Untuk mengonfigurasi resource organisasi Google Cloud , Anda harus menggunakan akun admin super Google Workspace atau Cloud Identity. Halaman ini menjelaskan praktik terbaik untuk menggunakan akun admin super Google Workspace atau Cloud Identity dengan resource Google Cloud organisasi.
Jenis akun
Akun admin super Google Workspace memiliki serangkaian kemampuan administratif yang mencakup Cloud Identity. Hal ini menyediakan satu set kontrol pengelolaan identitas untuk digunakan di semua layanan Google, seperti dokumen, spreadsheet, Google Cloud, dan sebagainya.
Akun Cloud Identity hanya menyediakan fungsi autentikasi dan pengelolaan identitas, terlepas dari Google Workspace.
Menetapkan Administrator Organisasi
Setelah mendapatkan resource organisasi baru, Anda akan menetapkan satu atau beberapa Administrator Organisasi. Peran ini memiliki serangkaian izin yang lebih kecil yang dirancang untuk mengelola operasi organisasi sehari-hari.
Anda juga harus membuat grup administrator pribadi di akun admin super Google Workspace atau Cloud Identity. Google Cloud Tambahkan pengguna Administrator Organisasi ke grup ini, tetapi jangan tambahkan pengguna admin super. Beri grup ini peran Identity and Access Management (IAM) Administrator Organisasi atau subset izin peran yang terbatas.
Sebaiknya pisahkan akun admin super dari grup Administrator Organisasi. Sebagai admin super, Anda dapat memberikan peran Administrator Organisasi kepada pengguna yang tepat dan paling cocok untuk mengelola resource organisasi dan kontennya.
Untuk mengetahui informasi tentang cara mengelola kontrol akses untuk resource organisasi menggunakan kebijakan izinkan, lihat Kontrol akses untuk resource organisasi dengan IAM.
Menetapkan peran yang sesuai
Google Workspace dan Cloud Identity memiliki peran administratif yang tidak terlalu permisif seperti peran administrator super. Sebaiknya ikuti prinsip hak istimewa terendah dengan memberikan kumpulan izin minimum yang diperlukan pengguna untuk mengelola pengguna dan grup.
Mencegah penggunaan akun admin super
Akun admin super Google Workspace dan Cloud Identity memiliki serangkaian izin yang kuat yang tidak diperlukan untuk digunakan dalam administrasi harian organisasi Anda. Anda harus menerapkan kebijakan yang akan mengamankan akun admin super dan membuat pengguna cenderung tidak mencoba menggunakannya untuk operasi sehari-hari, seperti:
Mewajibkan autentikasi multi-faktor di akun admin super serta semua akun yang memiliki hak istimewa yang ditingkatkan.
Menggunakan kunci keamanan atau perangkat autentikasi fisik lainnya untuk mewajibkan verifikasi 2 langkah.
Untuk akun admin super awal, pastikan kunci keamanan disimpan di tempat yang aman, sebaiknya di lokasi fisik Anda.
Memberi admin super akun terpisah yang memerlukan login terpisah. Misalnya, pengguna alice@example.com dapat memiliki akun admin super alice-admin@example.com.
- Jika Anda melakukan sinkronisasi dengan protokol identitas pihak ketiga, pastikan Anda menerapkan kebijakan penangguhan yang sama ke Cloud Identity dan identitas pihak ketiga yang sesuai.
Jika memiliki akun Google Workspace Enterprise atau Business atau a akun Cloud Identity Premium, Anda dapat mewajibkan a periode login singkat untuk akun admin super.
Ikuti panduan dalam pola praktik terbaik keamanan untuk akun administrator.
Peringatan panggilan API
Gunakan Google Cloud Observability untuk
menyiapkan peringatan yang akan memberi tahu
Anda saat panggilan API SetIamPolicy()
dilakukan. Tindakan ini akan mengirimkan peringatan saat seseorang mengubah kebijakan izinkan.
Proses pemulihan akun
Pastikan Administrator Organisasi memahami proses pemulihan akun admin super . Proses ini akan membantu Anda memulihkan akun jika kredensial admin super hilang atau disusupi.
Beberapa resource organisasi
Sebaiknya gunakan folder untuk mengelola bagian organisasi yang ingin Anda kelola secara terpisah. Jika ingin menggunakan beberapa resource organisasi, Anda memerlukan beberapa akun Google Workspace atau Cloud Identity. Untuk mengetahui informasi tentang implikasi penggunaan beberapa Google Workspace dan Cloud Identity, lihat Mengelola beberapa resource organisasi.