Praktik terbaik delegasi tingkat domain

Sebagai administrator, Anda dapat menggunakan delegasi tingkat domain untuk mengizinkan aplikasi internal dan pihak ketiga mengakses data Google Workspace pengguna, dengan mengabaikan izin pengguna akhir. Untuk melakukannya, buat akun layanan di konsol Google Cloud dan delegasikan otoritas tingkat domain ke akun di konsol Google Admin. Anda juga dapat memberikan cakupan API terbatas ke akun layanan di konsol Admin. Untuk mengetahui informasi selengkapnya tentang delegasi tingkat domain, buka Mengontrol akses API dengan delegasi tingkat domain.

Mengelola dan mengamankan akun layanan

Identity and Access Management (IAM) memberikan panduan penggunaan akun layanan untuk membatasi akses dan melindungi dari ancaman non-repudiasi dan eskalasi akses. Untuk meninjau panduan, buka Praktik terbaik penggunan akun layanan

Meskipun semua rekomendasi dalam panduan berlaku untuk melindungi akun layanan yang menggunakan delegasi tingkat domain, beberapa praktik yang disoroti adalah sebagai berikut:

Gunakan akses akun layanan langsung atau izin OAuth

Hindari penggunaan delegasi tingkat domain jika Anda dapat menyelesaikan tugas secara langsung menggunakan akun layanan atau izin OAuth.

Jika Anda tidak dapat menghindari penggunaan delegasi tingkat domain, batasi kumpulan cakupan OAuth yang dapat digunakan akun layanan. Meskipun cakupan OAuth tidak membatasi pengguna yang dapat ditiru identitasnya oleh akun layanan, cakupan tersebut membatasi jenis data pengguna yang dapat diakses oleh akun layanan.

Menghindari penggunaan delegasi tingkat domain

Batasi upload dan pembuatan kunci akun layanan

Gunakan kebijakan organisasi untuk membatasi upload dan pembuatan kunci untuk akun layanan dengan delegasi tingkat domain. Hal ini membatasi peniruan akun layanan melalui kunci akun layanan.

Jangan izinkan pengguna membuat atau mengupload kunci akun layanan

Nonaktifkan pemberian peran otomatis ​​untuk akun layanan default

Akun layanan yang dibuat secara default diberi peran Editor, sehingga memungkinkan akun tersebut membaca dan mengubah semua resource dalam project Google Cloud. Anda dapat menonaktifkan pemberian peran otomatis untuk akun layanan default guna memastikan bahwa akun tersebut tidak secara otomatis mendapatkan peran Editor dan tidak dapat dimanfaatkan dengan mudah oleh pengguna berbahaya. 

Jangan gunakan pemberian peran otomatis untuk akun layanan default

Batasi pergerakan lateral

Pergerakan lateral adalah ketika akun layanan dalam satu project memiliki izin untuk meniru akun layanan di project lain. Hal ini dapat mengakibatkan akses yang tidak diinginkan ke resource. Gunakan "data pergerakan lateral" untuk mendeteksi dan membatasi pergerakan lateral melalui peniruan identitas. 

Menggunakan insight gerakan lateral untuk membatasi pergerakan lateral

Batasi akses ke akun layanan dengan delegasi tingkat domain

Jangan biarkan pengguna mengubah kebijakan izinkan akun layanan jika akun layanan memiliki lebih banyak hak istimewa daripada pengguna. Gunakan peran IAM untuk membatasi akses ke akun layanan dengan pemberian delegasi seluruh domain. 

Jangan berikan izin kepada pengguna untuk mengubah kebijakan izin akun layanan dengan hak istimewa lebih

Melindungi akun layanan dari risiko pihak internal

Gunakan delegasi tingkat domain hanya jika Anda memiliki kasus bisnis penting yang mengharuskan aplikasi mengabaikan izin pengguna untuk mengakses data Google Workspace. Coba alternatif seperti OAuth dengan izin pengguna atau gunakan aplikasi Marketplace. Untuk mengetahui informasi selengkapnya, buka Google Workspace Marketplace

Ikuti praktik terbaik berikut untuk melindungi akun layanan dengan hak istimewa delegasi tingkat domain dari risiko pihak internal:

Berikan akses hanya ke hak istimewa yang penting

Pastikan akun layanan dengan delegasi tingkat domain hanya memiliki hak istimewa penting yang diperlukan untuk menjalankan fungsi yang diinginkan. Jangan berikan akses ke cakupan OAuth yang tidak penting.

Menghosting akun layanan di project Google Cloud khusus

Pastikan akun layanan dengan delegasi tingkat domain dihosting di project Google Cloud khusus. Jangan gunakan project tersebut untuk kebutuhan bisnis lainnya.

Hindari penggunaan kunci akun layanan

Anda tidak perlu menggunakan kunci akun layanan untuk melakukan delegasi tingkat domain. Sebagai gantinya, gunakan API signJwt. 

Hindari penggunaan kunci akun layanan untuk delegasi seluruh domain

Batasi akses ke project yang memiliki delegasi tingkat domain

Minimalkan jumlah orang yang memiliki akses edit ke project Google Cloud dengan delegasi seluruh domain yang telah disiapkan. Anda dapat menggunakan API Inventaris Aset Cloud untuk memahami siapa yang memiliki akses ke akun layanan. Misalnya, gunakan Cloud Shell untuk menjalankan:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: ID organisasi Google Cloud Anda. Pelajari lebih lanjut
  • PROJECT_ID: ID project Google Cloud tempat akun layanan berada. Pelajari lebih lanjut
  • SERVICE_ACCOUNT_ID: ID akun layanan. ID akan dicantumkan pada Client-ID di halaman delegasi tingkat domain konsol Admin, atau di alamat email akun layanan. Pelajari lebih lanjut

Cari izin atau peran seperti pemilik dan editor iam.serviceAccountTokenCreator atau iam.serviceAccountKeyAdmin untuk memahami siapa yang memiliki izin langsung atau yang diwarisi ke akun layanan.

Mengetahui siapa yang memiliki akses ke akun layanan Google Cloud

Topik terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
11521414946193728313
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false