Prácticas recomendadas para la cuenta de administrador avanzado

Para configurar el recurso de tu organización de Google Cloud, debes usar una cuenta de administrador avanzado de G Suite o Cloud Identity. Las cuentas de administrador avanzado tienen permisos administrativos irrevocables que no recomendamos usar en la administración diaria de tu organización. En esta página, se describen las prácticas recomendadas para usar tus cuentas de administrador avanzado de G Suite o Cloud Identity con tu organización de Google Cloud.

Tipos de cuentas

Una cuenta de administrador avanzado de G Suite tiene un conjunto de capacidades administrativas que incluyen Cloud Identity. Esto proporciona un conjunto único de controles de administración de identidades para usar en todos los servicios de Google, como Documentos, Hojas de cálculo y Google Cloud, entre otros.

Una cuenta de Cloud Identity solo proporciona funciones de autenticación y administración de identidades, independientemente de G Suite.

Crea una dirección de correo electrónico de administrador avanzado

Crea una nueva dirección de correo electrónico que no sea específica de un usuario en particular como cuenta de administrador avanzado de G Suite o Cloud Identity. Esta cuenta se debe asegurar aún más con la autenticación de varios factores y se puede usar como una herramienta de recuperación de emergencia.

Designa administradores de la organización

Después de haber adquirido una organización nueva, designa uno o más administradores de la organización. Esta función tiene un conjunto más pequeño de permisos que están diseñados para administrar las operaciones diarias de la organización.

También debes crear un grupo privado de administradores de Google Cloud en tu cuenta de administrador avanzado de G Suite o Cloud Identity. Agrega los usuarios administradores de la organización a este grupo, pero no el usuario de administrador avanzado. Otorga a este grupo la función de administrador de la organización Cloud IAM o un subconjunto limitado de los permisos de la función.

Recomendamos que mantengas tu cuenta de administrador avanzado separada del grupo de administradores de la organización. El administrador avanzado tiene privilegios de administrador de la organización irrevocables y puede otorgar esa función, pero quitarla puede desalentar el uso de la cuenta de administrador avanzado para la administración diaria de tu organización.

Si quieres obtener información sobre cómo administrar el control de acceso de tu organización con las políticas de Cloud Identity and Access Management, consulta la página sobre cómo controlar el acceso para organizaciones que usan IAM.

Establece funciones apropiadas

G Suite y Cloud Identity tienen funciones de administrador que no son tan permisivas como la función de administrador avanzado. Recomendamos seguir el principio de privilegio mínimo y otorgarles a los usuarios el conjunto mínimo de permisos que necesitan para administrar usuarios y grupos.

Desalienta el uso de la cuenta de administrador avanzado

La cuenta de administrador avanzado de G Suite y Cloud Identity tiene un poderoso conjunto de permisos que no son necesarios para su uso en la administración diaria de tu organización. Debes implementar políticas que aseguren tus cuentas de administrador avanzado y hagan que los usuarios tengan menos probabilidades de intentar usarlas para las operaciones diarias, por ejemplo:

  • Aplica la autenticación de varios factores en tus cuentas de administrador avanzado y en todas las cuentas que tengan privilegios elevados.

  • Usa una llave de seguridad o algún otro dispositivo físico de autenticación para aplicar la verificación en dos pasos.

  • Para la cuenta inicial de administrador avanzado, asegúrate de que la llave de seguridad se mantenga en un lugar seguro, preferiblemente en tu ubicación física.

  • Proporciona a los administradores avanzados una cuenta separada que requiera un acceso separado. Por ejemplo, el usuario alice@example.com podría tener la cuenta de administrador avanzado alice-admin@example.com.

    • Si sincronizas con un protocolo de identidad de terceros, asegúrate de aplicar la misma política de suspensión a Cloud Identity y a la identidad de terceros correspondiente.
  • Si tienes una cuenta empresarial o comercial de G Suite o una cuenta premium de Cloud Identity, puedes aplicar un período de inicio de sesión corto para cualquier cuenta de administrador avanzado.

  • Sigue las instrucciones en Prácticas recomendadas de seguridad para proteger cuentas de administrador.

Alertas de llamada a la API

Usa Stackdriver para configurar alertas que te notificarán cuando se realice una llamada a la API SetIamPolicy(). Esto enviará una alerta cuando alguien modifique alguna política de Cloud IAM.

Proceso de recuperación de la cuenta

Asegúrate de que los administradores de la organización estén familiarizados con el proceso de recuperación de cuenta de administrador avanzado. Este proceso te ayudará a recuperar tu cuenta en caso de que las credenciales de administrador avanzado se pierdan o se vean comprometidas.

Varias organizaciones

Recomendamos usar carpetas para administrar las partes de tu organización que deseas administrar por separado. Si, en cambio, deseas usar varios recursos de la organización, necesitarás varias cuentas de G Suite o Cloud Identity. Para obtener información sobre las implicaciones del uso de varias cuentas de G Suite y Cloud Identity, consulta la página sobre cómo administrar varias organizaciones.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Resource Manager