도메인 전체 위임 관련 권장사항

관리자는 도메인 전체 위임을 사용하여 내부 및 서드파티 앱에서 최종 사용자 동의를 거치지 않고 사용자의 Google Workspace 데이터에 액세스하도록 허용할 수 있습니다. 이렇게 하려면 Google Cloud 콘솔에서 서비스 계정을 만들고 Google 관리 콘솔의 계정에 도메인 전체 권한을 위임해야 합니다. 관리 콘솔에서 서비스 계정에 제한된 API 범위를 제공할 수도 있습니다. 도메인 전체 위임에 관한 자세한 내용은 도메인 전체 위임으로 API 액세스 제어하기를 참고하세요.

서비스 계정 관리 및 보호하기

Identity and Access Management(IAM)는 서비스 계정을 사용하여 액세스를 제한하고 권한 에스컬레이션 및 부인 방지 위협으로부터 보호하기 위한 가이드라인을 제공합니다. 가이드라인을 검토하려면 서비스 계정 사용 관련 권장사항을 참고하세요. 

가이드의 모든 권장사항이 도메인 전체 위임을 사용하는 서비스 계정을 보호하기 위한 것이지만, 특히 강조할 권장사항은 다음과 같습니다.

도메인 전체 위임 대신 직접 서비스 계정 액세스 또는 OAuth 동의 사용

서비스 계정을 사용하거나 OAuth 동의를 사용하여 직접 작업을 수행할 수 있는 경우 도메인 전체 위임을 사용하지 마세요.

도메인 전체 위임을 사용할 수밖에 없는 경우 서비스 계정이 사용할 수 있는 OAuth 범위 설정을 제한하세요. OAuth 범위는 서비스 계정에서 가장할 수 있는 사용자를 제한하지는 않지만 서비스 계정에서 액세스할 수 있는 사용자 데이터 유형을 제한합니다.

도메인 전체 위임을 사용하지 않기

서비스 계정에서의 키 생성 및 업로드 제한

도메인 전체 위임으로 서비스 계정에서 키를 생성하고 업로드하는 것을 조직 정책을 사용하여 제한합니다. 이렇게 하면 서비스 계정 키를 통한 서비스 계정 가장이 제한됩니다.

사용자의 서비스 계정 키 생성 및 업로드 차단하기

기본 서비스 계정에 자동 역할 부여 사용 중지

기본적으로 생성되는 서비스 계정에는 Google Cloud 프로젝트의 모든 리소스를 읽고 수정할 수 있는 편집자 역할이 부여됩니다. 기본 서비스 계정에 대한 자동 역할 부여를 사용 중지하면 편집자 역할이 자동으로 부여되지 않고 악의적인 사용자가 쉽게 악용하지 못하도록 할 수 있습니다. 

기본 서비스 계정에 자동 역할 부여 사용 중지하기

측면 이동 제한

측면 이동은 한 프로젝트의 서비스 계정에 다른 프로젝트의 서비스 계정을 가장할 수 있는 권한이 있는 경우 발생합니다. 이로 인해 의도하지 않은 리소스 액세스가 허용될 수 있습니다. '측면 이동 통계'를 사용하여 가장을 통한 측면 이동을 감지하고 제한합니다. 

측면 이동 통계를 사용하여 측면 이동 제한하기

도메인 전체 위임이 부여된 서비스 계정에 대한 액세스 제한

서비스 계정에 사용자보다 더 많은 권한이 있는 경우 사용자가 서비스 계정의 허용 정책을 변경하도록 허용하지 마세요. IAM 역할을 사용하여 도메인 전체 위임이 부여된 서비스 계정에 대한 액세스를 제한합니다. 

사용자가 권한이 더 많은 서비스 계정의 허용 정책을 변경하는 것을 차단하기

내부자 위험으로부터 서비스 계정 보호하기

앱에서 사용자 동의 없이 Google Workspace 데이터에 액세스해야 하는 중요한 비즈니스 업무에만 도메인 전체 위임을 사용합니다. 그 외에는 사용자 동의를 얻은 OAuth와 같은 다른 방법을 사용하거나 Marketplace 앱을 사용합니다. 자세한 내용은 Google Workspace Marketplace를 참고하세요. 

내부자 위험으로부터 도메인 전체 위임 권한이 있는 서비스 계정을 보호하려면 다음 권장사항을 따르세요.

필수 권한에만 엑세스 부여

도메인 전체 위임을 사용하는 서비스 계정에는 의도한 기능을 수행하는 데 필요한 필수 권한만 있어야 합니다. 필수가 아닌 OAuth 범위에 대한 액세스 권한은 부여하지 마세요.

전용 Google Cloud 프로젝트에서 서비스 계정 호스팅

도메인 전체 위임을 사용하는 서비스 계정은 전용 Google Cloud 프로젝트에서 호스팅되도록 합니다. 다른 비즈니스 요구에는 해당 프로젝트를 사용하지 마세요.

서비스 계정 키 사용 피하기

도메인 전체 위임을 수행하기 위해 서비스 계정 키를 사용할 필요는 없습니다. 대신 signJwt API를 사용하세요. 

도메인 전체 위임 시 서비스 계정 키 사용하지 않기

도메인 전체 위임을 사용하는 프로젝트에 대한 액세스 제한

도메인 전체 위임이 설정된 Google Cloud 프로젝트에 수정 액세스 권한이 있는 사용자 수를 최소화합니다. Cloud Asset Inventory API를 사용하여 서비스 계정에 액세스할 수 있는 사용자를 파악할 수 있습니다. 예를 들어 Cloud Shell을 사용하여 다음을 실행합니다.

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: Google Cloud 조직 ID입니다. 자세히 알아보기
  • PROJECT_ID: 서비스 계정이 있는 Google Cloud 프로젝트의 ID입니다. 자세히 알아보기
  • SERVICE_ACCOUNT_ID: 서비스 계정의 ID입니다. ID는 관리 콘솔 도메인 전체 위임 페이지의 클라이언트 ID 아래 또는 서비스 계정의 이메일 주소에 표시됩니다. 자세히 알아보기

서비스 계정에 대한 직접 권한 또는 상속된 권한을 가진 사용자를 파악하려면 iam.serviceAccountTokenCreator 또는 iam.serviceAccountKeyAdmin 소유자 및 편집자와 같은 권한 또는 역할을 찾습니다.

Google Cloud 서비스 계정에 액세스할 수 있는 사용자 파악하기

관련 주제

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
검색
검색어 지우기
검색 닫기
기본 메뉴
15536143429191615566
true
도움말 센터 검색
true
true
true
true
true
73010
false
false