如要設定 Cloud de Confiance by S3NS 機構資源,您需要使用 Google Workspace 或 Cloud Identity 超級管理員帳戶。本頁介紹將 Google Workspace 或 Cloud Identity 超級管理員帳戶與 Cloud de Confiance by S3NS 機構資源結合使用的最佳做法。
帳戶類型
Google Workspace 超級管理員帳戶有一組包含 Cloud Identity 的管理權限。這組身分管理控制方法可用於所有 Google 服務,例如文件、試算表、 Cloud de Confiance等。
Cloud Identity 帳戶僅提供身分驗證和身分管理功能,與 Google Workspace 無關。
建立超級管理員電子郵件地址
建立一個非特定使用者的新電子郵件地址作為 Google Workspace 或 Cloud Identity 的超級管理員帳戶。這個帳戶應該以多重驗證提升保護,並可作為緊急復原工具使用。
指派機構管理員
取得新的機構資源後,請指定一或多名機構管理員。 這個角色具有較少的權限組合,用來管理您的日常機構作業。
您也應該在 Google Workspace 或 Cloud Identity 超級管理員帳戶中建立一個不公開的 Cloud de Confiance 管理員群組。將您的機構管理員使用者 (而非超級管理員使用者) 新增到這個群組。將機構管理員身分與存取權管理 (IAM) 角色或有限的角色權限子集授予這個群組。
建議您將超級管理員帳戶與機構管理員群組分開。超級管理員可以將機構管理員角色授予適當使用者,讓他們管理機構資源及其內容。
如要瞭解如何使用允許政策管理機構資源的存取權控管,請參閱「使用 IAM 對機構進行存取權控管」一文。
設定適當角色
Google Workspace 和 Cloud Identity 的管理角色權限低於超級管理員角色。我們建議遵循最低權限原則,僅授予使用者管理使用者和群組所需的最低權限組合。
減少使用超級管理員帳戶
Google Workspace 和 Cloud Identity 超級管理員帳戶具有強大的權限,這些權限對於機構的日常管理並非必需。您應該採取保護超級管理員帳戶的政策,減少使用者嘗試將此用於日常作業的機會,例如:
在您的超級管理員帳戶及所有具有進階權限的帳戶上強制執行多重驗證。
使用安全金鑰或其他實體裝置強制執行兩步驟驗證。
對於初始的超級管理員帳戶,請確保將安全金鑰存放在安全的地點,最好是保存在您的實際位置。
為超級管理員提供一個需要另外登入的單獨帳戶。例如,使用者 alice@example.com 可以擁有超級管理員帳戶 alice-admin@example.com。
- 如果要與第三方身分協定同步,請確保將相同的停權政策套用於 Cloud Identity 和對應的第三方身分。
如果您擁有 Google Workspace Enterprise 或 Business 帳戶,或是 Cloud Identity 進階版帳戶,您可以強制為任何超級管理員帳戶執行短暫登入期間。
請遵循管理員帳戶安全性最佳做法模式中的指引。
API 呼叫提醒
使用 Google Cloud Observability 設定快訊,以便在有 SetIamPolicy() API 呼叫時通知您。當有人修改任何允許政策時,您將會收到通知。
帳戶救援流程
確保機構管理員熟悉超級管理員帳戶的帳戶救援流程。 此流程能幫助您在超級管理員憑證遺失或損毀時復原您的帳戶。
多個機構資源
我們建議使用資料夾來管理機構中您想要單獨管理的部分。如果想使用多個機構資源,您會需要多個 Google Workspace 或 Cloud Identity 帳戶。如需使用多個 Google Workspace 和 Cloud Identity 的相關資訊,請參閱「管理多個機構資源」。