超级用户帐号最佳做法

为了配置 Google Cloud 组织资源,您需要使用 G Suite 或 Cloud Identity 超级用户帐号。超级用户帐号拥有不可撤消的管理权限,在日常组织管理中,我们不建议使用这些权限。本页面介绍了将 G Suite 或 Cloud Identity 超级用户帐号与 Google Cloud 组织配合使用的最佳做法。

帐号类型

G Suite 超级用户帐号具有一组管理功能,其中包括 Cloud Identity。这组管理功能提供了一组身份管理控制功能,可用于 Google 文档、Google 表格、Google Cloud 等所有 Google 服务。

Cloud Identity 帐号仅提供身份验证和身份管理功能,独立于 G Suite。

创建超级用户电子邮件地址

创建一个不属于某个特定用户的新电子邮件地址,作为 G Suite 或 Cloud Identity 超级用户帐号。 该帐号应采用多重身份验证机制来提升安全保护,并可作为紧急恢复工具使用。

指定组织管理员

获得新组织后,您可以指定一个或多个组织管理员。 该角色拥有一组较少的权限,旨在管理您的日常组织操作。

您还应该在 G Suite 或 Cloud Identity 超级用户帐号中创建一个专有的 Google Cloud 管理员群组,然后将您的组织管理员用户(不是超级用户)添加到该群组。 您可以向该群组授予 Organization Administrator 这一 Cloud IAM 角色或该角色的部分权限。

我们建议您将超级用户帐号与组织管理员群组分开。超级用户具有不可撤消的组织管理员权限,而且可以授予该角色,但移除该角色可以防止将超级用户帐号用于组织的日常管理工作。

如需了解如何使用 Cloud Identity and Access Management 政策管理组织的访问权限控制,请参阅使用 IAM 对组织进行访问权限控制

设置适当的角色

G Suite 和 Cloud Identity 的管理员角色没有超级用户角色那样的权限。我们建议遵循最低权限原则,向用户授予管理用户和群组所需的最低权限集。

不建议使用超级用户帐号

G Suite 和 Cloud Identity 超级用户帐号拥有一组强大的权限,日常组织管理并不需要使用这些权限。您应该实施一些政策来保护您的超级用户帐号,尽量避免用户尝试使用这些帐号进行日常操作,例如:

  • 对超级用户帐号以及所有拥有较高权限的帐号实施多重身份验证

  • 使用安全密钥或其他物理身份验证设备来强制执行两步验证。

  • 对于初始超级用户帐号,请确保安全密钥保存在安全的位置,最好是保存在您的工作地点。

  • 为超级用户提供需要单独登录的单独帐号。例如,用户 alice@example.com 可以拥有超级用户帐号 alice-admin@example.com。

    • 如果您要与第三方身份协议同步,请确保对 Cloud Identity 和对应的第三方身份应用相同的中止政策。
  • 如果您拥有 G Suite 企业版或商务版帐号,或者拥有 Cloud Identity 专业版帐号,则可以对任何超级用户帐号实施短登录期机制。

  • 请遵循适用于管理员帐号的最佳安全做法模式中的相关指导。

API 调用提醒

使用 Google Cloud 的运维套件设置提醒,以便在 SetIamPolicy() API 被调用时收到通知。如果任何人修改任何 Cloud IAM 政策,您将会收到提醒。

帐号恢复流程

确保组织管理员熟悉超级用户帐号恢复流程。 如果超级用户凭据丢失或被盗用,该流程可帮助您恢复帐号。

多个组织

我们建议使用文件夹来管理组织中要单独管理的部分。如果您希望使用多个组织资源,您将需要多个 G Suite 或 Cloud Identity 帐号。如需了解使用多个 G Suite 和 Cloud Identity 所带来的影响,请参阅管理多个组织