管理員可以使用全網域委派功能,允許內部和第三方應用程式存取使用者的 Google Workspace 資料,且不必經過使用者同意。如要這麼做,請在 Google Cloud 控制台中建立服務帳戶,然後透過 Google 管理控制台將全網域授權委派給該帳戶。您也可以在管理控制台中為服務帳戶設定有限的 API 範圍。如要進一步瞭解全網域委派功能,請參閱「使用全網域委派功能控管 API 存取權」。
管理及保護服務帳戶
Identity and Access Management (IAM) 能規範服務帳戶的使用方式,可限制存取權,並防範權限提升問題和非重複性威脅。如要查看相關規範,請參閱「使用服務帳戶的最佳做法」。
雖然指南的所有建議內容,都能用於保護採用全網域委派功能的服務帳戶,但以下是其中幾項重點做法:
|
|
改用直接服務帳戶存取權或 OAuth 同意聲明 如果您可以直接使用服務帳戶,或是使用 OAuth 同意聲明來完成工作,請避免使用全網域委派功能。 如果必須使用全網域委派功能,請限制服務帳戶可使用的 OAuth 範圍。雖然 OAuth 範圍不會限制服務帳戶可模擬的使用者,但會限制服務帳戶可存取的使用者資料類型。 |
 |
限制服務帳戶建立及上傳金鑰的行為 使用機構政策,針對採用全網域委派功能的服務帳戶限制建立及上傳金鑰的行為。這麼做可以限制透過服務帳戶金鑰模擬服務帳戶的操作。 |
|
停用預設服務帳戶的自動角色授予功能 根據預設,系統會為建立的服務帳戶授予「編輯者」角色,讓帳戶能夠讀取及修改 Google Cloud 專案中的所有資源。您可以停用預設服務帳戶的自動角色授予功能,確保這些帳戶不會自動取得「編輯者」角色,且惡意使用者無法輕易攻擊這些帳戶的漏洞。 |
|
限制橫向移動 「橫向移動」是指某個專案中的服務帳戶有權模擬其他專案中的服務帳戶。這可能會導致產生非預期的資源存取權。請使用「橫向移動深入分析」偵測並限制冒用他人身分的橫向移動行為。 |
|
使用全網域委派功能限制服務帳戶存取權 如果服務帳戶的權限比使用者擁有的權限還多,請勿讓使用者變更服務帳戶的允許政策。請使用 IAM 角色,透過全網域委派授權來限制服務帳戶存取權。 |
保護服務帳戶不受內部風險侵擾
請只在有重要業務用途,必須略過使用者同意來存取 Google Workspace 資料時,才使用全網域委派功能。否則,請嘗試改用其他方法,例如在使用者同意下使用 OAuth,或使用 Marketplace 中的應用程式。詳情請造訪 Google Workspace Marketplace。
請遵循下列最佳做法,保護具備全網域委派權限的服務帳戶不受內部風險的侵擾:
|
|
僅授予基本權限 請確保採用全網域委派功能的服務帳戶僅具備執行預期功能所需的必要權限,不要授予非必要的 OAuth 範圍存取權。 |
|
在專屬 Google Cloud 專案中託管服務帳戶 請確保具有全網域委派功能的服務帳戶是在專屬的 Google Cloud 專案中託管,不要將這些專案用於其他業務需求。 |
|
避免使用服務帳戶金鑰 執行全網域委派功能時無須使用服務帳戶金鑰,請改用 signJwt API。 |
|
針對採用全網域委派功能的專案限制存取權 設定全網域委派功能,盡可能減少擁有 Google Cloud 專案編輯權限的使用者人數。您可以使用 Cloud Asset Inventory API,瞭解有權存取服務帳戶的使用者。例如,使用 Cloud Shell 執行以下指令:
找出權限或角色 (例如 |