Para configurar tu recurso de organización, debes usar una cuenta de superadministrador de Google Workspace o Cloud Identity. Google Cloud En esta página se describen las prácticas recomendadas para usar tus cuentas de superadministrador de Google Workspace o Cloud Identity con el recurso de tu Google Cloud organización.
Tipos de cuentas
Una cuenta de superadministrador de Google Workspace tiene un conjunto de funciones administrativas que incluye Cloud Identity. De esta forma, se proporciona un único conjunto de controles de gestión de identidades que se pueden usar en todos los servicios de Google, como Documentos,Hojas de cálculo Google Cloud, etc.
Una cuenta de Cloud Identity solo proporciona funciones de autenticación y gestión de identidades, independientemente de Google Workspace.
Crear una dirección de correo de superadministrador
Crea una dirección de correo que no sea específica de un usuario concreto como cuenta de superadministrador de Google Workspace o Cloud Identity. Esta cuenta debe protegerse aún más con la autenticación multifactor y podría usarse como herramienta de recuperación de emergencia.
Designar administradores de la organización
Una vez que hayas adquirido un nuevo recurso de organización, designa a uno o varios administradores de la organización. Este rol tiene un conjunto de permisos más reducido que se ha diseñado para gestionar las operaciones diarias de tu organización.
También debes crear un grupo de administradores privado Google Cloud en tu cuenta de superadministrador de Google Workspace o Cloud Identity. Añade a este grupo a los usuarios con el rol Administrador de la organización, pero no al superadministrador. Concede a este grupo el rol de administrador de la organización de Gestión de Identidades y Accesos (IAM) o un subconjunto limitado de los permisos del rol.
Te recomendamos que mantengas tu cuenta de superadministrador separada del grupo Administrador de la organización. Como superadministrador, puedes asignar el rol Administrador de la organización al usuario más adecuado para gestionar el recurso de la organización y su contenido.
Para obtener información sobre cómo gestionar el control de acceso a tu recurso de organización mediante políticas de permiso, consulta el artículo Control de acceso a organizaciones con gestión de identidades y accesos.
Definir los roles adecuados
Google Workspace y Cloud Identity tienen roles de administrador que no son tan permisivos como el rol de superadministrador. Te recomendamos que sigas el principio de mínimos accesos y concedas a los usuarios el conjunto mínimo de permisos que necesiten para gestionar usuarios y grupos.
Desaconsejar el uso de cuentas de superadministrador
La cuenta de superadministrador de Google Workspace y Cloud Identity tiene un conjunto de permisos muy amplio que no es necesario para la administración diaria de tu organización. Debes implementar políticas que protejan tus cuentas de superadministrador y reduzcan la probabilidad de que los usuarios intenten usarlas para las operaciones rutinarias. Por ejemplo:
Implementa la autenticación multifactor en tus cuentas de superadministrador, así como en todas las cuentas que tengan privilegios elevados.
Usa una llave de seguridad u otro dispositivo de autenticación físico para aplicar la verificación en dos pasos.
En el caso de la cuenta de superadministrador inicial, asegúrate de que la llave de seguridad se guarde en un lugar seguro, preferiblemente en tu ubicación física.
Asigna a los superadministradores una cuenta independiente que requiera un inicio de sesión diferente. Por ejemplo, el usuario alice@example.com podría tener una cuenta de superadministrador alice-admin@example.com.
- Si sincronizas con un protocolo de identidad de terceros, asegúrate de aplicar la misma política de suspensión a Cloud Identity y a la identidad de terceros correspondiente.
Si tienes una cuenta de empresa o de Google Workspace Enterprise, o una cuenta premium de Cloud Identity, puedes aplicar un periodo de inicio de sesión breve a cualquier cuenta de superadministrador.
Sigue las directrices de los patrones de prácticas recomendadas de seguridad para cuentas de administrador.
Alertas de llamadas a la API
Usa Google Cloud Observability para configurar alertas que te notifiquen cuando se haga una llamada a la API SetIamPolicy(). De esta forma, se enviará una alerta cuando alguien modifique alguna política de permiso.
Proceso de recuperación de la cuenta
Asegúrate de que los administradores de la organización conozcan el proceso de recuperación de la cuenta de superadministrador. Este proceso te ayudará a recuperar tu cuenta en caso de que se pierdan o se vulneren las credenciales de superadministrador.
Varios recursos de organización
Te recomendamos que uses carpetas para gestionar las partes de tu organización que quieras gestionar por separado. Si quieres usar varios recursos de organización, necesitarás varias cuentas de Google Workspace o Cloud Identity. Para obtener información sobre las implicaciones de usar varias cuentas de Google Workspace y Cloud Identity, consulta Gestionar varios recursos de organización.