GAM项目中关于云平台权限范围的安全优化实践

背景介绍

GAM（Google Workspace Administration Manager）是一款用于管理Google Workspace的开源工具。在项目开发过程中，团队发现当前版本默认请求了过大的云平台权限范围（https://www.googleapis.com/auth/cloud-platform），这带来了潜在的安全风险。

问题分析

cloud-platform权限范围覆盖了大量Google Cloud API和资源，使用"Domain-wide Delegation"（DwD，域范围委派）方式授予此权限范围存在以下问题：

1. 过度授权风险：该权限范围允许服务账户以组织中任何用户的身份进行操作，权限过大
2. 安全最佳实践违背：不符合最小权限原则
3. 替代方案存在：IAM API有专门的https://www.googleapis.com/auth/iam权限范围，完全可以满足需求

解决方案

项目团队采取了以下措施来解决这一问题：

1. 权限范围替换

将原先使用的cloud-platform权限范围替换为更精确的iam权限范围。这一变更体现在代码中的JWT_APIS配置部分：

JWT_APIS = {
  ...
  IAM: [IAM_SCOPE],  # 替换原来的CLOUD_PLATFORM_SCOPE
  ...
}

2. 服务账户命令优化

原本使用DwD方式的服务账户密钥相关命令（如创建、轮换、删除密钥等）被重构为直接使用服务账户自身进行认证，不再存储访问/刷新令牌。

3. 权限检查机制增强

实现了更严格的权限检查机制，包括：

• 检查并标记不应使用的权限范围（如cloud-platform和iam）
• 区分不同类型的权限状态：PASS（通过）、FAIL（失败）、NOT SELECTED（GAM需要但管理员未选择）、DEPRECATED（GAM曾经使用但现已弃用）
• 将弃用权限范围单独列出，提高可读性

4. 用户提示改进

当检测到不合适的权限配置时，系统会生成清晰的提示信息，指导管理员如何更新授权设置。例如：

Deprecated scopes that GAM should NEVER have DwD access to: 3
  https://www.googleapis.com/auth/cloud-identity                            PASS (1/3)
  https://www.googleapis.com/auth/iam                                       DEPRECATED (2/3)
  https://www.googleapis.com/auth/cloud-platform                            PASS (3/3)

Some DEPRECATED scopes are enabled and should be disabled. Please visit...

实施效果

这一系列优化显著提升了GAM工具的安全性：

1. 遵循了最小权限原则，减少了潜在的安全风险
2. 提供了更清晰的权限管理界面，帮助管理员更好地理解和管理权限
3. 保持了原有功能的完整性和可用性
4. 通过自动化检查机制，确保权限配置始终符合安全最佳实践

最佳实践建议

对于使用GAM或其他类似工具的管理员，建议：

1. 定期检查服务账户的权限范围
2. 及时移除不再需要的权限
3. 遵循最小权限原则，只授予必要的权限
4. 定期轮换服务账户密钥
5. 关注工具更新，及时应用安全改进

这一安全优化案例展示了如何在保持功能完整性的同时，通过精细化的权限管理和清晰的用户指导，显著提升企业级工具的安全性。