แนวทางปฏิบัติแนะนำสำหรับการมอบสิทธิ์ทั่วทั้งโดเมน

ในฐานะผู้ดูแลระบบ คุณสามารถใช้การมอบสิทธิ์ทั่วทั้งโดเมนเพื่ออนุญาตให้แอปภายในและแอปของบุคคลที่สามเข้าถึงข้อมูล Google Workspace ของผู้ใช้ได้โดยข้ามความยินยอมของผู้ใช้ปลายทาง ในการนี้คุณจะต้องสร้างบัญชีบริการในคอนโซล Google Cloud และมอบสิทธิ์ทั่วทั้งโดเมนให้กับบัญชีในคอนโซลผู้ดูแลระบบของ Google นอกจากนี้ คุณยังระบุขอบเขต API ที่จำกัดให้กับบัญชีบริการในคอนโซลผู้ดูแลระบบได้ด้วย โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการมอบสิทธิ์ทั่วทั้งโดเมนที่หัวข้อควบคุมการเข้าถึง API ด้วยการมอบสิทธิ์ทั่วทั้งโดเมน

จัดการและรักษาความปลอดภัยของบัญชีบริการ

Identity and Access Management (IAM) กำหนดหลักเกณฑ์ในการใช้บัญชีบริการเพื่อจำกัดการเข้าถึงและป้องกันการโจมตีเพื่อยกระดับสิทธิ์และภัยคุกคามที่ตรวจสอบที่มาได้ หากต้องการดูหลักเกณฑ์ ให้ไปที่แนวทางปฏิบัติแนะนำสำหรับการใช้บัญชีบริการ

แม้ว่าคำแนะนำทั้งหมดในคู่มือจะมีไว้เพื่อปกป้องบัญชีบริการที่ใช้การมอบสิทธิ์ทั่วทั้งโดเมน แต่แนวทางปฏิบัติหลักๆ บางส่วนมีดังนี้

ใช้สิทธิ์เข้าถึงบัญชีบริการโดยตรงหรือความยินยอม OAuth แทน

หลีกเลี่ยงการใช้การมอบสิทธิ์ทั่วทั้งโดเมนหากคุณสามารถทำงานโดยตรงได้โดยใช้บัญชีบริการหรือใช้ความยินยอม OAuth

หากหลีกเลี่ยงการใช้การมอบสิทธิ์ทั่วทั้งโดเมนไม่ได้ ให้จำกัดจำนวนชุดขอบเขต OAuth ที่บัญชีบริการใช้ได้ แม้ว่าขอบเขต OAuth จะไม่จำกัดว่าผู้ใช้รายใดบ้างที่บัญชีบริการจะนำข้อมูลมาใช้ได้ แต่จะจำกัดประเภทข้อมูลผู้ใช้ที่บัญชีบริการเข้าถึงได้

หลีกเลี่ยงการใช้การมอบสิทธิ์ทั่วทั้งโดเมน

จำกัดการสร้างและอัปโหลดคีย์บัญชีบริการ

ใช้นโยบายองค์กรเพื่อจำกัดการสร้างและอัปโหลดคีย์สำหรับบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมน การดำเนินการนี้จะจำกัดการนำข้อมูลมาใช้ของบัญชีบริการผ่านคีย์บัญชีบริการ

ไม่อนุญาตให้ผู้ใช้สร้างหรืออัปโหลดคีย์บัญชีบริการ

ปิดใช้การมอบหมายบทบาทอัตโนมัติสำหรับบัญชีบริการเริ่มต้น

บัญชีบริการที่สร้างขึ้นโดยค่าเริ่มต้นจะได้รับบทบาทผู้แก้ไข ซึ่งจะอนุญาตให้บัญชีดังกล่าวอ่านและแก้ไขแหล่งข้อมูลทั้งหมดในโปรเจ็กต์ Google Cloud ได้ คุณสามารถปิดใช้การมอบหมายบทบาทอัตโนมัติให้กับบัญชีบริการเริ่มต้นได้ เพื่อให้แน่ใจว่าบัญชีบริการดังกล่าวจะไม่ได้รับบทบาท "ผู้แก้ไข" โดยอัตโนมัติ และเพื่อให้ผู้ใช้ที่อันตรายแสวงหาประโยชน์จากส่วนนี้ได้ยากขึ้น

อย่าใช้การมอบหมายบทบาทโดยอัตโนมัติสำหรับบัญชีบริการเริ่มต้น

จำกัด Lateral Movement

Lateral Movement คือการที่บัญชีบริการในโปรเจ็กต์หนึ่งมีสิทธิ์ในการนำบัญชีบริการในโปรเจ็กต์อื่นมาใช้ ซึ่งอาจส่งผลให้เกิดการเข้าถึงแหล่งข้อมูลโดยไม่ได้ตั้งใจ ใช้ "ข้อมูลเชิงลึกเกี่ยวกับ Lateral Movement" เพื่อตรวจจับและจำกัด Lateral Movement ผ่านการนำข้อมูลมาใช้

ใช้ข้อมูลเชิงลึกเกี่ยวกับ Lateral Movement เพื่อจำกัด Lateral Movement

จำกัดการเข้าถึงบัญชีบริการด้วยการมอบสิทธิ์ทั่วทั้งโดเมน

ห้ามอนุญาตให้ผู้ใช้เปลี่ยนนโยบายการอนุญาตของบัญชีบริการ หากบัญชีบริการมีสิทธิ์มากกว่าผู้ใช้ ใช้บทบาท IAM เพื่อจำกัดการเข้าถึงบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมน

หลีกเลี่ยงการอนุญาตให้ผู้ใช้เปลี่ยนนโยบายการอนุญาตของบัญชีบริการที่มีสิทธิ์มากกว่า

ปกป้องบัญชีบริการจากความเสี่ยงที่เกิดจากบุคคลภายใน

ใช้การมอบสิทธิ์ทั่วทั้งโดเมนเฉพาะเมื่อมีกรณีทางธุรกิจที่สำคัญที่จำเป็นต้องอนุญาตให้แอปข้ามขั้นตอนการขอความยินยอมจากผู้ใช้ในการเข้าถึงข้อมูล Google Workspace โปรดลองใช้วิธีอื่น เช่น OAuth ที่ได้รับความยินยอมจากผู้ใช้ หรือใช้แอปใน Marketplace โปรดดูข้อมูลเพิ่มเติมที่หัวข้อ Google Workspace Marketplace

ทำตามแนวทางปฏิบัติแนะนำต่อไปนี้เพื่อปกป้องบัญชีบริการที่มีสิทธิ์ในการมอบสิทธิ์ทั่วทั้งโดเมนจากความเสี่ยงที่เกิดจากบุคคลภายใน

อนุญาตให้เข้าถึงสิทธิ์ที่จำเป็นเท่านั้น

ตรวจสอบว่าบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมนมีเพียงสิทธิ์ที่จำเป็นสำหรับฟังก์ชันการทำงานที่จำเป็นเท่านั้น อย่ามอบสิทธิ์เข้าถึงขอบเขต OAuth ที่ไม่จำเป็น

โฮสต์บัญชีบริการในโปรเจ็กต์ Google Cloud ที่จัดไว้โดยเฉพาะ

ตรวจสอบว่าบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมนมีการโฮสต์ในโปรเจ็กต์ Google Cloud ที่จัดไว่โดยเฉพาะ โปรดอย่าใช้โปรเจ็กต์เหล่านั้นเพื่อวัตถุประสงค์ทางธุรกิจอื่นๆ

หลีกเลี่ยงการใช้คีย์บัญชีบริการ

คุณไม่จำเป็นต้องใช้คีย์บัญชีบริการเพื่อมอบสิทธิ์ทั่วทั้งโดเมน โปรดใช้ SignJwt API แทน

หลีกเลี่ยงการใช้คีย์บัญชีบริการในการมอบสิทธิ์ทั่วทั้งโดเมน

จำกัดการเข้าถึงโปรเจ็กต์ที่มีการมอบสิทธิ์ทั่วทั้งโดเมน

ลดจำนวนผู้ที่มีสิทธิ์แก้ไขโปรเจ็กต์ Google Cloud ด้วยการตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมน คุณสามารถใช้ Cloud Asset Inventory API เพื่อทำความเข้าใจว่าผู้ใดมีสิทธิ์เข้าถึงบัญชีบริการได้บ้าง เช่น ใช้ Cloud Shell เพื่อเรียกใช้คำสั่งดังนี้

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

มองหาสิทธิ์หรือบทบาท เช่น เจ้าของและผู้แก้ไข iam.serviceAccountTokenCreator หรือ iam.serviceAccountKeyAdmin เพื่อดูว่าผู้ใดบ้างที่มีสิทธิ์โดยตรงหรือได้รับสิทธิ์มาในบัญชีบริการ

ทำความเข้าใจว่าผู้ใดบ้างที่มีสิทธิ์เข้าถึงบัญชีบริการ Google Cloud

หัวข้อที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร
true
เริ่มต้นการทดลองใช้งานฟรี 14 วันได้เลย

อีเมลระดับมืออาชีพ พื้นที่เก็บข้อมูลออนไลน์ การแชร์ปฏิทิน การประชุมวิดีโอ และอื่นๆ เริ่มต้นการทดลองใช้งาน G Suite ฟรีวันนี้

ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก
17290240678194537380
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
true
true
73010
false
false