Como administrador, puedes utilizar la delegación de todo el dominio para permitir que aplicaciones internas y de terceros accedan a los datos de Google Workspace de tus usuarios sin el consentimiento de los usuarios finales. Para ello, crea una cuenta de servicio en la consola de Google Cloud y delega la autoridad de todo el dominio a la cuenta desde la consola de administración de Google. También puedes proporcionar permisos limitados de API a la cuenta de servicio desde la consola de administración. Para obtener más información sobre la delegación de todo el dominio, consulta el artículo Controlar el acceso a las APIs con la delegación de todo el dominio.
Gestionar y proteger cuentas de servicio
Gestión de Identidades y Accesos (IAM) proporciona directrices para usar cuentas de servicio para limitar el acceso y protegerte contra la apropiación de privilegios y las amenazas de no repudio. Para revisar las directrices, consulta el artículo sobre las prácticas recomendadas para usar las cuentas de servicio.
Si bien todas las recomendaciones de la guía sirven para proteger las cuentas de servicio que utilizan la delegación de todo el dominio, estas son algunas de las prácticas destacadas:
Usar el acceso directo a la cuenta de servicio o el consentimiento de OAuth Evita el uso de la delegación de todo el dominio si puedes realizar tu tarea directamente con una cuenta de servicio o con el consentimiento de OAuth. Si no puedes evitar el uso de la delegación de todo el dominio, restringe el conjunto de permisos de OAuth que puede utilizar la cuenta de servicio. Aunque los permisos de OAuth no restringen qué usuarios puede actuar como la cuenta de servicio, sí que restringen los tipos de datos de usuario a los que puede acceder la cuenta. |
|
Restringir la creación y la subida de claves de cuentas de servicio Utiliza políticas de organización para restringir la creación y la subida de claves de las cuentas de servicio con delegación de todo el dominio. De esta forma, se limita la suplantación de identidad de cuentas de servicio mediante claves de cuentas de servicio. No permitir que los usuarios creen ni suban claves de cuentas de servicio |
|
Inhabilitar concesiones automáticas de roles para las cuentas de servicio predeterminadas Las cuentas de servicio que se crean de forma predeterminada tienen el rol Editor, que les permite leer y modificar todos los recursos del proyecto de Google Cloud. Puedes inhabilitar la concesión automática de roles en las cuentas de servicio predeterminadas para que no se les asigne el rol Editor automáticamente y que ningún usuario malicioso pueda aprovecharlas fácilmente. No utilizar concesiones automáticas de roles en las cuentas de servicio predeterminadas |
|
Limitar el movimiento lateral El movimiento lateral se produce cuando una cuenta de servicio de un proyecto tiene permiso para suplantar la identidad de una cuenta de servicio de otro proyecto. Esto puede provocar que se acceda de forma no deseada a los recursos. Utiliza las estadísticas de movimientos laterales para detectar y limitar el movimiento lateral mediante la suplantación de identidad. |
|
Limitar el acceso a las cuentas de servicio con la delegación de todo el dominio No permitir que un usuario cambie la política de autorización de una cuenta de servicio si esta tiene más privilegios que el usuario. Usa roles de gestión de identidades y accesos para limitar el acceso a las cuentas de servicio con concesiones de la delegación de todo el dominio. |
Protege las cuentas de servicio frente a riesgos internos
Usa la delegación de todo el dominio solo si tienes un modelo de negocio clave que requiera que una aplicación evite el consentimiento de los usuarios para acceder a los datos de Google Workspace. Prueba alternativas como OAuth con el consentimiento de los usuarios o usa aplicaciones de Marketplace. Puedes consultar más información al respecto en Google Workspace Marketplace.
Sigue estas prácticas recomendadas para proteger las cuentas de servicio con privilegios de delegación de todo el dominio frente a riesgos de insiders:
Dar acceso solo a privilegios esenciales Asegúrate de que las cuentas de servicio con delegación de todo el dominio tengan solo los privilegios esenciales para llevar a cabo sus funciones. No concedas acceso a permisos de OAuth no esenciales. |
|
Alojar cuentas de servicio en proyectos específicos de Google Cloud Asegúrate de que las cuentas de servicio con delegación de todo el dominio estén alojadas en proyectos específicos de Google Cloud. No uses esos proyectos para otras necesidades empresariales. |
|
Evitar usar claves de cuentas de servicio No hace falta usar claves de cuenta de servicio para al delegación de todo el dominio. En su lugar, usa la API signJwt. Evitar el uso de claves de cuenta de servicio para la delegación de todo el dominio |
|
Restringir el acceso a proyectos que tengan delegación de todo el dominio Minimiza el número de personas que tienen permiso para editar en los proyectos de Google Cloud configurando la delegación de todo el dominio. La API de Inventario de Recursos de Cloud te permite saber quién tiene acceso a las cuentas de servicio. Por ejemplo, usa Cloud Shell para ejecutar lo siguiente:
Busca permisos o roles, como los de propietario y editor Descubre quién tiene acceso a las cuentas de servicio de Google Cloud |