Práticas recomendadas de contas de superadministrador

Para configurar o recurso Organização do Google Cloud, você precisa usar uma conta de superadministrador do Google Workspace ou do Cloud Identity. As contas de superadministrador têm permissões administrativas irrevogáveis, por isso não recomendamos que elas sejam usadas para gerenciar sua organização no dia a dia. Esta página descreve as práticas recomendadas ao usar suas contas de superadministrador do Google Workspace ou do Cloud Identity na sua organização do Google Cloud.

Tipos de conta

A conta de superadministrador do Google Workspace tem um conjunto de recursos administrativos que inclui o Cloud Identity. Isso fornece um conjunto único de controles de gerenciamento de identidade para uso em todos os serviços do Google, como Documentos, Planilhas, Google Cloud, entre outros.

Uma conta do Cloud Identity fornece apenas funções de autenticação e gerenciamento de identidade, independentemente do Google Workspace.

Criar um endereço de e-mail de superadministrador

Crie um novo endereço de e-mail que não seja específico de um determinado usuário como a conta de superadministrador do Google Workspace ou do Cloud Identity. Essa conta precisa ser protegida com autenticação multifator e pode ser usada como uma ferramenta de recuperação de emergência.

Designar administradores da organização

Quando tiver uma nova organização, você precisará designar um ou mais administradores da organização. Esse papel tem um conjunto menor de permissões projetado para gerenciar as operações diárias da organização.

Você também deve criar um grupo privado de administradores do Google Cloud na sua conta de superadministrador do Google Workspace ou do Cloud Identity. Os usuários administradores da organização precisam ser adicionados a esse grupo, mas não o usuário superadministrador. Atribua a esse grupo o papel de Administrador da organização do IAM ou um subconjunto limitado das permissões desse papel.

Recomendamos que você mantenha sua conta de superadministrador separada do grupo de administradores da organização. O superadministrador tem privilégios irrevogáveis de administrador da organização e pode conceder esse papel. No entanto, removê-lo pode desestimular o uso da conta de superadministrador para gerenciar a organização no dia a dia.

Para saber mais informações sobre como gerenciar o controle de acesso da sua organização usando as políticas de gerenciamento de identidade e acesso, consulte Controle de acesso para organizações que usam o IAM.

Definir papéis apropriados

O Google Workspace e o Cloud Identity têm papéis de administrador que não têm tantas permissões quanto o papel de superadministrador. Recomendamos seguir o princípio do menor privilégio, concedendo aos usuários o conjunto mínimo de permissões necessário para gerenciar usuários e grupos.

Desestimular o uso da conta de superadministrador

A conta de superadministrador do Google Workspace e do Cloud Identity tem um conjunto poderoso de permissões que não são necessárias para gerenciar o dia a dia da organização. Você precisa implementar políticas que protejam as contas de superadministrador e tornem menos provável que os usuários tentem usá-las em operações do dia a dia, como estas:

  • Aplique a autenticação multifator nas contas de superadministrador, assim como em todas as contas que tenham muitos privilégios.

  • Use uma chave de segurança ou outro dispositivo físico de autenticação para impor duas etapas de verificação.

  • Para a primeira conta de superadministrador, verifique se a chave de segurança é mantida em um local seguro, de preferência no seu local físico.

  • Conceda aos superadministradores uma conta separada que precise de um login separado. Por exemplo, a usuária alice@example.com pode ter uma conta de superadministradora alice-admin@example.com.

    • Se você estiver sincronizando com um protocolo de identidade terceirizado, aplique a mesma política de suspensão ao Cloud Identity e à identidade terceirizada correspondente.
  • Se você tiver uma conta empresarial ou enterprise do Google Workspace ou uma conta premium do Cloud Identity, poderá aplicar um período curto de login para qualquer conta de superadministrador.

  • Siga as orientações nos padrões de práticas de segurança recomendadas para contas de administrador.

Alertas de chamada de API

Use o pacote de operações do Google Cloud para configurar alertas que notificarão você quando uma chamada à API SetIamPolicy() for feita. Isso enviará um alerta quando alguém modificar alguma política do IAM.

Processo de recuperação de conta

Verifique se os administradores da organização estão familiarizados com o processo de recuperação de conta de superadministrador. Esse processo ajudará você a recuperar a conta caso as credenciais de superadministrador sejam perdidas ou comprometidas.

Múltiplas organizações

Recomendamos o uso de pastas para gerenciar partes da organização que você quer gerenciar separadamente. Se você quiser usar vários recursos da organização, precisará de várias contas do Google Workspace ou do Cloud Identity. Para informações sobre as implicações do uso de vários Google Workspace e Cloud Identity, consulte Como gerenciar várias organizações.