Best Practices für Super Admin-Konten

Zum Konfigurieren einer GCP-(Google Cloud Platform-)Organisationsressource benötigen Sie ein G Suite- oder Cloud Identity Super Admin-Konto. Super Admin-Konten haben unwiderrufliche Administratorberechtigungen, die für die Erledigung alltäglicher Verwaltungsaufgaben in einer Organisation nicht empfohlen werden. Auf dieser Seite werden Best Practices für die Verwendung von G Suite oder Cloud Identity Super Admin-Konten in Ihrer Google Cloud Platform-Organisation empfohlen.

Kontotypen

Das G Suite Super Admin-Konto umfasst eine Reihe von Verwaltungsfunktionen, darunter Cloud Identity. Damit sind verschiedene Möglichkeiten zur Identitätsverwaltung geboten, die in allen Google-Diensten genutzt werden können, darunter in Docs, Tabellen, GCP usw.

Ein Cloud Identity-Konto bietet nur Funktionen zur Authentifizierung und Identitätsverwaltung, unabhängig von G Suite.

E-Mail-Adresse für Super Admin erstellen

Erstellen Sie eine neue E-Mail-Adresse für das G Suite- oder Cloud Identity Super Admin-Konto. Diese E-Mail-Adresse darf keinem bestimmten Nutzer zugeordnet sein. Das Konto sollte zusätzlich mit der Multi-Faktor-Authentifizierung gesichert sein und kann bei Bedarf als Tool zur Notfallwiederherstellung verwendet werden.

Organisationsadministratoren bestimmen

Nachdem Sie eine neue Organisation erworben haben, bestimmen Sie einen oder mehrere Organisationsadministratoren. Die mit dieser Rolle verbundenen Berechtigungen sind insgesamt weniger und auf die Verwaltung alltäglicher Organisationsvorgänge ausgelegt.

Richten Sie im G Suite- oder Cloud Identity Super Admin-Konto möglichst auch eine GCP-Administratorgruppe ein. Fügen Sie dieser Gruppe Nutzer als Organisationsadministratoren hinzu, jedoch nicht den Super Admin-Nutzer. Erteilen Sie dieser Gruppe die Cloud IAM-Rolle "Administrator der Organisation" oder nur bestimmte Berechtigungen dieser Rolle.

Es wird empfohlen, das Super Admin-Konto von der Administratorgruppe Ihrer Organisation getrennt zu verwalten. Der Super Admin hat unwiderrufliche Berechtigungen der Rolle "Administrator der Organisation" und kann diese Rolle auch erteilen. Durch eine Trennung können Sie vermeiden, dass das Super Admin-Konto für alltägliche Verwaltungsaufgaben in Ihrer Organisation verwendet wird.

Informationen zum Verwalten der Zugriffssteuerung in Ihrer Organisation mithilfe von Cloud Identity and Access Management-Richtlinien finden Sie unter Zugriffssteuerung für Organisationen mit IAM.

Geeignete Rollen festlegen

G Suite und Cloud Identity haben administrative Rollen mit restriktiveren Berechtigungen als die Super Admin-Rolle. Es wird empfohlen, dem Prinzip der geringsten Berechtigung zu folgen. Erteilen Sie Nutzern nur so viele Berechtigungen, wie sie zum Verwalten von Nutzern und Gruppen tatsächlich benötigen.

Verwendung des Super Admin-Kontos vermeiden

G Suite- und Cloud Identity Super Admin-Konten sind mit leistungsstarken Berechtigungen verbunden, die für alltägliche Verwaltungsaufgaben einer Organisation nicht erforderlich sind. Es wird empfohlen, Richtlinien zum Schutz von Super Admin-Konten einzurichten, um die Verwendung dieser Konten für Aufgaben des Tagesgeschäfts einzuschränken. Beispiele:

  • Erzwingen Sie Multi-Faktor-Authentifizierung für Super Admin-Konten und alle anderen Konten mit erhöhten Berechtigungen.

  • Verwenden Sie einen Sicherheitsschlüssel oder ein anderes physisches Authentifizierungsgerät, um die Bestätigung in zwei Schritten zu implementieren.

  • Bewahren Sie den Sicherheitsschlüssel für das primäre Super Admin-Konto an einem sicheren Ort auf, vorzugsweise an Ihrem physischen Standort.

  • Geben Sie Super Admins ein separates Konto, für das eine separate Anmeldung erforderlich ist. Zum Beispiel könnte die Nutzerin alice@example.com das Super Admin-Konto alice-admin@example.com haben.

    • Wenn Sie eine Synchronisierung mit dem Identitätsprotokoll eines Drittanbieters durchführen, wenden Sie dieselbe Sperr-Richtlinie auf Cloud Identity und die entsprechende Drittanbieteridentität an.
  • Wenn Sie ein G Suite Enterprise- bzw. G Suite Business-Konto oder ein Konto der Cloud Identity Premiumversion haben, können Sie für jedes Super Admin-Konto einen kurzen Anmeldezeitraum erzwingen.

Benachrichtigungen für API-Aufrufe

Mit Stackdriver können Sie Benachrichtigungen einrichten, die Sie über jeden SetIamPolicy() API-Aufruf informieren. Sie erhalten jedes Mal eine Benachrichtigung, wenn eine Cloud IAM-Richtlinie geändert wurde.

Vorgang zur Kontowiederherstellung

Achten Sie darauf, dass Organisationsadministratoren mit dem Vorgang zur Wiederherstellung von Super Admin-Konten vertraut sind. Über diesen können Sie das Konto wiederherstellen, wenn Super Admin-Anmeldedaten verloren gehen oder manipuliert werden.

Mehrere Organisationen

Wir empfehlen die Verwendung von Ordnern, um bestimmte Bereiche Ihrer Organisation separat zu verwalten. Wenn Sie stattdessen mehrere Organisationsressourcen verwenden möchten, benötigen Sie mehrere G Suite- bzw. Cloud Identity-Konten. Informationen zu den Auswirkungen der Verwendung mehrerer G Suite- und Cloud Identity-Konten finden Sie unter Mehrere Organisationen verwalten.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager