Als beheerder kunt u domeinbrede machtigingen gebruiken om interne apps en apps van derden toegang te geven tot de Google Workspace-gegevens van uw gebruikers. Er is dan geen toestemming nodig van van eindgebruikers. U doet dit door een serviceaccount te maken in de Google Cloud-console en domeinbrede autoriteit te delegeren naar het account in de Google Beheerdersconsole. U kunt ook beperkte API-bereiken opgeven voor het serviceaccount in de Beheerdersconsole. Ga naar API-toegang beheren met domeinbrede machtigingen voor meer informatie over domeinbrede machtigingen.
Serviceaccounts beheren en beveiligen
Identity and Access Management (IAM) biedt richtlijnen voor het gebruik van serviceaccounts om de toegang te beperken en te beschermen tegen toe-eigening van rechten en bedreigingen. Ga naar Best practices voor het gebruik van serviceaccounts voor de richtlijnen.
Alle aanbevelingen in de handleiding zijn van toepassing op de bescherming van serviceaccounts die domeinbrede machtiging gebruiken. Dit zijn enkele uitgelichte voorbeelden:
Gebruik directe toegang tot serviceaccounts of OAuth-toestemming Gebruik geen domeinbrede machtiging als u uw taak rechtstreeks kunt uitvoeren met een serviceaccount of door OAuth-toestemming te gebruiken. Als u niet kunt voorkomen dat u domeinbrede machtigingen gebruikt, moet u de reeks OAuth-bereiken beperken die het serviceaccount kan gebruiken. Hoewel OAuth-bereiken niet beperken welke gebruikers het serviceaccount kan nabootsen, beperken ze wel de typen gebruikersgegevens waartoe het serviceaccount toegang heeft. |
|
Beperk het maken en uploaden van serviceaccountsleutels Gebruik organisatiebeleid om het maken en uploaden van sleutels te beperken voor serviceaccounts met domeinbrede machtigingen. Dit beperkt nabootsing van serviceaccounts via serviceaccountsleutels. Sta gebruikers niet toe serviceaccountsleutels te maken of te uploaden |
|
Zet automatische roltoewijzingen uit voor standaard serviceaccounts Serviceaccounts die standaard worden gemaakt, krijgen de rol Bewerker. Hiermee kan het account alle resources in het Google Cloud-project lezen en aanpassen. U kunt automatische roltoewijzingen uitzetten voor standaard serviceaccounts om te zorgen dat ze niet automatisch de rol Bewerker krijgen en niet makkelijk kunnen worden misbruikt door kwaadwillenden. Gebruik geen automatische roltoewijzingen voor standaard serviceaccounts |
|
Beperk laterale beweging Laterale beweging vindt plaats als een serviceaccount in het ene project rechten heeft om een serviceaccount in een ander project na te bootsen. Dit kan leiden tot onbedoelde toegang tot resources. Gebruik Inzichten in laterale bewegingen om laterale bewegingen te detecteren en te beperken door nabootsing van identiteit. Gebruik Inzichten in laterale beweging om laterale beweging te beperken |
|
Beperk toegang tot serviceaccounts met domeinbrede machtigingen Laat een gebruiker het beleid voor toestaan van een serviceaccount niet wijzigen als het serviceaccount meer rechten heeft dan de gebruiker. Gebruik IAM-rollen om de toegang te beperken tot serviceaccounts met domeinbrede machtigingen. Voorkom dat gebruikers het beleid voor toestaan van meer gemachtigde serviceaccounts wijzigen |
Serviceaccounts beschermen tegen insiderrisico's
Gebruik alleen domeinbrede machtigingen als er een belangrijke businesscase is waarbij een app de toestemming van gebruikers moet overslaan voor toegang tot Google Workspace-gegevens. Probeer alternatieven, zoals OAuth met gebruikerstoestemming of gebruik Marketplace-apps. Ga naar Google Workspace Marketplace voor meer informatie.
Volg deze best practices om serviceaccounts met domeinbrede machtigingsrechten te beschermen tegen insiderrisico's:
Verleen alleen toegang tot essentiële rechten Zorg dat serviceaccounts met domeinbrede machtigingen alleen de essentiële rechten hebben om de beoogde functies uit te voeren. Geef geen toegang tot niet-essentiële OAuth-bereiken. |
|
Host serviceaccounts in speciale Google Cloud-projecten Zorg dat serviceaccounts met domeinbrede machtigingen worden gehost in speciale Google Cloud-projecten. Gebruik deze projecten niet voor andere zakelijke behoeften. |
|
Vermijd het gebruik van serviceaccountsleutels Er hoeven geen serviceaccountsleutels worden gebruikt om domeinbrede machtigingen uit te voeren. Gebruik in plaats daarvan de signJwt API. Gebruik geen serviceaccountsleutels voor domeinbrede machtigingen |
|
Beperk toegang tot projecten met domeinbrede machtigingen Gebruik domeinbrede machtigingen om het aantal mensen met bewerkingsrechten voor Google Cloud-projecten te minimaliseren. Met de Cloud Asset Inventory API ziet u wie toegang heeft tot serviceaccounts. Gebruik bijvoorbeeld Cloud Shell om het volgende uit te voeren:
Zoek naar rechten of rollen zoals Inzicht in wie toegang heeft tot Google Cloud-serviceaccounts |