แนวทางปฏิบัติแนะนำสำหรับการมอบสิทธิ์ทั่วทั้งโดเมน

ใช้สิทธิ์เข้าถึงบัญชีบริการโดยตรงหรือความยินยอม OAuth แทน

หลีกเลี่ยงการใช้การมอบสิทธิ์ทั่วทั้งโดเมนหากคุณสามารถทำงานโดยตรงได้โดยใช้บัญชีบริการหรือใช้ความยินยอม OAuth

หากหลีกเลี่ยงการใช้การมอบสิทธิ์ทั่วทั้งโดเมนไม่ได้ ให้จำกัดจำนวนชุดขอบเขต OAuth ที่บัญชีบริการใช้ได้ แม้ว่าขอบเขต OAuth จะไม่จำกัดว่าผู้ใช้รายใดบ้างที่บัญชีบริการจะนำข้อมูลมาใช้ได้ แต่จะจำกัดประเภทข้อมูลผู้ใช้ที่บัญชีบริการเข้าถึงได้

หลีกเลี่ยงการใช้การมอบสิทธิ์ทั่วทั้งโดเมน

จำกัดการสร้างและอัปโหลดคีย์บัญชีบริการ

ใช้นโยบายองค์กรเพื่อจำกัดการสร้างและอัปโหลดคีย์สำหรับบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมน การดำเนินการนี้จะจำกัดการนำข้อมูลมาใช้ของบัญชีบริการผ่านคีย์บัญชีบริการ

ไม่อนุญาตให้ผู้ใช้สร้างหรืออัปโหลดคีย์บัญชีบริการ

ปิดใช้การมอบหมายบทบาทอัตโนมัติสำหรับบัญชีบริการเริ่มต้น

บัญชีบริการที่สร้างขึ้นโดยค่าเริ่มต้นจะได้รับบทบาทผู้แก้ไข ซึ่งจะอนุญาตให้บัญชีดังกล่าวอ่านและแก้ไขแหล่งข้อมูลทั้งหมดในโปรเจ็กต์ Google Cloud ได้ คุณสามารถปิดใช้การมอบหมายบทบาทอัตโนมัติให้กับบัญชีบริการเริ่มต้นได้ เพื่อให้แน่ใจว่าบัญชีบริการดังกล่าวจะไม่ได้รับบทบาท "ผู้แก้ไข" โดยอัตโนมัติ และเพื่อให้ผู้ใช้ที่อันตรายแสวงหาประโยชน์จากส่วนนี้ได้ยากขึ้น

อย่าใช้การมอบหมายบทบาทโดยอัตโนมัติสำหรับบัญชีบริการเริ่มต้น

จำกัด Lateral Movement

Lateral Movement คือการที่บัญชีบริการในโปรเจ็กต์หนึ่งมีสิทธิ์ในการนำบัญชีบริการในโปรเจ็กต์อื่นมาใช้ ซึ่งอาจส่งผลให้เกิดการเข้าถึงแหล่งข้อมูลโดยไม่ได้ตั้งใจ ใช้ "ข้อมูลเชิงลึกเกี่ยวกับ Lateral Movement" เพื่อตรวจจับและจำกัด Lateral Movement ผ่านการนำข้อมูลมาใช้

ใช้ข้อมูลเชิงลึกเกี่ยวกับ Lateral Movement เพื่อจำกัด Lateral Movement

จำกัดการเข้าถึงบัญชีบริการด้วยการมอบสิทธิ์ทั่วทั้งโดเมน

ห้ามอนุญาตให้ผู้ใช้เปลี่ยนนโยบายการอนุญาตของบัญชีบริการ หากบัญชีบริการมีสิทธิ์มากกว่าผู้ใช้ ใช้บทบาท IAM เพื่อจำกัดการเข้าถึงบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมน

หลีกเลี่ยงการอนุญาตให้ผู้ใช้เปลี่ยนนโยบายการอนุญาตของบัญชีบริการที่มีสิทธิ์มากกว่า

อนุญาตให้เข้าถึงสิทธิ์ที่จำเป็นเท่านั้น

ตรวจสอบว่าบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมนมีเพียงสิทธิ์ที่จำเป็นสำหรับฟังก์ชันการทำงานที่จำเป็นเท่านั้น อย่ามอบสิทธิ์เข้าถึงขอบเขต OAuth ที่ไม่จำเป็น

โฮสต์บัญชีบริการในโปรเจ็กต์ Google Cloud ที่จัดไว้โดยเฉพาะ

ตรวจสอบว่าบัญชีบริการที่มีการมอบสิทธิ์ทั่วทั้งโดเมนมีการโฮสต์ในโปรเจ็กต์ Google Cloud ที่จัดไว่โดยเฉพาะ โปรดอย่าใช้โปรเจ็กต์เหล่านั้นเพื่อวัตถุประสงค์ทางธุรกิจอื่นๆ

หลีกเลี่ยงการใช้คีย์บัญชีบริการ

คุณไม่จำเป็นต้องใช้คีย์บัญชีบริการเพื่อมอบสิทธิ์ทั่วทั้งโดเมน โปรดใช้ SignJwt API แทน

หลีกเลี่ยงการใช้คีย์บัญชีบริการในการมอบสิทธิ์ทั่วทั้งโดเมน

จำกัดการเข้าถึงโปรเจ็กต์ที่มีการมอบสิทธิ์ทั่วทั้งโดเมน

ลดจำนวนผู้ที่มีสิทธิ์แก้ไขโปรเจ็กต์ Google Cloud ด้วยการตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมน คุณสามารถใช้ Cloud Asset Inventory API เพื่อทำความเข้าใจว่าผู้ใดมีสิทธิ์เข้าถึงบัญชีบริการได้บ้าง เช่น ใช้ Cloud Shell เพื่อเรียกใช้คำสั่งดังนี้

gcloud asset get-effective-iam-policy
--scope=organizations/<ORG_ID>
--names=//iam.googleapis.com/projects/<PROJECT_ID>/serviceAccounts/
<SERVICE_ACCOUNT_ID>

• ORG_ID: รหัสองค์กร Google Cloud ดูข้อมูลเพิ่มเติม
• PROJECT_ID: รหัสโปรเจ็กต์ Google Cloud ที่มีบัญชีบริการอยู่ ดูข้อมูลเพิ่มเติม
• SERVICE_ACCOUNT_ID: รหัสบัญชีบริการ รหัสนี้จะแสดงอยู่ในส่วน "รหัสไคลเอ็นต์" ในหน้าการมอบสิทธิ์ทั่วทั้งโดเมนของคอนโซลผู้ดูแลระบบ หรือในอีเมลของบัญชีบริการ ดูข้อมูลเพิ่มเติม

มองหาสิทธิ์หรือบทบาท เช่น เจ้าของและผู้แก้ไข iam.serviceAccountTokenCreator หรือ iam.serviceAccountKeyAdmin เพื่อดูว่าผู้ใดบ้างที่มีสิทธิ์โดยตรงหรือได้รับสิทธิ์มาในบัญชีบริการ

ทำความเข้าใจว่าผู้ใดบ้างที่มีสิทธิ์เข้าถึงบัญชีบริการ Google Cloud