Para configurar o recurso de organização do Google Cloud, você precisa usar uma conta de superadministrador do Google Workspace ou do Cloud Identity. Nesta página, descrevemos as práticas recomendadas para usar suas contas de superadministrador do Google Workspace ou do Cloud Identity com seu recurso de organização do Google Cloud.
Tipos de conta
A conta de superadministrador do Google Workspace tem um conjunto de recursos administrativos que inclui o Cloud Identity. Isso fornece um conjunto único de controles de gerenciamento de identidade para uso em todos os serviços do Google, como Documentos, Planilhas, Google Cloud, entre outros.
Uma conta do Cloud Identity fornece apenas funções de autenticação e gerenciamento de identidade, independentemente do Google Workspace.
Criar um endereço de e-mail de superadministrador
Crie um novo endereço de e-mail que não seja específico de um determinado usuário como a conta de superadministrador do Google Workspace ou do Cloud Identity. Essa conta precisa ser protegida com autenticação multifator e pode ser usada como uma ferramenta de recuperação de emergência.
Designar administradores da organização
Depois de adquirir um novo recurso da organização, você designa um ou mais Administradores da organização. Esse papel tem um conjunto menor de permissões projetado para gerenciar as operações diárias da organização.
Você também deve criar um grupo privado de administradores do Google Cloud na sua conta de superadministrador do Google Workspace ou do Cloud Identity. Adicione os usuários Administrador da organização a esse grupo, mas não o usuário superadministrador. Atribua a esse grupo o papel de Administrador da organização do IAM ou um subconjunto limitado das permissões desse papel.
Recomendamos manter a conta de superadministrador separada do grupo de administradores da organização. Como superadministrador, você pode conceder o papel de Administrador da organização ao usuário apropriado mais bem posicionado para gerenciar o recurso da organização e o conteúdo dele.
Para informações sobre como gerenciar o controle de acesso do recurso da organização usando políticas do Identity and Access Management, consulte Controle de acesso para organizações que usam o IAM.
Definir papéis apropriados
O Google Workspace e o Cloud Identity têm papéis de administrador que não têm tantas permissões quanto o papel de superadministrador. Recomendamos seguir o princípio do menor privilégio, concedendo aos usuários o conjunto mínimo de permissões necessário para gerenciar usuários e grupos.
Desestimular o uso da conta de superadministrador
A conta de superadministrador do Google Workspace e do Cloud Identity tem um conjunto poderoso de permissões que não são necessárias para gerenciar o dia a dia da organização. Você precisa implementar políticas que protejam as contas de superadministrador e tornem menos provável que os usuários tentem usá-las em operações do dia a dia, como estas:
Aplique a autenticação multifator nas contas de superadministrador, assim como em todas as contas que tenham muitos privilégios.
Use uma chave de segurança ou outro dispositivo físico de autenticação para impor duas etapas de verificação.
Para a primeira conta de superadministrador, verifique se a chave de segurança é mantida em um local seguro, de preferência no seu local físico.
Conceda aos superadministradores uma conta separada que precise de um login separado. Por exemplo, a usuária alice@example.com pode ter uma conta de superadministradora alice-admin@example.com.
- Se você estiver sincronizando com um protocolo de identidade terceirizado, aplique a mesma política de suspensão ao Cloud Identity e à identidade terceirizada correspondente.
Se você tiver uma conta empresarial ou enterprise do Google Workspace ou uma conta premium do Cloud Identity, poderá aplicar um período curto de login para qualquer conta de superadministrador.
Siga as orientações nos padrões de práticas de segurança recomendadas para contas de administrador.
Alertas de chamada de API
Use a observabilidade do Google Cloud para
configurar alertas que notificam
você quando uma chamada de API
SetIamPolicy() é feita. Isso enviará um alerta quando alguém modificar alguma política do
IAM.
Processo de recuperação de conta
Verifique se os administradores da organização estão familiarizados com o processo de recuperação de conta de superadministrador. Esse processo ajudará você a recuperar a conta caso as credenciais de superadministrador sejam perdidas ou comprometidas.
Vários recursos da organização
Recomendamos o uso de pastas para gerenciar partes da organização que você quer gerenciar separadamente. Se você quiser usar vários recursos da organização, precisará de várias contas do Google Workspace ou do Cloud Identity. Para informações sobre as implicações do uso de vários recursos do Google Workspace e do Cloud Identity, consulte Como gerenciar vários recursos da organização.