Para configurar o recurso da sua Google Cloud organização, tem de usar uma conta de superadministrador do Google Workspace ou do Cloud ID. Esta página descreve as práticas recomendadas para usar as suas contas de superadministrador do Google Workspace ou do Cloud Identity com o recurso da sua Google Cloud organização.
Tipos de contas
Uma conta de superadministrador do Google Workspace tem um conjunto de capacidades administrativas que inclui o Cloud ID. Isto oferece um único conjunto de controlos de gestão de identidades para utilização em todos os serviços Google, como o Docs, o Sheets Google Cloud, etc.
Uma conta do Cloud ID só oferece funcionalidades de autenticação e gestão de identidades, independentemente do Google Workspace.
Crie um endereço de email de superadministrador
Crie um novo endereço de email que não seja específico de um determinado utilizador como a conta de superadministrador do Google Workspace ou Cloud ID. Esta conta deve ser protegida ainda mais com a autenticação multifator e pode ser usada como uma ferramenta de recuperação de emergência.
Designe administradores organizacionais
Depois de adquirir um novo recurso de organização, designa um ou mais administradores da organização. Esta função tem um conjunto mais pequeno de autorizações concebidas para gerir as operações diárias da sua organização.
Também deve criar um grupo de administrador privado Google Cloud na sua conta de superadministrador do Google Workspace ou Cloud ID. Adicione os utilizadores administradores da organização a este grupo, mas não o utilizador superadministrador. Conceda a este grupo a função de gestão de identidade e de acesso (IAM) de administrador da organização ou um subconjunto limitado das autorizações da função.
Recomendamos que mantenha a sua conta de superadministrador separada do grupo de administrador da organização. Enquanto superadministrador, pode atribuir a função de administrador da organização ao utilizador mais adequado para gerir o recurso da organização e o respetivo conteúdo.
Para informações sobre a gestão do controlo de acesso para o recurso da sua organização através de políticas de autorização, consulte o artigo Controlo de acesso para organizações através do IAM.
Defina funções adequadas
O Google Workspace e o Cloud ID têm funções administrativas que não são tão permissivas como a função de superadministrador. Recomendamos que siga o princípio do menor privilégio, concedendo aos utilizadores o conjunto mínimo de autorizações de que precisam para gerir utilizadores e grupos.
Desincentive a utilização de contas de superadministrador
A conta de superadministrador do Google Workspace e do Cloud ID tem um conjunto de autorizações avançadas que não são necessárias para a utilização na administração diária da sua organização. Deve implementar políticas que protejam as suas contas de superadministrador e tornem menos provável que os utilizadores tentem usá-las para operações diárias, como:
Aplique a autenticação multifator nas suas contas de superadministrador, bem como em todas as contas com privilégios elevados.
Use uma chave de segurança ou outro dispositivo de autenticação físico para aplicar a validação em dois passos.
Para a conta de superadministrador inicial, certifique-se de que a chave de segurança é guardada num local seguro, de preferência na sua localização física.
Atribua aos superadministradores uma conta separada que requer um início de sessão separado. Por exemplo, o utilizador alice@example.com pode ter uma conta de superadministrador alice-admin@example.com.
- Se estiver a sincronizar com um protocolo de identidade de terceiros, certifique-se de que aplica a mesma política de suspensão ao Cloud ID e à identidade de terceiros correspondente.
Se tiver uma conta empresarial ou do Google Workspace, ou uma conta do Cloud Identity Premium, pode aplicar um período de início de sessão curto a todas as contas de superadministrador.
Siga as orientações nos padrões de práticas recomendadas de segurança para contas de administrador.
Alertas de chamadas API
Use o Google Cloud Observability para configurar alertas que lhe enviam uma notificação quando é feita uma chamada à API SetIamPolicy(). Isto envia um alerta quando alguém modifica uma política de autorização.
Processo de recuperação de conta
Certifique-se de que os administradores da organização conhecem o processo de recuperação de conta do superadministrador. Este processo ajuda a recuperar a sua conta caso as credenciais de superadministrador sejam perdidas ou comprometidas.
Vários recursos da organização
Recomendamos a utilização de pastas para gerir partes da sua organização que quer gerir separadamente. Se quiser usar vários recursos da organização, precisa de várias contas do Google Workspace ou do Cloud ID. Para informações sobre as implicações da utilização de vários recursos do Google Workspace e do Cloud ID, consulte o artigo Gerir vários recursos da organização.