Untuk mengonfigurasi resource organisasi Google Cloud , Anda harus menggunakan akun admin super Google Workspace atau Cloud Identity. Halaman ini menjelaskan praktik terbaik untuk menggunakan akun admin super Google Workspace atau Cloud Identity dengan resource Google Cloud organisasi Anda.
Jenis akun
Akun admin super Google Workspace memiliki serangkaian kemampuan administratif yang mencakup Cloud Identity. Hal ini memberikan satu set kontrol pengelolaan identitas untuk digunakan di semua layanan Google, seperti Dokumen, Spreadsheet, Google Cloud, dan sebagainya.
Akun Cloud Identity hanya menyediakan fungsi autentikasi dan pengelolaan identitas, terlepas dari Google Workspace.
Buat alamat email admin super
Buat alamat email baru yang tidak khusus untuk pengguna tertentu sebagai akun admin super Google Workspace atau Cloud Identity. Akun ini harus diamankan lebih lanjut dengan autentikasi multi-faktor, dan dapat digunakan sebagai alat pemulihan darurat.
Menunjuk Administrator Organisasi
Setelah Anda mendapatkan resource organisasi baru, Anda menetapkan satu atau beberapa Administrator Organisasi. Peran ini memiliki serangkaian izin yang lebih kecil yang dirancang untuk mengelola operasi organisasi sehari-hari Anda.
Anda juga harus membuat grup administrator pribadi Google Cloud di akun admin super Google Workspace atau Cloud Identity Anda. Tambahkan pengguna Administrator Organisasi Anda ke grup ini, tetapi bukan pengguna admin super Anda. Beri grup ini peran Identity and Access Management (IAM) Administrator Organisasi atau subset izin peran yang terbatas.
Sebaiknya pisahkan akun admin super Anda dari grup Administrator Organisasi. Sebagai admin super, Anda dapat memberikan peran Administrator Organisasi kepada pengguna yang paling tepat untuk mengelola resource organisasi dan isinya.
Untuk mengetahui informasi tentang cara mengelola kontrol akses untuk resource organisasi Anda menggunakan kebijakan izin, lihat Kontrol akses untuk organisasi yang menggunakan IAM.
Menetapkan peran yang sesuai
Google Workspace dan Cloud Identity memiliki peran administratif yang tidak terlalu permisif seperti peran admin super. Sebaiknya ikuti prinsip hak istimewa terendah dengan memberikan serangkaian izin minimum yang diperlukan pengguna untuk mengelola pengguna dan grup.
Mencegah penggunaan akun admin super
Akun admin super Google Workspace dan Cloud Identity memiliki serangkaian izin yang kuat yang tidak diperlukan untuk digunakan dalam administrasi harian organisasi Anda. Anda harus menerapkan kebijakan yang akan mengamankan akun admin super Anda dan membuat pengguna cenderung tidak mencoba menggunakannya untuk operasi sehari-hari, seperti:
Terapkan autentikasi multi-faktor di akun admin super Anda serta semua akun yang memiliki hak istimewa yang lebih tinggi.
Gunakan kunci keamanan atau perangkat autentikasi fisik lainnya untuk menerapkan verifikasi dua langkah.
Untuk akun admin super awal, pastikan kunci keamanan disimpan di tempat yang aman, sebaiknya di lokasi fisik Anda.
Berikan akun terpisah kepada admin super yang memerlukan login terpisah. Misalnya, pengguna alice@example.com dapat memiliki akun admin super alice-admin@example.com.
- Jika Anda menyinkronkan dengan protokol identitas pihak ketiga, pastikan Anda menerapkan kebijakan penangguhan yang sama ke Cloud Identity dan identitas pihak ketiga yang sesuai.
Jika memiliki akun Google Workspace Enterprise atau Business atau akun Cloud Identity Premium, Anda dapat menerapkan periode login singkat untuk semua akun admin super.
Ikuti panduan dalam pola praktik terbaik keamanan untuk akun administrator.
Pemberitahuan panggilan API
Gunakan Google Cloud Observability untuk menyiapkan pemberitahuan yang akan memberi tahu Anda saat panggilan API SetIamPolicy() dilakukan. Hal ini akan mengirimkan pemberitahuan saat seseorang mengubah kebijakan izin.
Proses pemulihan akun
Pastikan Administrator Organisasi memahami proses pemulihan akun admin super. Proses ini akan membantu Anda memulihkan akun jika kredensial admin super hilang atau disusupi.
Beberapa resource organisasi
Sebaiknya gunakan folder untuk mengelola bagian organisasi yang ingin Anda kelola secara terpisah. Jika ingin menggunakan beberapa resource organisasi, Anda memerlukan beberapa akun Google Workspace atau Cloud Identity. Untuk mengetahui informasi tentang implikasi penggunaan beberapa Google Workspace dan Cloud Identity, lihat Mengelola beberapa resource organisasi.