Praktik terbaik delegasi tingkat domain

Gunakan akses akun layanan langsung atau izin OAuth

Hindari penggunaan delegasi tingkat domain jika Anda dapat menyelesaikan tugas secara langsung menggunakan akun layanan atau izin OAuth.

Jika Anda tidak dapat menghindari penggunaan delegasi tingkat domain, batasi kumpulan cakupan OAuth yang dapat digunakan akun layanan. Meskipun cakupan OAuth tidak membatasi pengguna yang dapat ditiru identitasnya oleh akun layanan, cakupan tersebut membatasi jenis data pengguna yang dapat diakses oleh akun layanan.

Menghindari penggunaan delegasi tingkat domain

Batasi upload dan pembuatan kunci akun layanan

Gunakan kebijakan organisasi untuk membatasi upload dan pembuatan kunci untuk akun layanan dengan delegasi tingkat domain. Hal ini membatasi peniruan akun layanan melalui kunci akun layanan.

Jangan izinkan pengguna membuat atau mengupload kunci akun layanan

Nonaktifkan pemberian peran otomatis ​​untuk akun layanan default

Akun layanan yang dibuat secara default diberi peran Editor, sehingga memungkinkan akun tersebut membaca dan mengubah semua resource dalam project Google Cloud. Anda dapat menonaktifkan pemberian peran otomatis untuk akun layanan default guna memastikan bahwa akun tersebut tidak secara otomatis mendapatkan peran Editor dan tidak dapat dimanfaatkan dengan mudah oleh pengguna berbahaya. 

Jangan gunakan pemberian peran otomatis untuk akun layanan default

Batasi pergerakan lateral

Pergerakan lateral adalah ketika akun layanan dalam satu project memiliki izin untuk meniru akun layanan di project lain. Hal ini dapat mengakibatkan akses yang tidak diinginkan ke resource. Gunakan "data pergerakan lateral" untuk mendeteksi dan membatasi pergerakan lateral melalui peniruan identitas. 

Menggunakan insight gerakan lateral untuk membatasi pergerakan lateral

Batasi akses ke akun layanan dengan delegasi tingkat domain

Jangan biarkan pengguna mengubah kebijakan izinkan akun layanan jika akun layanan memiliki lebih banyak hak istimewa daripada pengguna. Gunakan peran IAM untuk membatasi akses ke akun layanan dengan pemberian delegasi seluruh domain. 

Jangan berikan izin kepada pengguna untuk mengubah kebijakan izin akun layanan dengan hak istimewa lebih

Berikan akses hanya ke hak istimewa yang penting

Pastikan akun layanan dengan delegasi tingkat domain hanya memiliki hak istimewa penting yang diperlukan untuk menjalankan fungsi yang diinginkan. Jangan berikan akses ke cakupan OAuth yang tidak penting.

Menghosting akun layanan di project Google Cloud khusus

Pastikan akun layanan dengan delegasi tingkat domain dihosting di project Google Cloud khusus. Jangan gunakan project tersebut untuk kebutuhan bisnis lainnya.

Hindari penggunaan kunci akun layanan

Anda tidak perlu menggunakan kunci akun layanan untuk melakukan delegasi tingkat domain. Sebagai gantinya, gunakan API signJwt. 

Hindari penggunaan kunci akun layanan untuk delegasi seluruh domain

Batasi akses ke project yang memiliki delegasi tingkat domain

Minimalkan jumlah orang yang memiliki akses edit ke project Google Cloud dengan delegasi seluruh domain yang telah disiapkan. Anda dapat menggunakan API Inventaris Aset Cloud untuk memahami siapa yang memiliki akses ke akun layanan. Misalnya, gunakan Cloud Shell untuk menjalankan:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

• ORG_ID: ID organisasi Google Cloud Anda. Pelajari lebih lanjut
• PROJECT_ID: ID project Google Cloud tempat akun layanan berada. Pelajari lebih lanjut
• SERVICE_ACCOUNT_ID: ID akun layanan. ID akan dicantumkan pada Client-ID di halaman delegasi tingkat domain konsol Admin, atau di alamat email akun layanan. Pelajari lebih lanjut

Cari izin atau peran seperti pemilik dan editor iam.serviceAccountTokenCreator atau iam.serviceAccountKeyAdmin untuk memahami siapa yang memiliki izin langsung atau yang diwarisi ke akun layanan.

Mengetahui siapa yang memiliki akses ke akun layanan Google Cloud