Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Rekommenderade metoder för domänomfattande delegering

Som administratör kan du använda domänomfattande delegering för att ge interna appar och appar från tredje part åtkomst till användarnas Google Workspace-data och kringgå slutanvändarens samtycke. Om du vill göra detta skapar du ett tjänstkonto på Google Cloud Console och delegerar domänomfattande behörighet till kontot på Googles administratörskonsol. Du kan även tillhandahålla begränsade API-omfattningar till tjänstkontot på administratörskonsolen. Mer information om domänomfattande delegering finns i Styra API-åtkomst med domänomfattande delegering.

Hantera och skydda tjänstkonton

Identitets- och åtkomsthantering (IAM) ger riktlinjer för användning av tjänstkonton för att begränsa åtkomst och skydda mot eskalering av behörighet och hot mot icke-avvisande. Granska riktlinjerna i Metodtips för användning av tjänstkonton

Alla rekommendationer i guiden gäller för att skydda tjänstkonton som använder domänomfattande delegering, men några utvalda metoder är följande:

Använd direktåtkomst till tjänstkonto eller OAuth-samtycke i stället

Undvik att använda domänomfattande delegering om du kan utföra uppgiften direkt med ett tjänstkonto eller genom att använda OAuth-samtycke.

Om du inte kan undvika att använda domänomfattande delegering begränsar du uppsättningen OAuth-omfattningar som tjänstkontot kan använda. Även om OAuth-omfattningar inte begränsar vilka användare som tjänstkontot kan imitera, begränsar de vilka typer av användardata som tjänstkontot kan få åtkomst till.

Undvik att använda domänomfattande delegering

Begränsa generering och uppladdning av tjänstkontonycklar

Använd organisationspolicyer för att begränsa generering och uppladdning av nycklar för tjänstkonton med domänomfattande delegering. Detta begränsar identitetsstöld för tjänstkontot via tjänstkontonycklar.

Låt inte användarna skapa eller ladda upp nycklar för tjänstkontot

Inaktivera automatiska rollbeviljanden för standardtjänstkonton

Tjänstkonton som skapas som standard får rollen Redigerare, vilket gör att kontot kan läsa och ändra alla resurser i Google Cloud-projektet. Du kan inaktivera automatiska rollbeviljanden för standardtjänstkonton för att säkerställa att de inte automatiskt får rollen Redigerare och inte enkelt kan användas av en skadlig användare. 

Använd inte automatiska rollbeviljanden för standardtjänstkonton

Begränsa sidorörelser

Sidoförflyttning är när ett tjänstkonto i ett projekt har behörighet att utge sig för att vara ett tjänstkonto i ett annat projekt. Det kan leda till oavsiktlig åtkomst till resurser. Använd Insikter om rörelse i sidled för att upptäcka och begränsa sidorörelser till följd av identitetsstöld. 

Använda insikter om sidrörelser för att begränsa rörelser i sidled

Begränsa åtkomsten till tjänstkonton med domänomfattande delegering

Låt inte en användare ändra policyn för tillåtna tjänster för ett tjänstkonto om tjänstkontot har fler behörigheter än användaren. Använd IAM-roller för att begränsa åtkomsten till tjänstkonton med domänomfattande delegeringsbeviljanden. 

Undvik att låta användarna ändra tillåtna policyer för mer privilegierade tjänstkonton

Skydda tjänstkonton från insiderrisker

Använd enbart domänomfattande delegering när du har ett kritiskt affärsärende som kräver att en app kringgår användarsamtycke för åtkomst till Google Workspace-data. Testa alternativ som OAuth med användarsamtycke eller använd Marketplace-appar. Mer information finns på Google Workspace Marketplace

Följ de här metodtipsen för att skydda tjänstkonton med domänomfattande delegeringsbehörigheter från insiderrisker:

Bevilja endast åtkomst till nödvändiga behörigheter

Se till att tjänstkonton med domänomfattande delegering enbart har de nödvändiga behörigheter som krävs för att utföra de avsedda funktionerna. Ge inte åtkomst till icke-nödvändiga OAuth-omfattningar.

Vara värd för tjänstkonton i dedikerade Google Cloud-projekt

Se till att tjänstkonton med domänomfattande delegering finns i dedikerade Google Cloud-projekt. Använd inte projekten för andra affärsbehov.

Undvik att använda tjänstkontonycklar

Användning av tjänstkontonycklar är inte nödvändigt för att utföra domänomfattande delegering. Använd signJwt API i stället. 

Undvik att använda tjänstkontonycklar för domänomfattande delegering

Begränsa åtkomsten till projekt som har domänomfattande delegering

Minimera antalet personer som har redigeringsåtkomst till Google Cloud-projekt med domänomfattande delegering konfigurerad. Du kan använda Cloud Asset Inventory API för att förstå vem som har åtkomst till tjänstkonton. Använd till exempel Cloud Shell för att köra:

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

  • ORG_ID: Ditt organisations-id för Google Cloud. Läs mer
  • Project_ID: id för det Google Cloud-projekt där tjänstkontot finns. Läs mer
  • SERVICE_ACCOUNT_ID: id för tjänstkontot. Id:t visas under Klient-id på administratörskonsolens domänomfattande delegeringssida eller i tjänstkontots e-postadress. Läs mer

Leta efter behörigheter eller roller som iam.serviceAccountTokenCreator eller iam.serviceAccountKeyAdmin ägare och redigerare för att förstå vem som har direkta eller ärvda behörigheter till tjänstkontot.

Förstå vem som har åtkomst till Google Cloud-tjänstkonton

Relaterade ämnen

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
12773014033283951312
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false