Per configurare la risorsa organizzazione Google Cloud, devi utilizzare un account super amministratore di Google Workspace o Cloud Identity. Questa pagina descrive le best practice per l'utilizzo dei tuoi account super amministratore di Google Workspace o Cloud Identity con la tua risorsa organizzazione Google Cloud.
Tipi di account
Un account super amministratore di Google Workspace ha un insieme di funzionalità amministrative che include Cloud Identity. Fornisce un singolo set di controlli per la gestione delle identità da utilizzare in tutti i servizi Google, come Documenti, Fogli, Google Cloud e così via.
Un account Cloud Identity fornisce solo funzionalità di autenticazione e gestione delle identità, indipendentemente da Google Workspace.
Crea un indirizzo email di super amministratore
Crea un nuovo indirizzo email non specifico per un determinato utente come account super amministratore di Google Workspace o Cloud Identity. Questo account dovrebbe essere ulteriormente protetto con l'autenticazione a più fattori e potrebbe essere utilizzato come strumento di recupero di emergenza.
Designare gli amministratori dell'organizzazione
Dopo aver acquisito una nuova risorsa dell'organizzazione, designa uno o più amministratori dell'organizzazione. Questo ruolo ha un insieme più ridotto di autorizzazioni pensate per gestire le operazioni quotidiane dell'organizzazione.
Devi inoltre creare un gruppo di amministratori privato di Google Cloud nel tuo account super amministratore di Google Workspace o Cloud Identity. Aggiungi a questo gruppo gli utenti Amministratore organizzazione, ma non l'utente super amministratore. Concedi a questo gruppo il ruolo IAM Amministratore dell'organizzazione o un sottoinsieme limitato di autorizzazioni del ruolo.
Ti consigliamo di mantenere il tuo account super amministratore separato dal gruppo di amministratori dell'organizzazione. In qualità di super amministratore, puoi concedere il ruolo Amministratore organizzazione all'utente più adatto per gestire la risorsa dell'organizzazione e i relativi contenuti.
Per informazioni sulla gestione del controllo dell'accesso dell'accesso per la risorsa dell'organizzazione utilizzando i criteri di Identity and Access Management, consulta Controllo dell'accesso per le organizzazioni che utilizzano IAM.
Imposta i ruoli appropriati
Google Workspace e Cloud Identity hanno ruoli amministrativi non permissivi quanto il ruolo di super amministratore. Ti consigliamo di seguire il principio del privilegio minimo concedendo agli utenti l'insieme minimo di autorizzazioni di cui hanno bisogno per gestire utenti e gruppi.
Scoraggia l'utilizzo dell'account super amministratore
L'account super amministratore di Google Workspace e Cloud Identity dispone di un potente insieme di autorizzazioni che non sono necessarie per l'amministrazione giornaliera della tua organizzazione. Dovresti implementare criteri che proteggeranno i tuoi account super amministratore e renderanno meno probabile che gli utenti tentino di utilizzarli per le operazioni quotidiane, ad esempio:
Forza l'applicazione dell'autenticazione a più fattori sui tuoi account super amministratore e su tutti gli account che hanno privilegi elevati.
Utilizza un token di sicurezza o un altro dispositivo di autenticazione fisico per applicare la verifica in due passaggi.
Per l'account super amministratore iniziale, assicurati che il token di sicurezza sia conservato in un luogo sicuro, preferibilmente presso la tua posizione fisica.
Assegna ai super amministratori un account separato che richiede un accesso separato. Ad esempio, l'utente alice@example.com potrebbe avere un account super amministratore alice-admin@example.com.
- Se esegui la sincronizzazione con un protocollo di identità di terze parti, assicurati di applicare gli stessi criteri di sospensione a Cloud Identity e all'identità di terze parti corrispondente.
Se hai un account Google Workspace aziendale o aziendale oppure un account premium di Cloud Identity, puoi applicare un periodo di accesso breve a qualsiasi account super amministratore.
Segui le indicazioni descritte in Pattern di best practice per la sicurezza per gli account amministratore.
Avvisi di chiamata API
Utilizza l'osservabilità di Google Cloud per configurare avvisi che ti invieranno una notifica quando viene effettuata una chiamata API SetIamPolicy(). Verrà inviato un avviso quando qualcuno modifica un criterio IAM.
Procedura di recupero dell'account
Accertati che gli amministratori dell'organizzazione conoscano la procedura di recupero dell'account per i super amministratori. Questa procedura ti aiuterà a recuperare il tuo account nel caso in cui le credenziali dei super amministratori vengano perse o compromesse.
Più risorse organizzazione
Ti consigliamo di utilizzare le cartelle per gestire le parti della tua organizzazione che vuoi gestire separatamente. Se vuoi utilizzare più risorse dell'organizzazione, avrai bisogno di più account Google Workspace o Cloud Identity. Per informazioni sulle implicazioni dell'utilizzo di più risorse Google Workspace e Cloud Identity, consulta Gestione di più risorse dell'organizzazione.