In primo luogo, la risposta (parziale) al problema di amministrazione è Privileged Access Management (PAM). Questo è tipicamente un sistema imbullonato che usa processi di livello più elevato (forse con uno o più umani che danno l'autorizzazione per esempio) per fornire un accesso privilegiato temporaneo. Questo è sempre più comune e lo troverai sicuramente in uso in qualsiasi provider cloud globale.
Non sono così sicuro della tua domanda reale. Non riesco a pensare a niente di ciò che è in cima alla mia testa, forse altri ne sanno di più.
Tuttavia, una seconda possibilità che è sempre più comune è l'uso di identità federate. In passato, l'implementazione della federazione delle identità era un processo orribilmente complesso e costoso. Tuttavia, con l'avvento di cose come Azure Active Directory e Azure B2B, questo sta diventando rapidamente più facile. In questo caso, hai ancora il controllo centrale ma un "centro" molto più piccolo, quindi, ad esempio, le organizzazioni che desiderano collaborare e condividere servizi possono conferire un certo livello di fiducia a un'altra organizzazione.