Untuk mengonfigurasi resource organisasi Google Cloud, Anda harus menggunakan akun admin super Google Workspace atau Cloud Identity. Halaman ini menjelaskan praktik terbaik untuk menggunakan akun admin super Google Workspace atau Cloud Identity dengan resource organisasi Google Cloud Anda.
Jenis akun
Akun admin super Google Workspace memiliki sekumpulan kemampuan administratif yang mencakup Cloud Identity. Layanan ini menyediakan sekumpulan kontrol pengelolaan identitas untuk digunakan di semua layanan Google, seperti Dokumen, Spreadsheet, Google Cloud, dan sebagainya.
Akun Cloud Identity hanya menyediakan fungsi autentikasi dan pengelolaan identitas, terlepas dari Google Workspace.
Membuat alamat email admin super
Buat alamat email baru yang tidak spesifik untuk pengguna tertentu sebagai akun admin super Google Workspace atau Cloud Identity. Akun ini harus diamankan lebih lanjut dengan autentikasi multi-faktor, dan dapat digunakan sebagai alat pemulihan darurat.
Menetapkan Administrator Organisasi
Setelah memperoleh resource organisasi baru, Anda menetapkan satu atau beberapa Administrator Organisasi. Peran ini memiliki kumpulan izin yang lebih kecil yang dirancang untuk mengelola operasi organisasi sehari-hari Anda.
Anda juga harus membuat grup administrator Google Cloud pribadi di akun admin super Google Workspace atau Cloud Identity. Tambahkan pengguna Administrator Organisasi Anda ke grup ini, tetapi bukan pengguna admin super Anda. Beri grup ini peran IAM Administrator Organisasi atau subset terbatas dari izin peran.
Sebaiknya pisahkan akun admin super Anda dari grup Administrator Organisasi. Sebagai admin super, Anda dapat memberikan peran Administrator Organisasi kepada pengguna yang tepat dengan posisi terbaik untuk mengelola resource organisasi beserta kontennya.
Guna mengetahui informasi cara mengelola kontrol akses untuk resource organisasi Anda menggunakan kebijakan Identity and Access Management, lihat Kontrol Akses untuk Organisasi menggunakan IAM.
Menetapkan peran yang sesuai
Google Workspace dan Cloud Identity memiliki peran administratif yang tidak terlalu permisif peran admin super. Sebaiknya ikuti prinsip hak istimewa terendah dengan memberi pengguna serangkaian izin minimum yang mereka perlukan untuk mengelola pengguna dan grup.
Mencegah penggunaan akun admin super
Akun admin super Google Workspace dan Cloud Identity memiliki serangkaian izin andal yang tidak diperlukan untuk digunakan dalam administrasi harian organisasi Anda. Anda harus menerapkan kebijakan yang akan mengamankan akun admin super dan memperkecil kemungkinan pengguna mencoba menggunakannya untuk pengoperasian sehari-hari, seperti:
Terapkan autentikasi multi-faktor di akun admin super Anda serta semua akun yang memiliki hak istimewa yang ditingkatkan.
Gunakan kunci keamanan atau perangkat autentikasi fisik lainnya untuk menerapkan verifikasi dua langkah.
Untuk akun admin super awal, pastikan kunci keamanan disimpan di tempat yang aman, sebaiknya di lokasi fisik Anda.
Memberikan akun terpisah kepada admin super yang memerlukan login terpisah. Misalnya, pengguna alice@example.com dapat memiliki akun admin super alice-admin@example.com.
- Jika Anda menyinkronkan dengan protokol identitas pihak ketiga, pastikan Anda menerapkan kebijakan penangguhan yang sama untuk Cloud Identity dan identitas pihak ketiga yang terkait.
Jika memiliki akun Google Workspace perusahaan atau bisnis atau akun Cloud Identity Premium, Anda dapat menerapkan periode login singkat untuk akun admin super.
Ikuti panduan di Pola praktik terbaik keamanan untuk akun administrator.
Pemberitahuan panggilan API
Gunakan Kemampuan Observasi Google Cloud untuk menyiapkan pemberitahuan yang akan memberi tahu Anda saat panggilan API SetIamPolicy() dilakukan. Tindakan ini akan mengirim pemberitahuan saat ada orang yang mengubah kebijakan IAM apa pun.
Proses pemulihan akun
Pastikan Administrator Organisasi memahami proses pemulihan akun admin super. Proses ini akan membantu Anda memulihkan akun jika kredensial admin super hilang atau disusupi.
Beberapa resource organisasi
Sebaiknya gunakan folder untuk mengelola bagian organisasi yang ingin Anda kelola secara terpisah. Jika ingin menggunakan beberapa resource organisasi, Anda memerlukan beberapa akun Google Workspace atau Cloud Identity. Untuk mengetahui informasi tentang implikasi penggunaan beberapa Google Workspace dan Cloud Identity, lihat Mengelola beberapa resource organisasi.