Prácticas recomendadas para la delegación de todo el dominio

Como administrador, puedes utilizar la delegación de todo el dominio para permitir que aplicaciones internas y de terceros accedan a los datos de Google Workspace de tus usuarios sin el consentimiento de los usuarios finales. Para ello, crea una cuenta de servicio en la consola de Google Cloud y delega la autoridad de todo el dominio a la cuenta desde la consola de administración de Google. También puedes proporcionar permisos limitados de API a la cuenta de servicio desde la consola de administración. Para obtener más información sobre la delegación de todo el dominio, consulta el artículo Controlar el acceso a las APIs con la delegación de todo el dominio.

Gestionar y proteger cuentas de servicio

Gestión de Identidades y Accesos (IAM) proporciona directrices para usar cuentas de servicio para limitar el acceso y protegerte contra la apropiación de privilegios y las amenazas de no repudio. Para revisar las directrices, consulta el artículo sobre las prácticas recomendadas para usar las cuentas de servicio

Si bien todas las recomendaciones de la guía sirven para proteger las cuentas de servicio que utilizan la delegación de todo el dominio, estas son algunas de las prácticas destacadas:

Usar el acceso directo a la cuenta de servicio o el consentimiento de OAuth

Evita el uso de la delegación de todo el dominio si puedes realizar tu tarea directamente con una cuenta de servicio o con el consentimiento de OAuth.

Si no puedes evitar el uso de la delegación de todo el dominio, restringe el conjunto de permisos de OAuth que puede utilizar la cuenta de servicio. Aunque los permisos de OAuth no restringen qué usuarios puede actuar como la cuenta de servicio, sí que restringen los tipos de datos de usuario a los que puede acceder la cuenta.

Evitar el uso de la delegación de todo el dominio

Restringir la creación y la subida de claves de cuentas de servicio

Utiliza políticas de organización para restringir la creación y la subida de claves de las cuentas de servicio con delegación de todo el dominio. De esta forma, se limita la suplantación de identidad de cuentas de servicio mediante claves de cuentas de servicio.

No permitir que los usuarios creen ni suban claves de cuentas de servicio

Inhabilitar concesiones automáticas de roles para las cuentas de servicio predeterminadas

Las cuentas de servicio que se crean de forma predeterminada tienen el rol Editor, que les permite leer y modificar todos los recursos del proyecto de Google Cloud. Puedes inhabilitar la concesión automática de roles en las cuentas de servicio predeterminadas para que no se les asigne el rol Editor automáticamente y que ningún usuario malicioso pueda aprovecharlas fácilmente. 

No utilizar concesiones automáticas de roles en las cuentas de servicio predeterminadas

Limitar el movimiento lateral

El movimiento lateral se produce cuando una cuenta de servicio de un proyecto tiene permiso para suplantar la identidad de una cuenta de servicio de otro proyecto. Esto puede provocar que se acceda de forma no deseada a los recursos. Utiliza las estadísticas de movimientos laterales para detectar y limitar el movimiento lateral mediante la suplantación de identidad. 

Usar los datos de movimiento lateral para limitarlo

Limitar el acceso a las cuentas de servicio con la delegación de todo el dominio

No permitir que un usuario cambie la política de autorización de una cuenta de servicio si esta tiene más privilegios que el usuario. Usa roles de gestión de identidades y accesos para limitar el acceso a las cuentas de servicio con concesiones de la delegación de todo el dominio. 

Evitar que los usuarios cambien las políticas de autorización de las cuentas de servicio con más privilegios

Protege las cuentas de servicio frente a riesgos internos

Usa la delegación de todo el dominio solo si tienes un modelo de negocio clave que requiera que una aplicación evite el consentimiento de los usuarios para acceder a los datos de Google Workspace. Prueba alternativas como OAuth con el consentimiento de los usuarios o usa aplicaciones de Marketplace. Puedes consultar más información al respecto en Google Workspace Marketplace.

Sigue estas prácticas recomendadas para proteger las cuentas de servicio con privilegios de delegación de todo el dominio frente a riesgos de insiders:

Dar acceso solo a privilegios esenciales

Asegúrate de que las cuentas de servicio con delegación de todo el dominio tengan solo los privilegios esenciales para llevar a cabo sus funciones. No concedas acceso a permisos de OAuth no esenciales.

Alojar cuentas de servicio en proyectos específicos de Google Cloud

Asegúrate de que las cuentas de servicio con delegación de todo el dominio estén alojadas en proyectos específicos de Google Cloud. No uses esos proyectos para otras necesidades empresariales.

Evitar usar claves de cuentas de servicio

No hace falta usar claves de cuenta de servicio para al delegación de todo el dominio. En su lugar, usa la API signJwt. 

Evitar el uso de claves de cuenta de servicio para la delegación de todo el dominio

Restringir el acceso a proyectos que tengan delegación de todo el dominio

Minimiza el número de personas que tienen permiso para editar en los proyectos de Google Cloud configurando la delegación de todo el dominio. La API de Inventario de Recursos de Cloud te permite saber quién tiene acceso a las cuentas de servicio. Por ejemplo, usa Cloud Shell para ejecutar lo siguiente:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: el ID de tu organización de Google Cloud. Más información
  • PROJECT_ID: ID del proyecto de Google Cloud en el que se encuentra la cuenta de servicio. Más información
  • SERVICE_ACCOUNT_ID: ID de la cuenta de servicio. El ID se muestra en ID de cliente en la página de delegación de todo el dominio de la consola de administración o en la dirección de correo de la cuenta de servicio. Más información

Busca permisos o roles, como los de propietario y editor iam.serviceAccountTokenCreator o iam.serviceAccountKeyAdmin, para saber quién tiene permisos directos o heredados en la cuenta de servicio.

Descubre quién tiene acceso a las cuentas de servicio de Google Cloud

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
6090835041563651247
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false