超級管理員帳戶最佳做法

要設定 Google Cloud Platform (GCP) 機構資源,您需要使用 G Suite 或 Cloud Identity 超級管理員帳戶。超級管理員帳戶具有無法撤銷的管理權限,我們不建議您在機構的日常管理中使用這些權限。本頁介紹將 G Suite 或 Cloud Identity 超級管理員帳戶與您 Google Cloud Platform 機構結合使用的最佳做法。

帳戶類型

G Suite 超級管理員帳戶有一組包含 Cloud Identity 的管理權限。這組身分管理控制方法可用於所有 Google 服務,例如文件、試算表及 GCP 等。

Cloud Identity 帳戶僅提供身分驗證和身分管理功能,與 G Suite 無關。

建立超級管理員電子郵件地址

建立一個非特定使用者的新電子郵件地址作為 G Suite 或 Cloud Identity 的超級管理員帳戶。這個帳戶應該以多重驗證提升保護,並可作為緊急復原工具使用。

指定機構管理員

在您取得新機構後,可指定一或多名組織管理員這個角色具有較少的權限組合,用來管理您的日常機構作業。

您也應該在 G Suite 或 Cloud Identity 超級管理員帳戶中建立一個不公開的 GCP 管理員群組。將您的機構管理員使用者 (而非超級管理員使用者) 新增到這個群組。將機構管理員 Cloud IAM 角色或有限的角色權限子集授予這個群組。

我們建議您將超級管理員帳戶與機構管理員群組分開。超級管理員具有不可撤銷的機構管理員權限,而且可以授予這個角色,但如果移除則可防止使用超級管理員帳戶進行機構的日常管理。

想瞭解如何使用 Cloud Identity and Access Management 政策來管理您機構的存取權控管,請參閱使用 IAM 對機構進行存取權控管一文。

設定適當角色

G Suite 和 Cloud Identity 的管理角色權限低於超級管理員角色。我們建議遵循最低權限原則,僅授予使用者管理使用者和群組所需的最低權限組合。

減少使用超級管理員帳戶

G Suite 和 Cloud Identity 超級管理員帳戶具有強大的權限,這些權限對於機構的日常管理並非必需。您應該採取保護超級管理員帳戶的政策,減少使用者嘗試將此用於日常作業的機會,例如:

  • 在您的超級管理員帳戶及所有具有進階權限的帳戶上強制執行多重驗證

  • 使用安全金鑰或其他實體裝置強制執行兩步驟驗證。

  • 對於初始的超級管理員帳戶,請確保將安全金鑰存放在安全的地點,最好是保存在您的實際位置。

  • 為超級管理員提供一個需要另外登入的單獨帳戶。例如,使用者 alice@example.com 可以擁有超級管理員帳戶 alice-admin@example.com。

    • 如果要與第三方身分協定同步,請確保將相同的停權政策套用於 Cloud Identity 和對應的第三方身分。
  • 如果您擁有 G Suite Enterprise 或 Business 帳戶,或是 Cloud Identity 進階版帳戶,您可以強制為任何超級管理員帳戶執行短暫登入期間。

API 呼叫提醒

使用 Stackdriver 設定提醒,以便在有 SetIamPolicy() API 呼叫時通知您。當有人修改 Cloud IAM 政策時,您將會收到通知。

帳戶救援流程

確保機構管理員熟悉超級管理員帳戶的帳戶救援流程。此流程能幫助您在超級管理員憑證遺失或損毀時復原您的帳戶。

多個機構

我們建議使用資料夾來管理機構中您想要單獨管理的部分。如果想使用多個機構資源,您會需要多個 G Suite 或 Cloud Identity 帳戶。如需使用多個 G Suite 和 Cloud Identity 的相關資訊,請參閱管理多個機構

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Resource Manager 說明文件