Práticas recomendadas de contas de superadministrador

Para configurar o recurso Organização do Google Cloud Platform (GCP), você precisa usar uma conta de superadministrador do G Suite ou do Cloud Identity. As contas de superadministrador têm permissões administrativas irrevogáveis, por isso não recomendamos que elas sejam usadas para gerenciar sua organização no dia a dia. Nesta página, descrevemos as práticas recomendadas para usar as contas de superadministrador do G Suite ou do Cloud Identity na sua organização do Google Cloud Platform.

Tipos de conta

A conta de superadministrador do G Suite tem um conjunto de recursos administrativos que inclui o Cloud Identity. Ela fornece um único conjunto de controles de gerenciamento de identidade que pode ser usado em todos os serviços do Google, como Documentos, Planilhas, GCP e assim por diante.

Uma conta do Cloud Identity fornece apenas funcionalidades de autenticação e gerenciamento de identidade, independente do G Suite.

Criar um endereço de e-mail de superadministrador

A conta de superadministrador do G Suite ou do Cloud Identity precisa estar vinculada a um novo endereço de e-mail. Crie um novo endereço de e-mail que não seja de um usuário específico. Essa conta precisa ser protegida com autenticação multifator e pode ser usada como uma ferramenta de recuperação de emergência.

Designar administradores da organização

Quando tiver uma nova organização, você precisará designar um ou mais administradores da organização. Esse papel tem um conjunto menor de permissões projetado para gerenciar as operações diárias da organização.

Também é necessário criar um grupo particular de administradores do GCP na sua conta de superadministrador do G Suite ou do Cloud Identity. Os usuários administradores da organização precisam ser adicionados a esse grupo, mas não o usuário superadministrador. Atribua a esse grupo o papel de Administrador da organização do Cloud IAM ou um subconjunto limitado das permissões desse papel.

Recomendamos que você mantenha sua conta de superadministrador separada do grupo de administradores da organização. O superadministrador tem privilégios irrevogáveis de administrador da organização e pode conceder esse papel. No entanto, removê-lo pode desestimular o uso da conta de superadministrador para gerenciar a organização no dia a dia.

Para saber mais informações sobre como gerenciar o controle de acesso da sua organização usando as políticas do Cloud Identity and Access Management, consulte Controle de acesso para organizações que usam o IAM.

Definir papéis apropriados

O G Suite e o Cloud Identity têm papéis administrativos que não são tão permissivas quanto o papel de superadministrador. Recomendamos seguir o princípio do menor privilégio, concedendo aos usuários o conjunto mínimo de permissões necessário para gerenciar usuários e grupos.

Desestimular o uso da conta de superadministrador

A conta de superadministrador do G Suite e do Cloud Identity tem um conjunto poderoso de permissões que não são necessárias para gerenciar a organização no dia a dia. Você precisa implementar políticas que protejam as contas de superadministrador e tornem menos provável que os usuários tentem usá-las em operações do dia a dia, como estas:

  • Aplique a autenticação multifator nas contas de superadministrador, assim como em todas as contas que tenham muitos privilégios.

  • Use uma chave de segurança ou outro dispositivo físico de autenticação para impor duas etapas de verificação.

  • Para a primeira conta de superadministrador, verifique se a chave de segurança é mantida em um local seguro, de preferência no seu local físico.

  • Conceda aos superadministradores uma conta separada que precise de um login separado. Por exemplo, a usuária alice@example.com pode ter uma conta de superadministradora alice-admin@example.com.

    • Se você estiver sincronizando com um protocolo de identidade terceirizado, aplique a mesma política de suspensão ao Cloud Identity e à identidade terceirizada correspondente.
  • Se você tiver uma conta empresarial ou do G Suite Enterprise ou uma conta premium do Cloud Identity, poderá definir um período curto de login para qualquer superadministrador.

Alertas de chamada de API

Use o Stackdriver para configurar alertas que o notificarão quando for feita uma chamada de API SetIamPolicy(). Isso enviará um alerta quando alguém modificar uma política do Cloud IAM.

Processo de recuperação de conta

Verifique se os administradores da organização estão familiarizados com o processo de recuperação de conta de superadministrador. Esse processo ajudará você a recuperar a conta caso as credenciais de superadministrador sejam perdidas ou comprometidas.

Múltiplas organizações

Recomendamos o uso de pastas para gerenciar partes da organização que você quer gerenciar separadamente. Para usar vários recursos da organização, serão necessárias várias contas do G Suite ou do Cloud Identity. Para mais informações sobre as implicações do uso de vários G Suite e Cloud Identity, consulte Como gerenciar várias organizações.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Resource Manager