Best practice per gli account super amministratore

Per configurare la risorsa organizzazione Google Cloud, devi utilizzare un account super amministratore Google Workspace o Cloud Identity. Questa pagina descrive le best practice per l'utilizzo degli account super amministratore Google Workspace o Cloud Identity con la risorsa dell'organizzazione Google Cloud.

Tipi di account

Un account super amministratore di Google Workspace dispone di un insieme di funzionalità amministrative che include Cloud Identity. In questo modo, viene fornito un unico insieme di controlli per la gestione delle identità da utilizzare in tutti i servizi Google, come Documenti, Fogli, Google Cloud e così via.

Un account Cloud Identity fornisce solo funzionalità di autenticazione e gestione dell'identità, indipendentemente da Google Workspace.

Creare un indirizzo email del super amministratore

Crea un nuovo indirizzo email non specifico per un determinato utente come account super amministratore di Google Workspace o Cloud Identity. Questo account deve essere ulteriormente protetto con l'autenticazione a più fattori e potrebbe essere utilizzato come strumento di recupero di emergenza.

Designare gli amministratori dell'organizzazione

Dopo aver acquisito una nuova risorsa dell'organizzazione, designa uno o più amministratori dell'organizzazione. Questo ruolo ha un insieme più piccolo di autorizzazioni progettate per gestire le operazioni quotidiane dell'organizzazione.

Devi anche creare un gruppo di amministratori Google Cloud privato nel tuo account super amministratore Google Workspace o Cloud Identity. Aggiungi a questo gruppo gli utenti Amministratore organizzazione, ma non l'utente super amministratore. Concedi a questo gruppo il ruolo IAM Amministratore dell'organizzazione o un sottoinsieme limitato delle autorizzazioni del ruolo.

Ti consigliamo di mantenere separato il tuo account super amministratore dal gruppo di amministratori dell'organizzazione. In qualità di super amministratore, puoi concedere il ruolo Amministratore organizzazione all'utente appropriato più adatto a gestire la risorsa dell'organizzazione e i relativi contenuti.

Per informazioni sulla gestione del controllo dell'accesso dell'accesso per la risorsa dell'organizzazione utilizzando i criteri di Identity and Access Management, consulta Controllo dell'accesso per le organizzazioni che utilizzano IAM.

Imposta i ruoli appropriati

Google Workspace e Cloud Identity hanno ruoli amministrativi che non sono permissivi come il ruolo di super amministratore. Ti consigliamo di seguire il principio del privilegio minimo concedendo agli utenti l'insieme minimo di autorizzazioni di cui hanno bisogno per gestire utenti e gruppi.

Scoraggiare l'utilizzo dell'account super amministratore

L'account super amministratore di Google Workspace e Cloud Identity dispone di un potente insieme di autorizzazioni che non sono necessarie per l'uso quotidiano nell'amministrazione della tua organizzazione. Ti consigliamo di implementare criteri che proteggano i tuoi account super amministratore e riducano la probabilità che gli utenti li utilizzino per le operazioni quotidiane, ad esempio:

  • Applica l'autenticazione a più fattori sui tuoi account super amministratore e su tutti gli account con privilegi elevati.

  • Utilizza un token di sicurezza o un altro dispositivo di autenticazione fisico per applicare la verifica in due passaggi.

  • Per l'account super amministratore iniziale, assicurati che il token di sicurezza sia conservato in un luogo sicuro, preferibilmente nella tua sede fisica.

  • Assegna ai super amministratori un account separato che richiede un accesso separato. Ad esempio, l'utente alice@example.com potrebbe avere un account super amministratore alice-admin@example.com.

    • Se esegui la sincronizzazione con un protocollo di identità di terze parti, assicurati di applicare lo stesso criterio di sospensione a Cloud Identity e all'identità di terze parti corrispondente.
  • Se hai un account Google Workspace Enterprise o aziendale o un account Cloud Identity Premium, puoi applicare un periodo di accesso breve per tutti gli account super amministratore.

  • Segui le indicazioni riportate nella sezione Modelli di best practice per la sicurezza degli account amministratore.

Avvisi relativi alle chiamate API

Utilizza la funzionalità di monitoraggio di Google Cloud per configurare avvisi che ti inviino una notifica quando viene effettuata una chiamata all'API SetIamPolicy(). Verrà inviato un avviso quando un utente modifica un criterio IAM.

Procedura di recupero dell'account

Assicurati che gli amministratori dell'organizzazione conoscano la procedura di recupero dell'account del super amministratore. Questa procedura ti aiuterà a recuperare il tuo account nel caso in cui le credenziali del super amministratore vengano perse o compromesse.

Più risorse organizzazione

Ti consigliamo di utilizzare le cartelle per gestire le parti della tua organizzazione che vuoi gestire separatamente. Se invece vuoi utilizzare più risorse organizzazione, devi disporre di più account Google Workspace o Cloud Identity. Per informazioni sulle implicazioni dell'utilizzo di più account Google Workspace e Cloud Identity, consulta Gestire più risorse dell'organizzazione.