Práticas recomendadas de contas de superadministrador

Para configurar o recurso Organização do Google Cloud, você precisa usar uma conta de superadministrador do Google Workspace ou do Cloud Identity. Esta página descreve as práticas recomendadas ao usar suas contas de superadministrador do Google Workspace ou do Cloud Identity no recurso Organização do Google Cloud.

Tipos de conta

A conta de superadministrador do Google Workspace tem um conjunto de recursos administrativos que inclui o Cloud Identity. Isso fornece um conjunto único de controles de gerenciamento de identidade para uso em todos os serviços do Google, como Documentos, Planilhas, Google Cloud, entre outros.

Uma conta do Cloud Identity fornece apenas funções de autenticação e gerenciamento de identidade, independentemente do Google Workspace.

Criar um endereço de e-mail de superadministrador

Crie um novo endereço de e-mail que não seja específico de um determinado usuário como a conta de superadministrador do Google Workspace ou do Cloud Identity. Essa conta precisa ser protegida com autenticação multifator e pode ser usada como uma ferramenta de recuperação de emergência.

Designar administradores da organização

Depois de adquirir um novo recurso da organização, você precisa designar um ou mais administradores da organização. Esse papel tem um conjunto menor de permissões projetado para gerenciar as operações diárias da organização.

Você também deve criar um grupo privado de administradores do Google Cloud na sua conta de superadministrador do Google Workspace ou do Cloud Identity. Adicione os usuários Administrador da organização a esse grupo, mas não o usuário superadministrador. Atribua a esse grupo o papel de Administrador da organização do IAM ou um subconjunto limitado das permissões desse papel.

Recomendamos que você mantenha sua conta de superadministrador separada do grupo de administradores da organização. Como superadministrador, você pode conceder a função de administrador da organização ao usuário mais adequado para gerenciar o recurso da organização e o conteúdo dela.

Para saber mais sobre como gerenciar o controle de acesso do recurso da sua organização usando políticas do Identity and Access Management, consulte Controle de acesso para organizações que usam o IAM.

Definir papéis apropriados

O Google Workspace e o Cloud Identity têm papéis de administrador que não têm tantas permissões quanto o papel de superadministrador. Recomendamos seguir o princípio do menor privilégio, concedendo aos usuários o conjunto mínimo de permissões necessário para gerenciar usuários e grupos.

Desestimular o uso da conta de superadministrador

A conta de superadministrador do Google Workspace e do Cloud Identity tem um conjunto poderoso de permissões que não são necessárias para gerenciar o dia a dia da organização. Você precisa implementar políticas que protejam as contas de superadministrador e tornem menos provável que os usuários tentem usá-las em operações do dia a dia, como estas:

  • Aplique a autenticação multifator nas contas de superadministrador, assim como em todas as contas que tenham muitos privilégios.

  • Use uma chave de segurança ou outro dispositivo físico de autenticação para impor duas etapas de verificação.

  • Para a primeira conta de superadministrador, verifique se a chave de segurança é mantida em um local seguro, de preferência no seu local físico.

  • Conceda aos superadministradores uma conta separada que precise de um login separado. Por exemplo, a usuária alice@example.com pode ter uma conta de superadministradora alice-admin@example.com.

    • Se você estiver sincronizando com um protocolo de identidade terceirizado, aplique a mesma política de suspensão ao Cloud Identity e à identidade terceirizada correspondente.
  • Se você tiver uma conta empresarial ou enterprise do Google Workspace ou uma conta premium do Cloud Identity, poderá aplicar um período curto de login para qualquer conta de superadministrador.

  • Siga as orientações nos padrões de práticas de segurança recomendadas para contas de administrador.

Alertas de chamada de API

Use o Google Cloud Observability para configurar alertas que vão notificar você quando uma chamada de API SetIamPolicy() for feita. Isso enviará um alerta quando alguém modificar alguma política do IAM.

Processo de recuperação de conta

Verifique se os administradores da organização estão familiarizados com o processo de recuperação de conta de superadministrador. Esse processo ajudará você a recuperar a conta caso as credenciais de superadministrador sejam perdidas ou comprometidas.

Vários recursos da organização

Recomendamos o uso de pastas para gerenciar partes da organização que você quer gerenciar separadamente. Se você quiser usar vários recursos da organização, precisará de várias contas do Google Workspace ou do Cloud Identity. Para informações sobre as implicações do uso de vários Google Workspace e Cloud Identity, consulte Gerenciar vários recursos de organização.