veya yüklemesine izin vermeyin

Varsayılan hizmet hesapları için otomatik rol atamalarını devre dışı bırakın

Varsayılan olarak oluşturulan hizmet hesaplarına Düzenleyici rolü verilir. Bu rol, hesabın Google Cloud projesindeki tüm kaynakları okumasına ve değiştirmesine izin verir. Varsayılan hizmet hesaplarının otomatik olarak Düzenleyici rolüne sahip olmasını ve kötü amaçlı kullanıcılar tarafından kötüye kullanılmasını sağlamak için bu hesaplara otomatik rol vermelerini devre dışı bırakabilirsiniz. 

Varsayılan hizmet hesapları için otomatik rol izinlerini kullanmayın

Eş düzey hareketi sınırlayın

Eş düzey hareket, bir projedeki hizmet hesabının başka bir projedeki hizmet hesabının kimliğine bürünme iznine sahip olmasıdır. Bu durum, kaynaklara istenmeyen erişimle sonuçlanabilir. Kimliğe bürünme yoluyla eş düzey hareketi tespit edip sınırlandırmak için "eş düzey hareket analizleri"ni kullanın. 

Eş düzey hareketi sınırlandırmak için eş düzey hareket analizlerini kullanın

Alan genelinde yetkiyle hizmet hesaplarına erişimi sınırlayın

Hizmet hesabının kullanıcıdan daha fazla ayrıcalığı varsa kullanıcının, hizmet hesabının izin verme politikasını değiştirmesine izin vermeyin. Alan genelinde yetki izinleriyle hizmet hesaplarına erişimi sınırlamak için IAM rollerini kullanın. 

Kullanıcıların, daha ayrıcalıklı hizmet hesaplarının izin verme politikalarını değiştirmesine izin vermekten kaçının

Hizmet hesaplarını kuruluş içi risklere karşı koruma

Alan genelinde yetkiyi, yalnızca bir uygulamanın Google Workspace verilerine erişmek için kullanıcı iznini atlamasını gerektiren kritik bir iş gerekçeniz olduğunda kullanın. Kullanıcı izniyle OAuth gibi alternatifleri deneyin veya Marketplace uygulamalarını kullanın. Daha fazla bilgi için Google Workspace Marketplace başlıklı makaleyi inceleyin. 

Alan genelinde yetki ayrıcalıklarına sahip hizmet hesaplarını kuruluş içi risklere karşı korumak için aşağıdaki en iyi uygulamaları izleyin:

Yalnızca temel ayrıcalıklara erişim izni verin

Alan genelinde yetkiye sahip hizmet hesaplarının, yalnızca istenen işlevleri gerçekleştirmek için gereken temel ayrıcalıklara sahip olduğundan emin olun. Gerekli olmayan OAuth kapsamlarına erişim izni vermeyin.

Hizmet hesaplarını özel Google Cloud projelerinde barındırın

Alan genelinde yetki sahibi hizmet hesaplarının özel Google Cloud projelerinde barındırıldığından emin olun. Bu projeleri başka iş ihtiyaçları için kullanmayın.

Hizmet hesabı anahtarları kullanmaktan kaçının

Alan genelinde yetki vermek için hizmet hesabı anahtarlarının kullanılması gerekmez. Bunun yerine signJwt API'yi kullanın. 

Alan genelinde yetki için hizmet hesabı anahtarlarını kullanmaktan kaçının

Alan genelinde yetkiye sahip projelere erişimi kısıtlayın

Alan genelinde yetki ayarlarını kullanarak Google Cloud projelerine düzenleme erişimi olan kullanıcı sayısını en aza indirin. Hizmet hesaplarına kimlerin erişebildiğini anlamak için Cloud Asset Inventory API'yi kullanabilirsiniz. Örneğin, Cloud Shell'i kullanarak şu komutu çalıştırın:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: Google Cloud kuruluş kimliğiniz. Daha fazla bilgi
  • PROJECT_ID: Hizmet hesabının ait olduğu Google Cloud projesinin kimliği. Daha fazla bilgi
  • SERVICE_ACCOUNT_ID: Hizmet hesabının kimliği. Kimlik, Yönetici Konsolu'nun alan genelinde yetki sayfasındaki İstemci Kimliği bölümünde veya hizmet hesabının e-posta adresinde listelenir. Daha fazla bilgi

Hizmet hesabında doğrudan veya devralınan izinlere kimlerin sahip olduğunu anlamak için iam.serviceAccountTokenCreator ya da iam.serviceAccountKeyAdmin sahibi ve düzenleyicisi gibi izin veya rolleri arayın.

Google Cloud hizmet hesaplarına erişebilecek kullanıcıları anlayın

İlgili konular

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?

Daha fazla yardıma mı ihtiyacınız var?

Bir sonraki adımları deneyin:

Yardım topluluğunda yayınlayın Topluluk üyelerinden sorularınıza cevap alın
Bize ulaşın Bize daha fazla bilgi verin, size yardımcı olalım
true
14 günlük ücretsiz deneme sürümünüzü hemen kullanmaya başlayın

Profesyonel e-posta, çevrimiçi depolama, paylaşılan takvimler, video toplantılar ve daha fazlası. G Suite ücretsiz deneme sürümünüzü hemen kullanmaya başlayın.

Arama
Aramayı temizle
Aramayı kapat
Ana menü
5515725154953043242
true
Yardım Merkezinde Arayın
true
true
true
true
true
73010
false
false