أفضل ممارسات التفويض على مستوى النطاق

بصفتك مشرفًا، يمكنك استخدام التفويض على مستوى النطاق للسماح للتطبيقات الداخلية والتطبيقات التابعة لجهات خارجية بالوصول إلى بيانات المستخدمين على Google Workspace، مع تجاوز موافقة المستخدم النهائي. ولتنفيذ ذلك، عليك إنشاء حساب خدمة في وحدة تحكُّم Google Cloud وتفويض التفويض على مستوى النطاق للحساب في "وحدة تحكُّم المشرف في Google". ويمكنك أيضًا توفير نطاقات محدودة لواجهة برمجة التطبيقات لحساب الخدمة في "وحدة تحكُّم المشرف". لمزيد من المعلومات حول التفويض على مستوى النطاق، يُرجى الانتقال إلى مقالة التحكُّم في الوصول إلى واجهة برمجة التطبيقات من خلال التفويض على مستوى النطاق.

إدارة حسابات الخدمة وتأمينها

توفِّر "إدارة الهوية وإمكانية الوصول" (IAM) إرشادات حول استخدام حسابات الخدمة للحدّ من الوصول والحماية من تهديدات تصعيد الصلاحيات وعدم الإنكار. لمراجعة الإرشادات، يُرجى الانتقال إلى أفضل ممارسات استخدام حسابات الخدمة

على الرغم من أنّ جميع الاقتراحات الواردة في الدليل تنطبق على حماية حسابات الخدمة التي تستخدم التفويض على مستوى النطاق، فإنّ بعض الممارسات البارزة هي كالتالي:

استخدام إمكانية الوصول المباشر إلى حساب الخدمة أو موافقة بروتوكول OAuth بدلاً من ذلك

تجنَّب استخدام التفويض على مستوى النطاق إذا كان بإمكانك إنجاز المهمة مباشرةً باستخدام حساب خدمة أو من خلال استخدام موافقة بروتوكول OAuth.

إذا لم تتمكن من تجنُّب استخدام التفويض على مستوى النطاق، يمكنك الحدّ من مجموعة نطاقات بروتوكول OAuth التي يمكن لحساب الخدمة استخدامها. على الرغم من أنّ نطاقات OAuth لا تحدّ المستخدمين الذين يمكن لحساب الخدمة انتحال هويتهم، إلا أنها تحدّ من أنواع بيانات المستخدم التي يمكن لحساب الخدمة الوصول إليها.

تجنُّب استخدام التفويض على مستوى النطاق

حظر إنشاء مفتاح حساب الخدمة وتحميله

يمكنك استخدام سياسات المؤسسة لحظر إنشاء المفاتيح وتحميلها لحسابات الخدمة باستخدام التفويض على مستوى النطاق؛ حيث يحدّ ذلك من انتحال هوية حساب الخدمة من خلال مفاتيح حساب الخدمة.

عدم السماح للمستخدمين بإنشاء مفاتيح حساب الخدمة أو تحميلها

إيقاف منح الأدوار تلقائيًا لحسابات الخدمة التلقائية

تُمنح حسابات الخدمة التي يتم إنشاؤها تلقائيًا دور "المحرِّر"، ما يسمح للحساب بقراءة جميع الموارد في مشروع Google Cloud وتعديلها. ويمكنك إيقاف عمليات منح الأدوار تلقائيًا لحسابات الخدمة التلقائية للتأكّد من عدم الحصول على دور "المحرِّر" وأنّه لا يمكن لمستخدم ضار استغلالها بسهولة. 

إيقاف استخدام منح الأدوار تلقائيًا لحسابات الخدمة التلقائية

الحدّ من الحركة الجانبية

تحدث الحركة الجانبية عندما يكون لحساب الخدمة في أحد المشاريع إذن انتحال هوية حساب خدمة في مشروع آخر. يمكن أن يؤدي هذا إلى وصول غير مقصود إلى الموارد. يمكنك استخدام ميزة "إحصاءات الحركة الجانبية" لرصد الحركة الجانبية والحدّ منها من خلال انتحال الهوية. 

استخدام إحصاءات الحركة الجانبية للحدّ من الحركة الجانبية

تقييد الوصول إلى حسابات الخدمة باستخدام التفويض على مستوى النطاق

يمكنك عدم السماح لأحد المستخدمين بتغيير سياسة السماح بحساب الخدمة إذا كان حساب الخدمة يملك امتيازات أكثر من المستخدم. يمكنك استخدام أدوار "إدارة الهوية وإمكانية الوصول" (IAM) لتقييد الوصول إلى حسابات الخدمة باستخدام عمليات منح التفويض على مستوى النطاق. 

عدم السماح للمستخدمين بتغيير سياسات السماح لحسابات خدمة تملك امتيازات أكثر

حماية حسابات الخدمة من المخاطر الداخلية

لا يمكنك استخدام التفويض على مستوى النطاق إلا إذا كانت لديك دراسة حالة النشاط التجاري مهمة تتطلّب من التطبيق تجاوز موافقة المستخدم للوصول إلى بيانات Google Workspace. يمكنك تجربة بدائل مثل بروتوكول OAuth بعد الحصول على موافقة المستخدم أو استخدام تطبيقات Marketplace. لمزيد من المعلومات، يُرجى الانتقال إلى Google Workspace Marketplace

يُرجى اتّباع أفضل الممارسات التالية لحماية حسابات الخدمة التي تتضمن امتيازات التفويض على مستوى النطاق من المخاطر الداخلية:

منح إمكانية الوصول إلى الامتيازات الأساسية فقط

التأكُّد من أنّ حسابات الخدمة التي لديها تفويض على مستوى النطاق لا تملك سوى الامتيازات الأساسية اللازمة لأداء الوظائف المقصودة. عدم منح إذن الوصول إلى نطاقات OAuth غير الضرورية.

استضافة حسابات الخدمة في مشاريع Google Cloud المخصّصة

يُرجى التأكَّد من استضافة حسابات الخدمة التي لديها تفويض على مستوى النطاق في مشاريع Google Cloud المخصّصة. يُرجى عدم استخدام هذه المشروعات لأى احتياجات عمل أخرى.

تجنُّب استخدام مفاتيح حساب الخدمة

إنّ استخدام مفاتيح حساب الخدمة ليس ضروريًا لإجراء تفويض على مستوى النطاق. يمكنك استخدام واجهة برمجة تطبيقات SignJwt بدلاً من ذلك. 

تجنُّب استخدام مفاتيح حساب الخدمة في التفويض على مستوى النطاق

تقييد الوصول إلى المشاريع التي تتضمن تفويضًا على مستوى النطاق

يمكنك تقليل عدد المستخدمين الذين لديهم الإذن بتعديل مشاريع Google Cloud من خلال إعداد التفويض على مستوى النطاق. يمكنك استخدام واجهة برمجة التطبيقات Cloud Asset Inventory API لمعرفة المستخدمين الذين يمكنهم الوصول إلى حسابات الخدمة. على سبيل المثال، يمكنك استخدام Cloud Shell لتشغيل:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: رقم تعريف مؤسستك في Google Cloud. مزيد من المعلومات
  • PROJECT_ID: رقم تعريف مشروع Google Cloud الذي ينتمي إليه حساب الخدمة. مزيد من المعلومات
  • SERVICE_ACCOUNT_ID: رقم تعريف حساب الخدمة. يُدرج رقم التعريف ضمن "معرِّف العميل" في صفحة التفويض على مستوى نطاق في "وحدة تحكُّم المشرف" أو في عنوان البريد الإلكتروني لحساب الخدمة. مزيد من المعلومات

يمكنك البحث عن الأذونات أو الأدوار، مثل مالك ومحرِّر iam.serviceAccountTokenCreator أو iam.serviceAccountKeyAdmin لمعرفة المستخدم الذي لديه أذونات مباشرة أو موروثة لحساب الخدمة.

معرفة المستخدمين الذين لديهم إذن الوصول إلى حسابات الخدمة في Google Cloud

مواضيع ذات صلة

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟
true
ابدأ اليوم فترة تجريبية مجانية لمدة 14 يومًا

بريد إلكتروني احترافي وإمكانية تخزين عبر الإنترنت وتقاويم مشتركة واجتماعات فيديو والمزيد. ابدأ اليوم استخدام الإصدار التجريبي المجاني من G Suite‏.

بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
3953354360421710265
true
مركز مساعدة البحث
true
true
true
true
true
73010
false
false