特権管理者アカウントのベスト プラクティス

Google Cloud の組織リソースを構成するには、Google Workspace または Cloud Identity の特権管理者アカウントを使用する必要があります。特権管理者アカウントには、取り消し不能な管理者権限が付与されます。この権限は、組織の日常的な管理で使用することはおすすめしません。このページでは、Google Cloud 組織で Google Workspace または Cloud Identity の特権管理者アカウントを使用するためのベスト プラクティスについて説明します。

アカウント タイプ

Google Workspace 特権管理者アカウントは、Cloud Identity を含む一連の管理機能を持っています。このアカウントは、Docs、Sheets、Google Cloud など、すべての Google サービスで利用できる単一の ID 管理制御を提供します。

Cloud Identity アカウントは、Google Workspace とは別に、認証および ID 管理機能のみを提供します。

特権管理者のメールアドレスを作成する

特定のユーザーに固有でない新しいメールアドレスを Google Workspace または Cloud Identity の特権管理者アカウントとして作成します。このアカウントは、多要素認証でセキュリティを高める必要があります。また、緊急復旧ツールとして使用される場合もあります。

組織管理者を指定する

新しい組織を取得したら、1 名以上の組織管理者を指定します。この役割には、日常の組織運営の管理を目的とした小さな範囲の権限が付与されます。

Google Workspace または Cloud Identity の特権管理者アカウントに、非公開の Google Cloud 管理者グループも作成する必要があります。このグループに追加するのは組織管理者ユーザーです。特権管理者ユーザーは追加しないでください。このグループには、組織管理者の IAM 役割、またはこの役割の権限の限定されたサブセットを付与します。

特権管理者アカウントは、組織管理者グループと分離することをおすすめします。特権管理者は取り消し不能な組織管理者特権を持っており、そのロールを付与できます。ただし、それを削除すると、組織の日常の管理に特権管理者アカウントが使用できなくなる可能性があります。

Identity and Access Management ポリシーを使用した組織のアクセス制御の管理については、IAM を使用した組織のアクセス制御をご覧ください。

適切な役割を設定する

Google Workspace および Cloud Identity には、特権管理者ロールよりも制限の多い管理者ロールもあります。ユーザーに付与する権限は、ユーザーとグループの管理に必要な最低限の権限一式に留め、最小限の権限の原則に従うことをおすすめします。

特権管理者アカウントの使用を制限する

Google Workspace および Cloud Identity の特権管理者アカウントには、組織の日常管理に使用する必要のない、強力な権限が付与されています。次の手順に従い、特権管理者アカウントを保護し、ユーザーが日常的な操作にそれらを使用しないようにするためのポリシーを実装する必要があります。

  • 特権管理者アカウントおよび管理者権限を持つすべてのアカウントに多要素認証を適用します。

  • セキュリティ キーまたは他の物理認証デバイスを使用して、2 段階認証プロセスを実施します。

  • 最初の特権管理者アカウントについては、セキュリティ キーを安全な場所、できれば物理的な場所に保管してください。

  • 特権管理者に、別途ログインが必要な別のアカウントを付与します。たとえば、ユーザー「alice@example.com」が管理者アカウントの「alice-admin@example.com」も持つことがあります。

    • サードパーティの ID プロトコルと同期している場合は、Cloud Identity と、対応するサードパーティの ID に同じ停止ポリシーを適用してください。
  • Google Workspace Enterprise アカウント、Google Workspace Business アカウント、Cloud Identity Premium アカウントのいずれかを持っている場合は、特権管理者アカウントに短いログイン期間を適用できます。

  • 管理者アカウントのセキュリティに関するおすすめの方法の説明に従ってください。

API 呼び出しのアラート

Google Cloud のオペレーション スイートを使用して、SetIamPolicy() API 呼び出しが行われたときに通知するアラートを設定します。IAM ポリシーが変更されると、アラートが送信されます。

アカウント復元のプロセス

組織管理者が特権管理者アカウント復元プロセスに精通していることを確認してください。 このプロセスは、特権管理者の資格情報が失われる場合、危険にさらされる場合にアカウントを復元するのに役立ちます。

複数の組織

組織の一部を個別に管理する場合には、フォルダの利用をおすすめします。複数の組織リソースを使用する場合は、Google Workspace アカウントまたは Cloud Identity アカウントも複数必要になります。Google Workspace および Cloud Identity を複数使用した場合の影響については、複数の組織の管理をご覧ください。