Zum Konfigurieren Ihrer Google Cloud-Organisationsressource benötigen Sie ein Super Admin-Konto von Google Workspace oder Cloud Identity. Auf dieser Seite werden Best Practices für die Verwendung Ihrer Super Admin-Konten von Google Workspace oder Cloud Identity mit Ihrer Google Cloud-Organisationsressource beschrieben.
Kontotypen
Ein Super Admin-Konto für Google Workspace umfasst eine Reihe von Verwaltungsfunktionen, darunter Cloud Identity. Damit werden verschiedene Möglichkeiten zur Identitätsverwaltung geboten, die Sie in allen Google-Diensten, wie Google Docs, Google Tabellen, Google Cloud usw., nutzen können.
Ein Cloud Identity-Konto bietet unabhängig von Google Workspace nur Funktionen zur Authentifizierung und Identitätsverwaltung.
E-Mail-Adresse für Super Admin erstellen
Erstellen Sie eine neue E-Mail-Adresse, die nicht für einen bestimmten Nutzer als Super Admin-Konto für Google Workspace oder Cloud Identity spezifisch ist. Das Konto sollte zusätzlich mit der Multi-Faktor-Authentifizierung gesichert sein und kann bei Bedarf als Tool zur Notfallwiederherstellung verwendet werden.
Organisationsadministratoren festlegen
Nachdem Sie eine neue Organisationsressource erworben haben, bestimmen Sie einen oder mehrere Organisationsadministratoren. Die mit dieser Rolle verbundenen Berechtigungen sind insgesamt weniger und auf die Verwaltung alltäglicher Organisationsvorgänge ausgelegt.
Erstellen Sie außerdem in Ihrem Super Admin-Konto für Google Workspace oder Cloud Identity eine private Google Cloud-Administratorgruppe. Fügen Sie dieser Gruppe Nutzer mit dem Organisationsadministrator hinzu, aber nicht den Super Admin-Nutzer. Erteilen Sie dieser Gruppe die IAM-Rolle "Administrator der Organisation" oder nur bestimmte Berechtigungen dieser Rolle.
Wir empfehlen, das Super Admin-Konto von der Gruppe der Organisationsadministratoren getrennt zu halten. Als Super Admin können Sie die Rolle des Organisationsadministrator dem entsprechenden Nutzer zuweisen, der die Organisationsressource und deren Inhalte verwalten kann.
Informationen zum Verwalten der Zugriffssteuerung für Ihre Organisationsressource mithilfe von Identity and Access Management-Richtlinien finden Sie unter Zugriffssteuerung für Organisationen mit IAM.
Geeignete Rollen festlegen
Google Workspace und Cloud Identity haben administrative Rollen mit eingeschränkten Berechtigungen im Vergleich zur Super Admin-Rolle. Es wird empfohlen, dem Prinzip der geringsten Berechtigung zu folgen. Erteilen Sie Nutzern nur so viele Berechtigungen, wie sie zum Verwalten von Nutzern und Gruppen tatsächlich benötigen.
Verwendung des Super Admin-Kontos vermeiden
Super Admin-Konten für Google Workspace und Cloud Identity sind mit umfangreichen Berechtigungen ausgestattet, die für alltägliche Verwaltungsaufgaben einer Organisation nicht erforderlich sind. Es wird empfohlen, Richtlinien zum Schutz von Super Admin-Konten einzurichten, um die Verwendung dieser Konten für Aufgaben des Tagesgeschäfts einzuschränken. Beispiele:
Erzwingen Sie Multi-Faktor-Authentifizierung für Super Admin-Konten und alle anderen Konten mit erhöhten Berechtigungen.
Verwenden Sie einen Sicherheitsschlüssel oder ein anderes physisches Authentifizierungsgerät, um die Bestätigung in zwei Schritten zu implementieren.
Bewahren Sie den Sicherheitsschlüssel für das primäre Super Admin-Konto an einem sicheren Ort auf, vorzugsweise an Ihrem physischen Standort.
Geben Sie Super Admins ein separates Konto, für das eine separate Anmeldung erforderlich ist. Zum Beispiel könnte die Nutzerin alice@example.com das Super Admin-Konto alice-admin@example.com haben.
- Wenn Sie eine Synchronisierung mit dem Identitätsprotokoll eines Drittanbieters durchführen, wenden Sie dieselbe Sperr-Richtlinie auf Cloud Identity und die entsprechende Drittanbieteridentität an.
Wenn Sie ein Unternehmens- oder Geschäftskonto für Google Cloud oder ein Premiumkonto für Cloud Identity haben, können Sie für jedes Super Admin-Konto einen kurzen Anmeldezeitraum erzwingen.
Folgen Sie der Anleitung in den Best Practices für die Sicherheit von Administratorkonten.
Benachrichtigungen für API-Aufrufe
Mit Google Cloud Observability können Sie Benachrichtigungen einrichten, die Sie über API-Aufrufe SetIamPolicy() informieren. So wird eine Warnung gesendet, sobald jemand eine IAM-Richtlinie ändert.
Vorgang zur Kontowiederherstellung
Sorgen Sie dafür, dass die Organisationsadministratoren mit dem Prozess zur Wiederherstellung von Super Admin-Konten vertraut sind. Über diesen können Sie das Konto wiederherstellen, wenn Super Admin-Anmeldedaten verloren gehen oder manipuliert werden.
Mehrere Organisationsressourcen
Wir empfehlen die Verwendung von Ordnern, um bestimmte Bereiche Ihrer Organisation separat zu verwalten. Wenn Sie stattdessen mehrere Organisationsressourcen verwenden möchten, benötigen Sie mehrere Google Workspace- oder Cloud Identity-Konten. Informationen zu den Auswirkungen der Verwendung mehrerer Google Workspace- und Cloud Identity-Konten finden Sie unter Mehrere Organisationsressourcen verwalten.