Sprawdzone metody przekazywania dostępu w całej domenie

Jako administrator możesz korzystać z przekazywania dostępu w całej domenie, aby zezwalać aplikacjom wewnętrznym i aplikacjom innych firm na dostęp do danych Google Workspace użytkowników bez konieczności otrzymania ich zgody. Aby to zrobić, utwórz konto usługi w konsoli Google Cloud i przekaż uprawnienia do całej domeny kontu w konsoli administracyjnej Google. W konsoli administracyjnej możesz również przypisać do konta usługi ograniczone zakresy interfejsów API. Więcej informacji o przekazywaniu dostępu w całej domenie znajdziesz w artykule Kontrola dostępu do interfejsów API przy użyciu przekazywania dostępu w całej domenie.

Zarządzanie kontami usługi i ich zabezpieczanie

Usługa Identity and Access Management (IAM) udostępnia wskazówki na temat używania kont usługi do ograniczania dostępu oraz ochrony przed zagrożeniami związanymi z eskalacją uprawnień i wykonywaniem niedozwolonych działań pod przykrywką konta usługi. Te wskazówki znajdziesz w artykule o sprawdzonych metodach korzystania z kont usługi (w języku angielskim).

Wszystkie zalecenia opisane w tym przewodniku mają zastosowanie do ochrony kont usługi korzystających z przekazywania dostępu w całej domenie. Oto kilka sprawdzonych metod:

Używaj bezpośredniego dostępu do konta usługi lub zgody OAuth.

Unikaj korzystania z przekazywania dostępu w całej domenie, jeśli możesz wykonać zadanie bezpośrednio przy użyciu konta usługi lub zgody OAuth.

Jeśli musisz zastosować przekazywanie dostępu w całej domenie, ogranicz liczbę zakresów protokołu OAuth, których konto usługi może użyć. Zakresy protokołu OAuth nie wprowadzają ograniczeń dotyczących użytkowników, których tożsamość konto usługi może przyjąć. Ograniczają natomiast typy danych użytkowników, do których ma ono dostęp.

Unikaj korzystania z przekazywania dostępu w całej domenie

Ogranicz możliwość tworzenia i przesyłania kluczy kont usługi

Zastosuj zasady organizacji, aby ograniczyć tworzenie i przesyłanie kluczy kont usługi korzystających z przekazywania dostępu w całej domenie. Pozwoli to ograniczyć możliwość przyjęcia tożsamości konta usługi przy użyciu jego kluczy.

Nie zezwalaj użytkownikom na tworzenie ani przesyłanie kluczy kont usługi

Wyłącz automatyczne przypisywanie ról do domyślnych kont usługi

Utworzone domyślnie konta usługi otrzymują rolę Edytujący, która umożliwia im odczytywanie i modyfikowanie wszystkich zasobów w projekcie Google Cloud. Możesz wyłączyć automatyczne przypisywanie ról do domyślnych kont usługi, aby zagwarantować, że nie otrzymają one automatycznie roli Edytujący i nie będą mogły zostać łatwo wykorzystane przez użytkownika o złych zamiarach.

Nie używaj automatycznego przypisywania ról do domyślnych kont usługi

Ogranicz ruch boczny

Ruch boczny ma miejsce, gdy konto usługi w jednym projekcie ma uprawnienia do przyjęcia tożsamości konta usługi w innym projekcie. Może to spowodować uzyskanie niezamierzonego dostępu do zasobów. Aby wykrywać i ograniczać ruch boczny polegający na przyjmowaniu tożsamości innego konta, korzystaj ze „statystyk dotyczących ruchu bocznego”.

Używaj statystyk dotyczących ruchu bocznego, aby go ograniczyć

Ogranicz dostęp do kont usługi korzystających z przekazywania dostępu w całej domenie

Nie zezwalaj użytkownikom na zmianę zasady zezwalającej konta usługi, jeśli ma ono ma większe uprawnienia niż dany użytkownik. Użyj ról uprawnień, aby ograniczyć dostęp do kont usługi korzystających z przekazywania dostępu w całej domenie.

Nie zezwalaj użytkownikom na zmienianie zasad zezwalających w przypadku kont usługi z podwyższonymi uprawnieniami

Ochrona kont usługi przed ryzykiem wewnętrznym

Używaj przekazywania dostępu w całej domenie tylko wtedy, gdy z ważnych powodów biznesowych aplikacja musi uzyskać dostęp do danych Google Workspace bez zgody użytkownika. Wypróbuj alternatywne rozwiązania takie jak protokół OAuth ze zgodą użytkownika lub użyj aplikacji z Marketplace. Więcej informacji znajdziesz w artykule Google Workspace Marketplace

Postępuj zgodnie z tymi sprawdzonymi metodami, aby chronić konta usługi z uprawnieniami do przekazywania dostępu w całej domenie przed ryzykiem wewnętrznym:

Przyznawaj dostęp tylko do niezbędnych uprawnień

Sprawdź, czy konta usługi korzystające z przekazywania dostępu w całej domenie mają tylko uprawnienia niezbędne do wykonywania przewidzianych funkcji. Nie przyznawaj dostępu do zakresów protokołu OAuth, które nie są niezbędne.

Hostuj konta usługi w osobnych projektach Google Cloud

Sprawdź, czy konta usługi korzystające z przekazywania dostępu w całej domenie są hostowane w osobnych projektach Google Cloud. Nie używaj tych projektów do innych celów biznesowych.

Unikaj używania kluczy kont usługi

Używanie kluczy kont usługi nie jest konieczne do przekazywania dostępu w całej domenie. Zamiast tego używaj interfejsu signJwt API. 

Unikaj używania kluczy kont usługi do przekazywania dostępu w całej domenie

Ogranicz dostęp do projektów korzystających z przekazywania dostępu w całej domenie

Ogranicz do minimum liczbę osób, które mają uprawnienia do edycji projektów Google Cloud z ustawionym przekazywaniem dostępu w całej domenie. Za pomocą interfejsu Cloud Asset Inventory API możesz sprawdzić, kto ma dostęp do kont usługi. W Cloud Shell możesz na przykład uruchomić:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: identyfikator Twojej organizacji w Google Cloud. Więcej informacji
  • PROJECT_ID: identyfikator projektu Google Cloud, w którym znajduje się konto usługi. Więcej informacji
  • SERVICE_ACCOUNT_ID: identyfikator konta usługi. Ten identyfikator będzie widoczny w sekcji Identyfikator klienta na stronie Przekazywanie dostępu w całej domenie w konsoli administracyjnej lub w adresie e-mail konta usługi. Więcej informacji

Aby dowiedzieć się, kto ma bezpośrednie lub dziedziczone uprawnienia do konta usługi, poszukaj uprawnień lub ról takich jak właściciel i edytujący iam.serviceAccountTokenCreator lub iam.serviceAccountKeyAdmin.

Dowiedz się, kto ma dostęp do kont usługi Google Cloud

Powiązane artykuły

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
5052806723881576499
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false