Prácticas recomendadas para la cuenta de administrador avanzado

Para configurar tu recurso de organización de Google Cloud, debes usar una cuenta de administrador avanzado de Google Workspace o Cloud Identity. En esta página, se describen las prácticas recomendadas para usar las cuentas de administrador avanzado de Google Workspace o Cloud Identity con tu recurso de organización de Google Cloud.

Tipos de cuentas

Una cuenta de administrador avanzado de Google Workspace tiene un conjunto de capacidades administrativas que incluyen Cloud Identity. Esto proporciona un conjunto único de controles de administración de identidades para usar en todos los servicios de Google, como Documentos, Hojas de cálculo y Google Cloud, entre otros.

Una cuenta de Cloud Identity solo proporciona funciones de administración de identidades y autenticación que son independientes de Google Workspace.

Crea una dirección de correo electrónico de administrador avanzado

Crea una dirección de correo electrónico nueva que no sea específica de un usuario en particular como la cuenta de administrador avanzado de Google Workspace o Cloud Identity. Esta cuenta se debe asegurar aún más con la autenticación de varios factores y se puede usar como una herramienta de recuperación de emergencia.

Designa administradores de la organización

Después de haber adquirido un recurso de organización nuevo, designa uno o más administradores de la organización. Esta función tiene un conjunto más pequeño de permisos que están diseñados para administrar las operaciones diarias de la organización.

También debes crear un grupo privado de administradores de Google Cloud en tu cuenta de administrador avanzado de Google Workspace o Cloud Identity. Agrega los usuarios Administrador de la organización a este grupo, pero no el usuario de administrador avanzado. Otorga a este grupo la función de administrador de la organización IAM o un subconjunto limitado de los permisos de la función.

Recomendamos que mantengas tu cuenta de administrador avanzado separada del grupo de administradores de la organización. Como administrador avanzado, puedes otorgar el rol de Administrador de la organización al usuario adecuado que esté mejor posicionado para administrar los recursos de la organización y su contenido.

Si quieres obtener información para administrar el control de acceso de los recursos de tu organización con las políticas de Identity and Access Management, consulta Control de acceso para organizaciones que usan IAM.

Establece funciones apropiadas

Google Workspace y Cloud Identity tienen funciones de administrador que no son tan permisivas como la función de administrador avanzado. Recomendamos seguir el principio de privilegio mínimo y otorgarles a los usuarios el conjunto mínimo de permisos que necesitan para administrar usuarios y grupos.

Desalienta el uso de la cuenta de administrador avanzado

La cuenta de administrador avanzado de Google Workspace y Cloud Identity tiene un poderoso conjunto de permisos que no son necesarios para su uso en la administración diaria de tu organización. Debes implementar políticas que aseguren tus cuentas de administrador avanzado y hagan que los usuarios tengan menos probabilidades de intentar usarlas para las operaciones diarias, por ejemplo:

  • Aplica la autenticación de varios factores en tus cuentas de administrador avanzado y en todas las cuentas que tengan privilegios elevados.

  • Usa una llave de seguridad o algún otro dispositivo físico de autenticación para aplicar la verificación en dos pasos.

  • Para la cuenta inicial de administrador avanzado, asegúrate de que la llave de seguridad se mantenga en un lugar seguro, preferiblemente en tu ubicación física.

  • Proporciona a los administradores avanzados una cuenta separada que requiera un acceso separado. Por ejemplo, el usuario alice@example.com podría tener la cuenta de administrador avanzado alice-admin@example.com.

    • Si sincronizas con un protocolo de identidad de terceros, asegúrate de aplicar la misma política de suspensión a Cloud Identity y a la identidad de terceros correspondiente.
  • Si tienes una cuenta empresarial o comercial de Google Workspace o una cuenta premium de Cloud Identity, puedes aplicar un período de acceso corto para cualquier cuenta de administrador avanzado.

  • Sigue las instrucciones en Prácticas recomendadas de seguridad para proteger cuentas de administrador.

Alertas de llamada a la API

Usa Google Cloud Observability para configurar alertas que te notificarán cuando se realice una llamada a la API SetIamPolicy(). Esto enviará una alerta cuando alguien modifique alguna política de IAM.

Proceso de recuperación de la cuenta

Asegúrate de que los administradores de la organización estén familiarizados con el proceso de recuperación de cuenta de administrador avanzado. Este proceso te ayudará a recuperar tu cuenta en caso de que las credenciales de administrador avanzado se pierdan o se vean comprometidas.

Varios recursos de organización

Recomendamos usar carpetas para administrar las partes de tu organización que deseas administrar por separado. Si, en cambio, deseas usar varios recursos de la organización, necesitarás varias cuentas de Google Workspace o Cloud Identity. Para obtener información sobre las implicaciones del uso de varios Google Workspace y Cloud Identity, consulta Administra varios recursos de organización.