Best Practices für domainweite Delegierung

Als Administrator können Sie die domainweite Delegierung nutzen, um internen und Drittanbieter-Apps Zugriff auf die Google Workspace-Daten Ihrer Nutzer zu gewähren, ohne die Einwilligung der Endnutzer zu benötigen. Dazu erstellen Sie in der Google Cloud Console ein Dienstkonto und delegieren die domainweite Befugnis an das Konto in der Admin-Konsole. Sie können auch eingeschränkte API-Bereiche für das Dienstkonto in der Admin-Konsole festlegen. Weitere Informationen zur domainweiten Delegierung finden Sie im Hilfeartikel Zugriff auf die API mit domainweiter Delegierung verwalten.

Dienstkonten verwalten und sichern

Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) enthält Richtlinien für die Verwendung von Dienstkonten zur Beschränkung des Zugriffs und zum Schutz vor Bedrohungen durch Rechteausweitung und Nachweisbarkeit. Die Richtlinien finden Sie unter Best Practices für die Verwendung von Dienstkonten

Alle Empfehlungen in diesem Leitfaden gelten zum Schutz von Dienstkonten, für die die domainweite Delegierung aktiviert ist. Wir haben hier einige Best Practices für Sie zusammengestellt:

Stattdessen direkten Dienstkontozugriff oder OAuth-Einwilligung verwenden

Vermeiden Sie die domainweite Delegierung, wenn Sie Ihre Aufgabe direkt über ein Dienstkonto oder über die OAuth-Einwilligung ausführen können.

Wenn Sie die domainweite Delegierung nicht vermeiden können, schränken Sie die Reihe der OAuth-Bereiche ein, die das Dienstkonto verwenden kann. OAuth-Bereiche beschränken zwar nicht, welche Nutzer die Identität des Dienstkontos übernehmen können, aber sie beschränken die Arten von Nutzerdaten, auf die das Dienstkonto zugreifen kann.

Verwenden Sie nie die domainweite Delegierung

Erstellen und Hochladen von Dienstkontoschlüsseln einschränken

Mithilfe von Organisationsrichtlinien können Sie das Erstellen und Hochladen von Schlüsseln für Dienstkonten mit domainweiter Delegierung einschränken. Dadurch wird die Identitätsübernahme von Dienstkonten durch Dienstkontoschlüssel eingeschränkt.

Erlauben Sie es Nutzern nie, Dienstkontoschlüssel zu erstellen oder hochzuladen

Automatische Rollenzuweisungen für Standarddienstkonten deaktivieren

Dienstkonten, die standardmäßig erstellt werden, erhalten die Rolle „Bearbeiter“, die es dem Nutzer des Kontos ermöglicht, alle Ressourcen im Google Cloud-Projekt zu lesen und zu ändern. Sie können die automatische Rollenzuweisung für Standarddienstkonten deaktivieren, damit sie nicht automatisch die Rolle „Bearbeiter“ erhalten und nicht leicht von böswilligen Nutzern ausgenutzt werden können. 

Verwenden Sie nie automatische Rollenzuweisungen für Standarddienstkonten

Lateral Movement begrenzen

Ein "Lateral Movement" besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Dies kann zu unbeabsichtigtem Zugriff auf Ressourcen führen. Nutzen Sie die Erkenntnisse über Lateral Movement, um Lateral Movement durch Identitätsdiebstahl zu erkennen und einzuschränken. 

Mit Erkenntnissen zum "Lateral Movement" das "Lateral Movement" begrenzen

Zugriff auf Dienstkonten mit domainweiter Delegierung beschränken

Nutzern sollten niemals die "allow"-Richtlinie eines Dienstkontos ändern dürfen, das mehr Berechtigungen als der Nutzer hat. Mit IAM-Rollen können Sie den Zugriff auf Dienstkonten mit domainweiten Delegierungsberechtigungen beschränken. 

Nutzern nicht das Ändern der "allow"-Richtlinien von Dienstkonten erlauben, die mehr Berechtigungen als der Nutzer haben

Dienstkonten vor Insiderrisiken schützen

Verwenden Sie die domainweite Delegierung nur dann, wenn es einen kritischen Geschäftsgrund gibt, für den es erforderlich ist, dass eine App die Nutzereinwilligung für den Zugriff auf Google Workspace-Daten umgeht. Probieren Sie Alternativen wie OAuth mit Nutzereinwilligung aus oder verwenden Sie Marketplace-Apps. Weitere Informationen finden Sie im Google Workspace Marketplace

Mit den folgenden Best Practices können Sie Dienstkonten mit domainweiten Delegierungsberechtigungen vor Insiderrisiken schützen:

Zugriff nur auf wichtige Berechtigungen gewähren

Achten Sie darauf, dass Dienstkonten mit domainweiter Delegierung nur die wesentlichen Berechtigungen haben, die für die Ausführung der vorgesehenen Funktionen erforderlich sind. Gewähren Sie keinen Zugriff auf weniger wichtige OAuth-Bereiche.

Dienstkonten in dedizierten Google Cloud-Projekten hosten

Achten Sie darauf, dass Dienstkonten mit domainweiter Delegierung in dedizierten Google Cloud-Projekten gehostet werden. Verwenden Sie diese Projekte nicht für andere geschäftliche Zwecke.

Verwendung von Dienstkontoschlüsseln vermeiden

Die Verwendung von Dienstkontoschlüsseln ist für die domainweite Delegierung nicht erforderlich. Verwenden Sie stattdessen die signJwt API. 

Keine Dienstkontoschlüssel für die domainweite Delegierung verwenden

Zugriff auf Projekte mit domainweiter Delegierung beschränken

Minimieren Sie die Anzahl der Personen, die Bearbeitungszugriff auf Google Cloud-Projekte mit eingerichteter domainweiter Delegierung haben. Mit der Cloud Asset Inventory API können Sie nachvollziehen, wer Zugriff auf Dienstkonten hat. Führen Sie beispielsweise mit Cloud Shell Folgendes aus:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: Ihre Google Cloud-Organisations-ID. Weitere Informationen
  • PROJECT_ID: ID des Google Cloud-Projekts, in dem sich das Dienstkonto befindet. Weitere Informationen
  • SERVICE_ACCOUNT_ID: ID des Dienstkontos. Die ID ist auf der domainweiten Delegationsseite der Admin-Konsole unter „Client-ID“ oder in der E-Mail-Adresse des Dienstkontos aufgeführt. Weitere Informationen

Suchen Sie nach Berechtigungen oder Rollen wie Inhaber und Bearbeiter von iam.serviceAccountTokenCreator oder iam.serviceAccountKeyAdmin, um zu sehen, wer direkte oder übernommene Berechtigungen für das Dienstkonto hat.

Nachvollziehen, wer Zugriff auf Google Cloud-Dienstkonten hat

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Hauptmenü
2289316669120822591
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false