如需配置 Google Cloud 组织资源,您需要使用 Google Workspace 或 Cloud Identity 超级用户账号。本页面介绍了将 Google Workspace 或 Cloud Identity 超级用户帐号与 Google Cloud 组织资源搭配使用的最佳实践。
账号类型
Google Workspace 超级用户账号具有一组管理功能,其中包括 Cloud Identity。这组管理功能提供了一组身份管理控制功能,可用于 Google 文档、Google 表格、Google Cloud 等所有 Google 服务。
Cloud Identity 账号仅提供身份验证和身份管理功能,独立于 Google Workspace。
创建超级用户电子邮件地址
创建一个不属于某个特定用户的新电子邮件地址,作为 Google Workspace 或 Cloud Identity 超级用户账号。 该账号应采用多重身份验证机制来提升安全保护,并可作为紧急恢复工具使用。
指定组织管理员
获得新的组织资源后,您可以指定一个或多个组织管理员。该角色拥有一组较少的权限,旨在管理您的日常组织操作。
您还应该在 Google Workspace 或 Cloud Identity 超级用户账号中创建一个专有的 Google Cloud 管理员群组,将 Organization Administrator 用户添加到此群组中,但不要添加超级用户。您可以向该群组授予 Organization Administrator 这一 IAM 角色或该角色的部分权限。
我们建议您将超级用户账号与组织管理员群组分开。作为超级用户,您可以向最能管理组织资源及其内容的相应用户授予 Organization Administrator 角色。
如需了解如何使用 Identity and Access Management 政策管理组织资源的访问权限控制,请参阅使用 IAM 对组织进行访问权限控制。
设置适当的角色
Google Workspace 和 Cloud Identity 的管理员角色没有超级用户角色那样的权限。我们建议遵循最低权限原则,向用户授予管理用户和群组所需的最低权限集。
不建议使用超级用户账号
Google Workspace 和 Cloud Identity 超级用户账号拥有一组强大的权限,日常组织管理并不需要使用这些权限。您应该实施一些政策来保护您的超级用户账号,尽量避免用户尝试使用这些账号进行日常操作,例如:
对超级用户账号以及拥有更高权限的所有账号强制执行多重身份验证。
使用安全密钥或其他物理身份验证设备来强制执行两步验证。
对于初始超级用户账号,请确保安全密钥保存在安全的位置,最好是保存在您的工作地点。
为超级用户提供需要单独登录的单独账号。例如,用户 alice@example.com 可以拥有超级用户账号 alice-admin@example.com。
- 如果您要与第三方身份协议同步,请确保对 Cloud Identity 和对应的第三方身份应用相同的中止政策。
如果您拥有 Google Workspace 企业版或商务版账号,或者拥有 Cloud Identity 专业版账号,则可以对任何超级用户账号实施短登录期机制。
请遵循适用于管理员账号的最佳安全做法模式中的相关指导。
API 调用提醒
使用 Google Cloud Observability 设置提醒,以便在进行 SetIamPolicy() API 调用时收到通知。如果任何人修改任何 IAM 政策,您将会收到提醒。
账号恢复流程
确保组织管理员熟悉超级用户帐号恢复流程。如果超级用户凭据丢失或被盗用,该流程可帮助您恢复账号。
多个组织资源
我们建议使用文件夹来管理组织中要单独管理的部分。如果您希望使用多个组织资源,您将需要多个 Google Workspace 或 Cloud Identity 账号。如需了解使用多个 Google Workspace 和 Cloud Identity 的影响,请参阅管理多个组织资源。