Melding

Duet AI heet nu Gemini voor Google Workspace. Meer informatie

Best practices voor domeinbrede machtiging

Als beheerder kunt u domeinbrede machtigingen gebruiken om interne apps en apps van derden toegang te geven tot de Google Workspace-gegevens van uw gebruikers. Er is dan geen toestemming nodig van van eindgebruikers. U doet dit door een serviceaccount te maken in de Google Cloud-console en domeinbrede autoriteit te delegeren naar het account in de Google Beheerdersconsole. U kunt ook beperkte API-bereiken opgeven voor het serviceaccount in de Beheerdersconsole. Ga naar API-toegang beheren met domeinbrede machtigingen voor meer informatie over domeinbrede machtigingen.

Serviceaccounts beheren en beveiligen

Identity and Access Management (IAM) biedt richtlijnen voor het gebruik van serviceaccounts om de toegang te beperken en te beschermen tegen toe-eigening van rechten en bedreigingen. Ga naar Best practices voor het gebruik van serviceaccounts voor de richtlijnen.

Alle aanbevelingen in de handleiding zijn van toepassing op de bescherming van serviceaccounts die domeinbrede machtiging gebruiken. Dit zijn enkele uitgelichte voorbeelden:

Gebruik directe toegang tot serviceaccounts of OAuth-toestemming

Gebruik geen domeinbrede machtiging als u uw taak rechtstreeks kunt uitvoeren met een serviceaccount of door OAuth-toestemming te gebruiken.

Als u niet kunt voorkomen dat u domeinbrede machtigingen gebruikt, moet u de reeks OAuth-bereiken beperken die het serviceaccount kan gebruiken. Hoewel OAuth-bereiken niet beperken welke gebruikers het serviceaccount kan nabootsen, beperken ze wel de typen gebruikersgegevens waartoe het serviceaccount toegang heeft.

Gebruik geen domeinbrede machtigingen

Beperk het maken en uploaden van serviceaccountsleutels

Gebruik organisatiebeleid om het maken en uploaden van sleutels te beperken voor serviceaccounts met domeinbrede machtigingen. Dit beperkt nabootsing van serviceaccounts via serviceaccountsleutels.

Sta gebruikers niet toe serviceaccountsleutels te maken of te uploaden

Zet automatische roltoewijzingen uit voor standaard serviceaccounts

Serviceaccounts die standaard worden gemaakt, krijgen de rol Bewerker. Hiermee kan het account alle resources in het Google Cloud-project lezen en aanpassen. U kunt automatische roltoewijzingen uitzetten voor standaard serviceaccounts om te zorgen dat ze niet automatisch de rol Bewerker krijgen en niet makkelijk kunnen worden misbruikt door kwaadwillenden.

Gebruik geen automatische roltoewijzingen voor standaard serviceaccounts

Beperk laterale beweging

Laterale beweging vindt plaats als een serviceaccount in het ene project rechten heeft om een serviceaccount in een ander project na te bootsen. Dit kan leiden tot onbedoelde toegang tot resources. Gebruik Inzichten in laterale bewegingen om laterale bewegingen te detecteren en te beperken door nabootsing van identiteit.

Gebruik Inzichten in laterale beweging om laterale beweging te beperken

Beperk toegang tot serviceaccounts met domeinbrede machtigingen

Laat een gebruiker het beleid voor toestaan van een serviceaccount niet wijzigen als het serviceaccount meer rechten heeft dan de gebruiker. Gebruik IAM-rollen om de toegang te beperken tot serviceaccounts met domeinbrede machtigingen.

Voorkom dat gebruikers het beleid voor toestaan van meer gemachtigde serviceaccounts wijzigen

Serviceaccounts beschermen tegen insiderrisico's

Gebruik alleen domeinbrede machtigingen als er een belangrijke businesscase is waarbij een app de toestemming van gebruikers moet overslaan voor toegang tot Google Workspace-gegevens. Probeer alternatieven, zoals OAuth met gebruikerstoestemming of gebruik Marketplace-apps. Ga naar Google Workspace Marketplace voor meer informatie.

Volg deze best practices om serviceaccounts met domeinbrede machtigingsrechten te beschermen tegen insiderrisico's:

Verleen alleen toegang tot essentiële rechten

Zorg dat serviceaccounts met domeinbrede machtigingen alleen de essentiële rechten hebben om de beoogde functies uit te voeren. Geef geen toegang tot niet-essentiële OAuth-bereiken.

Host serviceaccounts in speciale Google Cloud-projecten

Zorg dat serviceaccounts met domeinbrede machtigingen worden gehost in speciale Google Cloud-projecten. Gebruik deze projecten niet voor andere zakelijke behoeften.

Vermijd het gebruik van serviceaccountsleutels

Er hoeven geen serviceaccountsleutels worden gebruikt om domeinbrede machtigingen uit te voeren. Gebruik in plaats daarvan de signJwt API.

Gebruik geen serviceaccountsleutels voor domeinbrede machtigingen

Beperk toegang tot projecten met domeinbrede machtigingen

Gebruik domeinbrede machtigingen om het aantal mensen met bewerkingsrechten voor Google Cloud-projecten te minimaliseren. Met de Cloud Asset Inventory API ziet u wie toegang heeft tot serviceaccounts. Gebruik bijvoorbeeld Cloud Shell om het volgende uit te voeren:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: Uw organisatie-ID voor Google Cloud. Meer informatie
  • PROJECT_ID: ID van het Google Cloud-project waaronder het serviceaccount zich bevindt. Meer informatie
  • SERVICE_ACCOUNT_ID: De ID van het serviceaccount. De ID staat onder Client-ID op de domeinbrede machtigingspagina in de Beheerdersconsole of in het e-mailadres van het serviceaccount. Meer informatie

Zoek naar rechten of rollen zoals iam.serviceAccountTokenCreator of iam.serviceAccountKeyAdmin (eigenaar en bewerker) om te zien wie rechtstreekse of overgenomen rechten voor het serviceaccount heeft.

Inzicht in wie toegang heeft tot Google Cloud-serviceaccounts

Gerelateerde onderwerpen

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
18107223681550620242
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false