Per configurare la risorsa organizzazione Google Cloud , devi utilizzare un account super amministratore Google Workspace o Cloud Identity. Questa pagina descrive le best practice per l'utilizzo degli account super amministratore Google Workspace o Cloud Identity con la risorsa Google Cloud organizzazione.
Tipi di account
Un account super amministratore Google Workspace dispone di un insieme di funzionalità amministrative che includono Cloud Identity. In questo modo, viene fornito un unico insieme di controlli di gestione dell'identità da utilizzare in tutti i servizi Google, come Documenti,Fogli, Google Cloude così via.
Un account Cloud Identity fornisce solo funzionalità di autenticazione e gestione dell'identità, indipendentemente da Google Workspace.
Creare un indirizzo email super amministratore
Crea un nuovo indirizzo email non specifico per un determinato utente come account super amministratore Google Workspace o Cloud Identity. Questo account deve essere ulteriormente protetto con l'autenticazione a più fattori e potrebbe essere utilizzato come strumento di recupero di emergenza.
Designare gli amministratori dell'organizzazione
Dopo aver acquisito una nuova risorsa dell'organizzazione, devi designare uno o più amministratori dell'organizzazione. Questo ruolo dispone di un insieme più piccolo di autorizzazioni progettate per gestire le operazioni quotidiane dell'organizzazione.
Devi anche creare un gruppo di amministratori Google Cloud privato nel tuo account super amministratore Google Workspace o Cloud Identity. Aggiungi a questo gruppo gli utenti Amministratore organizzazione, ma non l'utente super amministratore. Concedi a questo gruppo il ruolo IAM (Identity and Access Management) di amministratore dell'organizzazione o un sottoinsieme limitato delle autorizzazioni del ruolo.
Ti consigliamo di mantenere l'account super amministratore separato dal gruppo amministratori dell'organizzazione. In qualità di super amministratore, puoi concedere il ruolo di Amministratore organizzazione dell'organizzazione all'utente più adatto a gestire la risorsa dell'organizzazione e i relativi contenuti.
Per informazioni sulla gestione del controllo dell'accesso dell'accesso per la risorsa organizzazione utilizzando i criteri di autorizzazione, consulta Controllo dell'accesso per le organizzazioni con IAM.
Impostare i ruoli appropriati
Google Workspace e Cloud Identity dispongono di ruoli amministrativi che non sono permissivi come il ruolo di super amministratore. Ti consigliamo di seguire il principio del privilegio minimo concedendo agli utenti il set minimo di autorizzazioni necessarie per gestire utenti e gruppi.
Sconsigliare l'utilizzo dell'account super amministratore
L'account super amministratore Google Workspace e Cloud Identity dispone di un potente insieme di autorizzazioni che non sono necessarie per l'utilizzo nell'amministrazione quotidiana della tua organizzazione. Devi implementare norme che proteggeranno i tuoi account super amministratore e renderanno meno probabile che gli utenti tentino di utilizzarli per le operazioni quotidiane, ad esempio:
Applica l'autenticazione a più fattori ai tuoi account super amministratore e a tutti gli account con privilegi elevati.
Utilizza un token di sicurezza o un altro dispositivo di autenticazione fisico per applicare la verifica in due passaggi.
Per l'account super amministratore iniziale, assicurati che il token di sicurezza sia conservato in un luogo sicuro, preferibilmente nella tua sede fisica.
Assegna ai super amministratori un account separato che richiede un accesso separato. Ad esempio, l'utente alice@example.com potrebbe avere un account super amministratore alice-admin@example.com.
- Se esegui la sincronizzazione con un protocollo di identità di terze parti, assicurati di applicare le stesse norme di sospensione a Cloud Identity e all'identità di terze parti corrispondente.
Se hai un account Google Workspace Enterprise o Business o un account Cloud Identity Premium, puoi applicare un periodo di accesso breve per tutti gli account super amministratore.
Segui le indicazioni riportate nei pattern di best practice per la sicurezza degli account amministratore.
Avvisi relativi alle chiamate API
Utilizza Google Cloud Observability per
configurare avvisi che ti avviseranno
quando viene effettuata una chiamata
all'API SetIamPolicy(). In questo modo, verrà inviato un avviso ogni volta che qualcuno modifica un criterio di autorizzazione.
Procedura di recupero dell'account
Assicurati che gli amministratori dell'organizzazione conoscano la procedura di recupero dell'account super amministratore. Questa procedura ti aiuterà a recuperare il tuo account nel caso in cui le credenziali di super amministratore vengano perse o compromesse.
Più risorse organizzazione
Ti consigliamo di utilizzare le cartelle per gestire le parti della tua organizzazione che vuoi gestire separatamente. Se invece vuoi utilizzare più risorse organizzazione, avrai bisogno di più account Google Workspace o Cloud Identity. Per informazioni sulle implicazioni dell'utilizzo di più account Google Workspace e Cloud Identity, consulta Gestire più risorse organizzazione.