Zum Konfigurieren Ihrer Google Cloud -Organisationsressource benötigen Sie ein Super Admin-Konto für Google Workspace oder Cloud Identity. Auf dieser Seite werden Best Practices für die Verwendung von Super Admin-Konten für Google Workspace oder Cloud Identity in Ihrer Google Cloud -Organisation beschrieben.
Kontotypen
Ein Super Admin-Konto für Google Workspace umfasst eine Reihe von Verwaltungsfunktionen, darunter Cloud Identity. Damit sind verschiedene Möglichkeiten zur Identitätsverwaltung geboten, die in allen Google-Diensten genutzt werden können, darunter in Docs,Tabellen, Google Cloudusw.
Ein Cloud Identity-Konto bietet unabhängig von Google Workspace nur Funktionen zur Authentifizierung und Identitätsverwaltung.
E-Mail-Adresse für Super Admin erstellen
Erstellen Sie eine neue E-Mail-Adresse, die nicht für einen bestimmten Nutzer als Super Admin-Konto für Google Workspace oder Cloud Identity spezifisch ist. Das Konto sollte zusätzlich mit der Multi-Faktor-Authentifizierung gesichert sein und kann bei Bedarf als Tool zur Notfallwiederherstellung verwendet werden.
Organisationsadministratoren festlegen
Nachdem Sie eine neue Organisationsressource erworben haben, bestimmen Sie einen oder mehrere Organisationsadministratoren. Die mit dieser Rolle verbundenen Berechtigungen sind insgesamt weniger und auf die Verwaltung alltäglicher Organisationsvorgänge ausgelegt.
Richten Sie im Super Admin-Konto für Google Workspace oder Cloud Identity außerdem eine private Google Cloud -Administratorgruppe ein. Fügen Sie dieser Gruppe Nutzer als Organisationsadministrator hinzu, jedoch nicht den Super Admin-Nutzer. Erteilen Sie dieser Gruppe die IAM-Rolle "Administrator der Organisation" oder nur bestimmte Berechtigungen dieser Rolle.
Es wird empfohlen, das Super Admin-Konto von der Administratorgruppe Ihrer Organisation getrennt zu verwalten. Als Super Admin können Sie die Rolle „Organisationsadministrator“ dem Nutzer zuweisen, der am besten für die Verwaltung der Organisationsressource und ihrer Inhalte geeignet ist.
Informationen zum Verwalten der Zugriffssteuerung für Ihre Organisationsressource mithilfe von Identity and Access Management-Richtlinien finden Sie unter Zugriffssteuerung für Organisationen mit IAM.
Geeignete Rollen festlegen
Google Workspace und Cloud Identity haben administrative Rollen mit eingeschränkten Berechtigungen im Vergleich zur Super Admin-Rolle. Es wird empfohlen, dem Prinzip der geringsten Berechtigung zu folgen. Erteilen Sie Nutzern nur so viele Berechtigungen, wie sie zum Verwalten von Nutzern und Gruppen tatsächlich benötigen.
Verwendung des Super Admin-Kontos vermeiden
Super Admin-Konten für Google Workspace und Cloud Identity sind mit umfangreichen Berechtigungen ausgestattet, die für alltägliche Verwaltungsaufgaben einer Organisation nicht erforderlich sind. Es wird empfohlen, Richtlinien zum Schutz von Super Admin-Konten einzurichten, um die Verwendung dieser Konten für Aufgaben des Tagesgeschäfts einzuschränken. Beispiele:
Erzwingen Sie Multi-Faktor-Authentifizierung für Super Admin-Konten und alle anderen Konten mit erhöhten Berechtigungen.
Verwenden Sie einen Sicherheitsschlüssel oder ein anderes physisches Authentifizierungsgerät, um die Bestätigung in zwei Schritten zu implementieren.
Bewahren Sie den Sicherheitsschlüssel für das primäre Super Admin-Konto an einem sicheren Ort auf, vorzugsweise an Ihrem physischen Standort.
Geben Sie Super Admins ein separates Konto, für das eine separate Anmeldung erforderlich ist. Zum Beispiel könnte die Nutzerin alice@example.com das Super Admin-Konto alice-admin@example.com haben.
- Wenn Sie eine Synchronisierung mit dem Identitätsprotokoll eines Drittanbieters durchführen, wenden Sie dieselbe Sperr-Richtlinie auf Cloud Identity und die entsprechende Drittanbieteridentität an.
Wenn Sie ein Unternehmens- oder Geschäftskonto für Google Cloud oder ein Premiumkonto für Cloud Identity haben, können Sie für jedes Super Admin-Konto einen kurzen Anmeldezeitraum erzwingen.
Folgen Sie der Anleitung in den Best Practices für die Sicherheit von Administratorkonten.
Benachrichtigungen für API-Aufrufe
Verwenden Sie Google Cloud Observability, um Benachrichtigungen einzurichten, die Sie über API-Aufrufe vom Typ SetIamPolicy() informieren. So wird eine Warnung gesendet, sobald jemand eine IAM-Richtlinie ändert.
Vorgang zur Kontowiederherstellung
Achten Sie darauf, dass Organisationsadministratoren mit dem Vorgang zur Wiederherstellung von Super Admin-Konten vertraut sind. Über diesen können Sie das Konto wiederherstellen, wenn Super Admin-Anmeldedaten verloren gehen oder manipuliert werden.
Mehrere Organisationsressourcen
Wir empfehlen die Verwendung von Ordnern, um bestimmte Bereiche Ihrer Organisation separat zu verwalten. Wenn Sie stattdessen mehrere Organisationsressourcen verwenden möchten, benötigen Sie mehrere Google Workspace- oder Cloud Identity-Konten. Informationen zu den Auswirkungen der Verwendung mehrerer Google Workspace- und Cloud Identity-Konten finden Sie unter Mehrere Organisationsressourcen verwalten.