Mundo Tech
Octubre 2022

Mejores prácticas para la Administración de identidades en Google Cloud



La administración de las identidades corporativas suele ser una de las responsabilidades clave de los departamentos de TI. Cada organización es única, y la forma en que administras las identidades también lo es.

Una de las decisiones iniciales que debemos tomar al empezar a utilizar Google Cloud es ...¿cómo administrar las identidades ?. ¿Cómo y quiénes tendrán acceso a los servicios cloud?

En este artículo te daré algunas recomendaciones de cómo manejar las identidades siguiendo buenas prácticas recomendadas por Google Cloud.


Conceptos Clave

Cloud Identity

Es la plataforma que nos permite gestionar de forma centralizada a los usuarios y grupos que pueden acceder a los servicios de Google Cloud y/o también los servicios de Google Workspace. Este servicio se puede utilizar como IdP para aplicaciones de terceros (admite aplicaciones SAML y LDAP).



Cloud Identity & Google Cloud

Ofrece cincuenta licencias de usuario gratuitas , y puedes solicitar más si es necesario.

Las cuentas de Cloud Identity son clave para autenticar a los usuarios corporativos y administrar el acceso a los recursos de Google Cloud.

Cloud Identity tiene diversas funcionalidades, sin embargo, las de mayor relevancia en relación con Google Cloud son:
• Gestión del ciclo de vida del usuario: Crear o importar cuentas de usuario en un directorio basado en la nube. Aprovisionar y desaprovisionar a medida que los usuarios se unan a la organización, cambien roles y se vayan. Administrar todo desde una aplicación fácil de usar.
• Seguridad de la cuenta: Proteger las cuentas de usuario con métodos de verificación de dos pasos, como notificaciones automáticas y contraseñas de un solo uso (OTP). Reforzar el uso de claves de seguridad resistentes al phishing para usuarios y aplicaciones de alto valor.
• Inicio de sesión único


Autenticación, Autorización y Auditoría

Autenticación: la identificación de un usuario generalmente se realiza a través de un proceso en el que el usuario proporciona una forma privada de verificación (por ejemplo, contraseña, clave, etc.). Usamos Cloud Identity.

Autorización:Autorización: conjunto de permisos que se le asignan a un usuario después de la autenticación. Un usuario puede autenticarse (confirmando así su identidad), pero la autenticación, por sí sola, no proporciona ningún conjunto de permisos. Usamos IAM para AuthZ (y Cloud Identity para asignar roles de administrador).

Auditoría: una forma de monitorear los recursos accedidos o modificados por una identidad particular. Usamos Cloud Operations de Google Cloud (anteriormente conocido como Stackdriver), Cloud Audit Logs para auditar en Google Cloud, Reports API para auditar en las operaciones de Cloud Identity.




Mejores prácticas

Diferenciar la administración de Cloud Identity y Google Cloud

Proteger las cuentas de administrador es fundamental para la seguridad de la organización, una de las mejores prácticas de seguridad es tener una cuenta de administración para Cloud Identity (Super Admin) y otra diferente para Google Cloud (Org Admin), debido a que tienen diferentes responsabilidades.




Protege la cuenta de Super Admin en Cloud Identity

Crea una dirección de correo electrónico nueva que no sea específica de un usuario en particular como la cuenta de Super Admin en Cloud Identity. Esta cuenta se debe asegurar aún más con la autenticación de varios factores y se puede usar como una herramienta de recuperación de emergencia.




Configura más de una cuenta como Super Admin

Es recomendable tener tener más de una cuenta de Super Admin, cada una administrada por una persona independiente (evitar compartir una cuenta de administrador). Si una cuenta se pierde o se ve comprometida, otro Super Admin puede realizar tareas críticas mientras se recupera la otra cuenta.


No utilizar la cuenta de Super Admin para actividades diarias

Asigne a cada Súper Admin 2 cuentas: su propia cuenta de Súper Admin y una cuenta separada para las actividades diarias. Los usuarios solo deben iniciar sesión en una cuenta de Super Admin para realizar tareas específicas, como configurar la verificación en dos pasos (2SV), gestionar la facturación y las licencias de usuario, o ayudar a otro administrador a recuperar su cuenta.

Los Super Admin deben usar una cuenta separada que no sea de administrador para las actividades diarias. Por ejemplo, si Maria y Joe son Super Admin, cada uno debe tener una cuenta de administrador identificable y una cuenta de usuario, de la siguiente manera:

[email protected], [email protected]

[email protected], [email protected]



Pipeline de Integración y Entrega Continua (CI/CD) en Google Cloud



Crea grupos para administrar el acceso de los usuarios en Google Cloud

Asigna permisos a grupos de usuarios según sus funciones mediante Grupos de Google para organizar a tus usuarios. No es recomendable agregar permisos específicos a cuentas de usuario individuales debido a la movilidad que puedan tener estos. Tener grupos de administración disminuye la carga operativa sobre el otorgamiento de políticas de administración.

Los siguientes grupos son comunes en las organizaciones que tienen múltiples departamentos que administran su infraestructura de nube.

• gcp-organization-admins : Administrar cualquier recurso que pertenezca a la organización. Los administradores de la organización tienen acceso a todos tus recursos de Google Cloud

• gcp-network-admins: Crear redes, subredes, reglas de firewall y dispositivos de red como Cloud Router, Cloud VPN y balanceadores de cargas en la nube.

• gcp-billing-admins: Configurar cuentas de facturación y supervisar su uso.



Automatiza la Gestión del ciclo de vida de los usuarios

Por ejemplo, si tu organización usa una identidad como proveedor de servicios (IDaaS), como ForgeRock, Okta o Ping Identity, puedes configurar la federación para evitar la duplicación de procesos asociados al ciclo de vida de los usuarios.




• Cloud Identity usan tu IDaaS como IdP para el inicio de sesión único. Habilitas una experiencia de inicio de sesión único para tu organización que se extiende a través de los servicios de Google y otras aplicaciones integradas a tu IDaaS.

• El IDaaS aprovisiona de forma automática usuarios y grupos para Cloud Identity o Google Workspace. No necesitas sincronizar contraseñas ni otras credenciales con Google.

• Las aplicaciones corporativas existentes y otros servicios de SaaS pueden continuar con tus IDaaS como IdP.


Asegura el IdP externo cuando uses el inicio de sesión único

Cloud Identity permite configurar el inicio de sesión único con tu IdP externo, como Active Directory, Azure Active Directory o Okta (para nombrar algunas). Si el inicio de sesión único está habilitado, Cloud Identity confía en el IdP externo para autenticar a los usuarios en el nombre de Google.

Habilitar el inicio de sesión único tiene varias ventajas:
• Los usuarios pueden usar las credenciales existentes para acceder a los servicios de Google.
• No es necesario que los usuarios vuelvan a ingresar su contraseña si ya tienen una sesión iniciada.
• Puedes aplicar políticas de autenticación de varios factores coherentes en todas las aplicaciones y los servicios de Google.




Si el inicio de sesión único está habilitado, la seguridad y la integridad general de la implementación de Google dependen de la seguridad y la integridad del IdP.

Para evitar que el inicio de sesión único se convierta en un vínculo débil en tu posición de seguridad, asegúrate de que el IdP y todos los sistemas de los que depende estén configurados de forma segura:
• Limita la cantidad de usuarios con acceso de administrador al IdP o a cualquiera de los sistemas de los que depende el proveedor.
• No otorgues acceso de administrador a estos sistemas a ningún usuario al que no le darías privilegios de administrador avanzado en Cloud Identity o G Suite.
• No uses el inicio de sesión único si no estás seguro de los controles de seguridad que se implementaron para el IdP externo.


Asegúrese de recibir anuncios de administración importantes

Si no inicia sesión con frecuencia con su cuenta de administrador principal, es posible que se pierda importantes anuncios de servicios obligatorios de Google. Para asegurarse de recibir estos anuncios, configure un contacto de correo electrónico secundario para enviar estos anuncios a una cuenta que use regularmente.

Enviar notificaciones de cuenta y facturación a otro administrador

No permanezca conectado a una cuenta de Super Admin

Mantenerse conectado a una cuenta de Super Admin cuando no está realizando tareas administrativas específicas puede aumentar la exposición a los ataques de phishing. Los Super Admin deben iniciar sesión según sea necesario para realizar tareas específicas y luego cerrar sesión.


Utilice el enfoque de privilegios mínimos

Use la cuenta de Super Admin solo cuando sea necesario. Delegue tareas de administrador a cuentas de usuario con roles de administrador limitados. Utilice el enfoque de privilegios mínimos, donde cada usuario tiene acceso a los recursos y herramientas necesarios para sus tareas típicas. Por ejemplo, podría otorgar permisos de administrador para crear cuentas de usuario y restablecer contraseñas, pero no dejar que elimine cuentas de usuario.


Supervisar la actividad del Super admin vía alertas de correo electrónico

Supervise la actividad del administrador y realice un seguimiento de los posibles riesgos de seguridad configurando alertas de correo electrónico del administrador para ciertos eventos, como intentos de inicio de sesión sospechosos, dispositivos móviles comprometidos o cambios realizados por otro administrador.

Cuando activa una alerta para una actividad, recibe un correo electrónico cada vez que ocurre esa actividad.

View and edit system-defined rules

As your organization's administrator, you can use system-defined rules to be notified of specific activity within your…support.google.com

Revisar el registro de auditoría del administrador

Use el registro de auditoría del administrador para ver un historial de cada tarea realizada en la consola de administración de Google, qué administrador realizó la tarea, la fecha y la dirección IP donde el administrador inició sesión.

La actividad del Super Admin aparece en la columna Event Description como _SEED_ADMIN_ROLE, seguida del nombre de usuario.

Registro de auditoría del administrador


Exporta registros de auditoría a BigQuery

Cloud Identity mantiene varios registros de auditoría para realizar un seguimiento de los cambios de configuración y otras actividades que podrían ser relevantes para la seguridad de tu cuenta de Cloud Identity. En la mayoría de los registros de auditoría, los datos se conservan durante 6 meses.

A fin de limitar el riesgo de acceso no autorizado a los registros de auditoría, usa un proyecto de Google Cloud dedicado para el conjunto de datos de BigQuery. Para proteger los datos de auditoría de la manipulación o la eliminación, otorga acceso al proyecto y al data set de BigQuery con menos privilegios.



Agregar opciones de recuperación a las cuentas de administrador

Los Super Admin deben agregar opciones de recuperación a su cuenta de administrador.

Si un Super Admin olvida su contraseña, puede hacer clic en ¿Necesita ayuda? en la página de inicio de sesión y Google le enviará una nueva contraseña por teléfono, mensaje de texto o correo electrónico. Para hacerlo, Google necesita un número de teléfono y una dirección de correo electrónico de recuperación para la cuenta.

Agregar información de recuperación de cuenta a su cuenta de administrador


Mantenga la información a mano para restablecer la contraseña

Si un Super Admin no puede restablecer su contraseña usando las opciones de recuperación de correo electrónico o teléfono, y otro Super Admin no está disponible para restablecer la contraseña, puede usar el asistente de recuperación.

Para verificar la identidad, Google hace preguntas sobre la cuenta de la organización:
• La fecha en que se creó la cuenta.
• Dirección de correo electrónico secundaria original asociada con la cuenta (correo electrónico utilizado para registrarse).
• Número de pedido de Google asociado a la cuenta (si corresponde).
• Número de cuentas de usuario creadas.
• Dirección de facturación vinculada a la cuenta.
• Tipo de tarjeta de crédito utilizada y sus últimos 4 dígitos.

Google también le pide al administrador que verifique la propiedad de DNS del dominio, por lo que el administrador debe tener las credenciales para editar la configuración de DNS del dominio con su registrador.

Recovering administrator access to your account

If you're an administrator of your organization's Google Workspace or Cloud Identity account and you forgot your…support.google.com


Registrar una llave de seguridad de repuesto

Los Super Admin deben inscribir más de una llave de seguridad para su cuenta de administrador y guardarla en un lugar seguro. Si su clave de seguridad principal se pierde o se la roban, aún pueden iniciar sesión en su cuenta.

Use a security key for 2-Step Verification

Security keys can be used with 2-Step Verification to help you keep hackers out of your Google Account. Important: If…support.google.com

Ahora ya sabes como administrar de forma correcta y con seguridad las identidades en la nube; si tienes dudas al respecto, te invitamos a conversar, recuerda que en Zenta somos partners de Google Cloud y estamos listos para asesorarte en todo momento.

Publicado por:

Juan Maldonado
Chief Technology Officer