Untuk mengonfigurasi resource organisasi Google Cloud, Anda harus menggunakan akun admin super Google Workspace atau Cloud Identity. Halaman ini menjelaskan praktik terbaik untuk menggunakan akun admin super Google Workspace atau Cloud Identity dengan resource organisasi Google Cloud Anda.
Jenis akun
Akun admin super Google Workspace memiliki serangkaian kemampuan administratif yang mencakup Cloud Identity. Hal ini menyediakan satu kumpulan kontrol pengelolaan identitas untuk digunakan di semua layanan Google, seperti Dokumen, Spreadsheet, Google Cloud, dan sebagainya.
Akun Cloud Identity hanya menyediakan fungsi autentikasi dan pengelolaan identitas, terlepas dari Google Workspace.
Membuat alamat email admin super
Buat alamat email baru yang tidak spesifik untuk pengguna tertentu sebagai akun admin super Google Workspace atau Cloud Identity. Akun ini harus diamankan lebih lanjut dengan autentikasi multi-faktor, dan dapat digunakan sebagai alat pemulihan darurat.
Menetapkan Administrator Organisasi
Setelah mendapatkan resource organisasi baru, Anda dapat menetapkan satu atau beberapa Administrator Organisasi. Peran ini memiliki serangkaian izin yang lebih kecil yang dirancang untuk mengelola operasi organisasi harian Anda.
Anda juga harus membuat grup administrator Google Cloud pribadi di akun admin super Google Workspace atau Cloud Identity. Tambahkan pengguna Administrator Organisasi ke grup ini, tetapi bukan pengguna admin super. Berikan peran IAM Administrator Organisasi atau subkumpulan izin peran yang terbatas kepada grup ini.
Sebaiknya pertahankan akun admin super Anda terpisah dari grup Administrator Organisasi. Sebagai admin super, Anda dapat memberikan peran Organization Administrator kepada pengguna yang sesuai dan paling tepat untuk mengelola resource organisasi dan kontennya.
Untuk informasi tentang cara mengelola kontrol akses untuk resource organisasi Anda menggunakan kebijakan Identity and Access Management, lihat Kontrol Akses untuk Organisasi yang menggunakan IAM.
Menetapkan peran yang sesuai
Google Workspace dan Cloud Identity memiliki peran administratif yang tidak selonggar peran admin super. Sebaiknya ikuti prinsip hak istimewa terendah dengan memberikan serangkaian izin minimum yang diperlukan pengguna untuk mengelola pengguna dan grup.
Melarang penggunaan akun admin super
Akun admin super Google Workspace dan Cloud Identity memiliki serangkaian izin yang kuat yang tidak perlu digunakan dalam pengelolaan harian organisasi Anda. Anda harus menerapkan kebijakan yang akan mengamankan akun admin super dan membuat pengguna cenderung tidak mencoba menggunakannya untuk operasi sehari-hari, seperti:
Terapkan autentikasi multi-faktor di akun admin super Anda serta semua akun yang memiliki hak istimewa yang ditingkatkan.
Gunakan kunci keamanan atau perangkat autentikasi fisik lainnya untuk menerapkan verifikasi dua langkah.
Untuk akun admin super awal, pastikan kunci keamanan disimpan di tempat yang aman, sebaiknya di lokasi fisik Anda.
Berikan akun terpisah kepada admin super yang memerlukan login terpisah. Misalnya, pengguna alice@example.com dapat memiliki akun admin super alice-admin@example.com.
- Jika Anda menyinkronkan dengan protokol identitas pihak ketiga, pastikan Anda menerapkan kebijakan penangguhan yang sama ke Cloud Identity dan identitas pihak ketiga yang sesuai.
Jika memiliki akun Google Workspace Enterprise atau Business atau akun premium Cloud Identity, Anda dapat menerapkan periode login singkat untuk akun admin super.
Ikuti panduan dalam Pola praktik terbaik keamanan untuk akun administrator.
Notifikasi panggilan API
Gunakan Google Cloud Observability untuk
menyiapkan pemberitahuan yang akan memberi tahu
Anda saat panggilan API SetIamPolicy()
dilakukan. Tindakan ini akan mengirim pemberitahuan saat siapa pun mengubah kebijakan IAM.
Proses pemulihan akun
Pastikan Administrator Organisasi sudah memahami proses pemulihan akun admin super. Proses ini akan membantu Anda memulihkan akun jika kredensial admin super hilang atau disusupi.
Beberapa resource organisasi
Sebaiknya gunakan folder untuk mengelola bagian organisasi yang ingin Anda kelola secara terpisah. Jika ingin menggunakan beberapa resource organisasi, Anda memerlukan beberapa akun Google Workspace atau Cloud Identity. Untuk informasi tentang implikasi penggunaan beberapa Google Workspace dan Cloud Identity, lihat Mengelola beberapa resource organisasi.