特権管理者アカウントのベスト プラクティス

Google Cloud Platform(GCP)組織リソースを構成するには、G Suite または Cloud Identity の特権管理者アカウントを使用する必要があります。特権管理者アカウントには、取り消し不能な管理者権限が付与されます。この権限は、組織の日常的な管理で使用することはおすすめしません。このページでは、G Suite または Cloud Identity の特権管理者アカウントを Google Cloud Platform 組織で使用するためのおすすめの方法について説明します。

アカウントの種類

G Suite 特権管理者アカウントは、Cloud Identity を含む一連の管理機能を持っています。このアカウントは、Docs、Sheets、GCP など、すべての Google サービスで利用できる単一の ID 管理制御を提供します。

Cloud Identity アカウントは、G Suite とは別に、認証および ID 管理機能のみを提供します。

特権管理者のメールアドレスを作成する

特定のユーザーに固有でない新しいメールアドレスを G Suite または Cloud Identity の特権管理者アカウントとして作成します。このアカウントは、多要素認証でセキュリティを高める必要があります。また、緊急復旧ツールとして使用される場合もあります。

組織管理者を指定する

新しい組織を取得したら、1 名以上の組織管理者を指定します。この役割には、日常の組織運営の管理を目的とした小さな範囲の権限が付与されます。

G Suite または Cloud Identity の特権管理者アカウントに、非公開の GCP 管理者グループも作成する必要があります。このグループに追加するのは組織管理者ユーザーです。特権管理者ユーザーは追加しないでください。このグループには、組織管理者の Cloud IAM 役割、またはこの役割の権限の限定されたサブセットを付与します。

特権管理者アカウントは、組織管理者グループと分離することをおすすめします。特権管理者は取り消し不能な組織管理者特権を持っており、その役割を付与できます。ただし、それを削除すると、組織の日常の管理に特権管理者アカウントが使用できなくなる可能性があります。

Cloud Identity and Access Management ポリシーを使用して組織のアクセス制御を管理する方法について詳しくは、IAM を使用した組織のアクセス制御をご覧ください。

適切な役割を設定する

G Suite および Cloud Identity には、特権管理者役割よりも制限の多い管理者役割もあります。ユーザーに付与する権限は、ユーザーとグループの管理に必要な最低限の権限一式に留め、最小限の権限の原則に従うことをおすすめします。

特権管理者アカウントの使用を制限する

G Suite および Cloud Identity の特権管理者アカウントには、組織の日常管理に使用する必要のない、強力な権限が付与されています。次の手順に従い、特権管理者アカウントを保護し、ユーザーが日常的な操作にそれらを使用しないようにするためのポリシーを実装する必要があります。

  • 特権管理者アカウントおよび管理者権限を持つすべてのアカウントに多要素認証を適用します。

  • セキュリティ キーまたは他の物理認証デバイスを使用して、2 段階認証プロセスを実施します。

  • 最初の特権管理者アカウントについては、セキュリティ キーを安全な場所、できれば物理的な場所に保管してください。

  • 特権管理者に、別途ログインが必要な別のアカウントを付与します。たとえば、ユーザー「alice@example.com」が管理者アカウントの「alice-admin@example.com」も持つことがあります。

    • サードパーティの ID プロトコルと同期している場合は、Cloud Identity と、対応するサードパーティの ID に同じ停止ポリシーを適用してください。
  • G Suite Enterprise アカウント、G Suite Business アカウント、Cloud Identity Premium アカウントのいずれかを持っている場合は、特権管理者アカウントに短いログイン期間を適用できます。

API 呼び出しのアラート

Stackdriver を使用して、SetIamPolicy() API 呼び出しが行われたときに通知するアラートをセットアップします。Cloud IAM ポリシーが変更されると、アラートが送信されます。

アカウント復元のプロセス

組織管理者が特権管理者アカウント復元プロセスに精通していることを確認してください。このプロセスは、特権管理者の資格情報が失われたり危険にさらされたりした場合にアカウントを復元するのに役立ちます。

複数の組織

組織の一部を個別に管理する場合には、フォルダの利用をおすすめします。複数の組織リソースを使用する場合は、G Suite アカウントまたは Cloud Identity アカウントも複数必要になります。G Suite および Cloud Identity を複数使用した場合の影響については、複数の組織の管理をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント