Best practice per la delega a livello di dominio

In qualità di amministratore, puoi utilizzare la delega a livello di dominio per consentire alle app interne e di terze parti di accedere ai dati di Google Workspace dei tuoi utenti, ignorando il bypassando dell'utente finale. Per farlo, crea un account di servizio nella console Google Cloud e delega l'autorità a livello di dominio all'account nella Console di amministrazione Google. Puoi anche fornire gli ambiti API limitati all'account di servizio nella Console di amministrazione. Per saperne di più sulla delega a livello di dominio, vedi Controllare l'accesso all'API con la delega a livello di dominio.

Gestire e proteggere gli account di servizio

Identity and Access Management (IAM) fornisce linee guida per l'utilizzo degli account di servizio al fine di limitare l'accesso e proteggere da escalation dei privilegi e minacce di non ripudio. Per rivedere le linee guida, vai a Best practice per l'utilizzo degli account di servizio

Sebbene tutti i consigli nella guida mirino a proteggere gli account di servizio che utilizzano la delega a livello di dominio, si evidenziano le seguenti pratiche:

Utilizza l'accesso diretto all'account di servizio o il consenso OAuth

Evita di utilizzare la delega a livello di dominio se puoi eseguire l'attività direttamente utilizzando un account di servizio o il consenso OAuth.

Se non puoi evitare di utilizzare la delega a livello di dominio, limita l'insieme di ambiti OAuth che l'account di servizio può utilizzare. Anche se gli ambiti OAuth non limitano gli utenti che l'account di servizio può rappresentare tramite simulazione dell'identità, limitano i tipi di dati utente a cui l'account di servizio può accedere.

Evitare di utilizzare la delega a livello di dominio

Limita creazione e caricamento delle chiavi dell'account di servizio

Utilizza i criteri dell'organizzazione per limitare la creazione e il caricamento delle chiavi per gli account di servizio con delega a livello di dominio. Questo limita la simulazione dell'identità degli account di servizio tramite chiavi degli account di servizio.

Non consentire agli utenti di creare o caricare le chiavi degli account di servizio

Disabilita la concessione automatica dei ruoli per gli account di servizio predefiniti

Agli account di servizio creati per impostazione predefinita viene concesso il ruolo Editor, che consente all'account di leggere e modificare tutte le risorse nel progetto Google Cloud. Puoi disattivare la concessione automatica dei ruoli per gli account di servizio predefiniti per assicurarti che non ricevano automaticamente il ruolo Editor e che non possano essere facilmente sfruttati da un utente malintenzionato. 

Non utilizzare la concessione automatica dei ruoli per gli account di servizio predefiniti

Limitare il movimento laterale

ll movimento laterale si verifica quando un account di servizio in un progetto è autorizzato a simulare l'identità di un account di servizio in un altro progetto. Questo può causare l'accesso involontario alle risorse. Utilizza le "informazioni sul movimento laterale" per rilevare e limitare i movimenti laterali tramite il furto d'identità. 

Utilizzare le informazioni sul movimento laterale per limitare il movimento laterale

Limita l'accesso agli account di servizio con delega a livello di dominio

Non consentire a un utente di modificare il criterio di autorizzazione di un account di servizio se l'account di servizio ha più privilegi dell'utente. Utilizza i ruoli IAM per limitare l'accesso agli account di servizio con concessioni di delega a livello di dominio. 

Evitare di consentire agli utenti di modificare i criteri di autorizzazione di account di servizio con più privilegi

Proteggere gli account di servizio dai rischi provenienti da personale interno

Utilizza la delega a livello di dominio solo in presenza di un caso aziendale critico che richiede che un'app ignori il consenso dell'utente per accedere ai dati di Google Workspace. Prova alternative come OAuth con il consenso dell'utente o utilizza le app del Marketplace. Per saperne di più, vai a Google Workspace Marketplace

Segui queste best practice per proteggere gli account di servizio con privilegi di delega a livello di dominio da rischi legati al personale interno:

Concedi l'accesso solo ai privilegi essenziali

Assicurati che gli account di servizio con delega a livello di dominio dispongano solo dei privilegi essenziali necessari per svolgere le funzioni previste. Non concedere l'accesso ad ambiti OAuth non essenziali.

Ospita account di servizio in progetti Google Cloud dedicati

Assicurati che gli account di servizio con delega a livello di dominio siano ospitati in progetti Google Cloud dedicati. Non utilizzare questi progetti per altre esigenze aziendali.

Evita di utilizzare chiavi degli account di servizio

L'utilizzo delle chiavi degli account di servizio non è necessario per eseguire la delega a livello di dominio. Utilizza invece l'API signJwt. 

Evitare di utilizzare chiavi degli account di servizio per la delega a livello di dominio

Limita l'accesso ai progetti con delega a livello di dominio

Riduci al minimo il numero di persone con accesso in modifica ai progetti Google Cloud con la delega a livello di dominio configurata. Puoi utilizzare l'API Cloud Asset Inventory per capire chi ha accesso agli account di servizio. Ad esempio, puoi utilizzare Cloud Shell per eseguire:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: l'ID della tua organizzazione Google Cloud. Scopri di più
  • PROJECT_ID: ID del progetto Google Cloud in cui si trova l'account di servizio. Scopri di più
  • SERVICE_ACCOUNT_ID: ID dell'account di servizio. L'ID è indicato nell'ID client nella pagina della delega a livello di dominio della Console di amministrazione oppure nell'indirizzo email dell'account di servizio. Scopri di più

Cerca autorizzazioni o ruoli come iam.serviceAccountTokenCreator o iam.serviceAccountKeyAdmin (proprietario ed editor) per capire chi ha le autorizzazioni dirette o ereditate per l'account di servizio.

Comprendere chi ha accesso agli account di servizio Google Cloud

Argomenti correlati

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
11615208114114660577
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false