GH GambleHub

Hierarquia de contas e subutilizadores

(Seção Operações e Gerenciamento)

1) Tarefa e princípios

A hierarquia das contas determina como as organizações e as pessoas acessam os recursos da plataforma e como os direitos, quotas, orçamentos e responsabilidades são distribuídos.

Princípios:
  • Separation of Concerns: A estrutura do negócio é refletida na árvore das entidades e os direitos nos políticos.
  • Least Privilege: padrão - papéis mínimos, promoção temporária via JIT.
  • Composibilidade: rolos/quotas/limites são herdados e redefinidos.
  • Policy-as-Código: políticas de acesso, quotas, billing - artefatos versionáveis.
  • Auditability: cada ação está correlacionada com um sujeito, contexto e assinatura.

2) Modelo de hierarquia árbitro


Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)
Atribuir níveis:
  • Tenant: proprietário de contratos, bilíngue de alto nível, políticas globais e SSO.
  • Conta: área de responsabilidade isolada (marca/país/BE); orçamentos/limites próprios.
  • Sub-matt: unidade de trabalho (produto/fluxo/comando); as suas chaves, quotas, papéis e auditorias.

3) Modelos de autorização

RBAC: роли Owner/Admin/Operator/Viewer/Billing/Compliance.
ABAC: атрибуты `region`, `tenant`, `account`, `environment`, `risk_score`, `device_posture`.
Um relacionamento «dono/participante/revivit» para projetos e segredos.

Prática: híbrido - RBAC como base de leitura, ABAC para limitações contextuais (região/tempo/dispositivo), ReBAC para propriedade de recursos.

4) Delegação e herança

Delegação para baixo: A Admin do Tenant emite o papel da Conta Admin, a Sub-Conta Maintainer.
Redefinições: quotas/limites/políticas podem ser endurecidas para baixo na árvore.
Trust Boundaries: PII/Finanças - apenas em «zonas de confiança» Nível de Conta; Sub-Matt vê tokens/unidades.
Break-glass: acesso de emergência com TTL curto, alert automático e pós-mortem.

5) Quotas, orçamentos, bilhetagem

Quotas: consultas/segundos, eventos/dia, egress, armazenamento, chaves/webhooks.
Orçamentos: caps mensais e alertas (80/90/100%), trotling automático/suspensão.
Billing: faturas no nível Tenant/Account; cortes de Sub-Matt e marcas de formatação.
Transfer Pricing: divisões internas entre BU/regiões.
Fair-use: limites públicos, rate-limits, proteção contra «bursters».

6) Identidade e SSO/SCIM

SSO (SAML/OIDC): entrada centralizada no nível Tenant.
SCIM: criar/desativar automaticamente usuários/grupos e vincular-se a papéis.
JML (Joiner/Mover/Leaver): emissão automática de papéis iniciais, revisão de tradução, retirada instantânea.
MFA/FIDO2: Obrigatório para almirantes, finanças e acesso ao PII.
O Device Posture é uma tolerância para o estado do dispositivo (criptografia, EDR).

7) Ensaios de serviço e chaves

Service Account per Sub-Score + Ambiente, sem segredos shared.
O Workload Identity é um token de curta duração, ancorado a um pouso/função.
KMS/Vault: rotação de segredos, acesso por papéis, assinaturas DSSE.
Webhooks: assinaturas, 'nose + timestamp', janela TTL.

8) Modelo de dados (simplificado)

`tenant` `{id, name, sso, billing_profile, policies[]}`

`account` `{id, tenant_id, region, legal_entity, quotas{}, budgets{}, risk_tier}`

`sub_account` `{id, account_id, product, environment, keys[], webhooks[], limits{}}`

`role` `{id, scope: tenant|account|sub_account, permissions[]}`

`membership` `{subject_id, role_id, scope_ref, ttl, justification}`

`policy` `{type: rbac|abac|sod|quota, version, rules, signature}`

`audit_event` `{who, what, where, when, trace_id, signature}`

`quota_usage` `{scope_ref, metric, window, used, cap}`

9) Contratos de API

Gerenciamento:
  • 'POST/tenants/Pra-lo-que-não-é-a-nota' - Criar o Accounts (Políticas/Quotas/Billing).
  • 'POST/accounts' - Criar o Sub-Contas (chaves, webhooks).
  • 'PUT/roles/diante de' é a política do rol; 'POST/memberships' é atribuir o papel.
  • 'POST/access/elevate' - promoção JIT com TTL e justificativa.
  • 'GET/cotas/usage' - uso/capa; 'POST/cotas/override'.
Auditorias e estatais:
  • `GET /audit/events? scope =... '- logs assinados.
  • 'GET/status/access' - papéis válidos/TTL/chaves.
  • Вебхуки: `QuotaCapReached`, `RoleExpiring`, `KeyRotationDue`, `PolicyChanged`.

10) RACI (áreas-chave)

ÁreaResponsibleAccountableConsultedInformed
Modelo de hierarquia/políticaPlatform IAMCTOSecurity, LegalTodos os BU
Papéis e SoDSecurity/IAMCISOFinance, OpsAuditoria
Quotas/orçamentosFinOps/PlatformCFO/CTOProduct, SREConta proprietária
SSO/SCIM/JMLIT/IAMCIOHR, SecurityExecutivos
Auditoria/RecisãoComplianceCCOSecurity, OpsGerenciamento

11) Métricas e SLO

TTG (Time-to-Grant): Mediana de acesso padrão ≤ 4 h.
JIT Coverage: ≥ 80% das operações privilegiadas através de papéis temporários.
SoD Violations: 0 в prod; TR eliminação ≤ 24 h.
Orphaned Access: percentual de direitos «esquecidos» ≤ 0. 1%.
Cota Accuracy: Correspondência de faturamento/utilização ≥ 99. 99%.
Auditório Completeness: 100% de acções críticas com assinatura/recibo.

12) Dashboards

Access Health: funções ativas por nível, TTL vencido, violações de SoD.
FinOps: uso de quotas, previsão de orçamento, anomalias de egress/compute.
Segurança: rotação de chaves, falhas MFA/SSO, grampos de risco.
Compliance: estado de recentralização, auditoria-logs, violações de políticas.
Operations: MTTR solicitações de acesso, TTFI para novos comandos.

13) Separação de dados e privacidade

Data Domins: PII/Finanças - apenas no nível de Account; Sub-score - unidades/tokens.
Regionalidade: localização de dados e chaves per-region (áreas de confiança).
Solicitações de PII: somente através de jobs aprovados; Toquenização e camuflagem.

14) Riscos e anti-pattern

Modelo Flat: todos são «admins» → incidentes e fugas.
Segredos de Shared são inatingíveis e impossíveis de fazer comentários.
Sem SoD, uma pessoa cria e aprova pagamentos/limites.
Ambientes não inseridos: chaves uv em prod; mistura de dados de teste e dados reais.
Papéis «infinitos»: sem TTL/recentralização → acumulação de riscos.
Quotas fracas: Um Sub-Matt «come» a capacidade de todos.

15) Playbooks incidentes

Comprometimento da chave Sub-Matt: levantamento imediato, rotação de dependências, recontagem de quotas, auditoria dos últimos 7 a 30 dias.
Excesso de quotas: trottling/pauser automático, notificação do proprietário, orçamento temporário.
Violação de SoD: bloqueio da operação, remoção temporária do papel, investigação e fixação de políticas.
Trocar webhooks: proibir admissões sem assinatura/fora TTL, re-key, status-endpoint.

16) Linha e ciclo de vida

1. Inicialização Tenant: SSO/SCIM, perfil billing, políticas globais.
2. Criação do Account: regiões, quotas, orçamentos, áreas de dados, papéis básicos.
3. Sub-matt: chaves/webhooks, funções de comando, integração.
4. JML/Recisão: revisão trimestral de direitos, levantamento automático de «adormecidos».
5. EOL: Arquivo, revisão de chaves, transferência de posse, encerramento do bilhete.

17) Folha de cheque de implementação

  • Concordar com a árvore Tenant → Score → Sub-Score e as regras de herança.
  • Descrever papéis (RBAC) e políticas contextuais (ABAC), matriz de SoD.
  • Iniciar SSO/SCIM, processos JML e promoções JIT.
  • Introduzir quotas/orçamentos/regras de capa e alerting.
  • Implantar KMS/Vault, rotações e proibir segredos shared.
  • Incluir políticas-como-código, lançamentos assinados e registros WORM.
  • Personalizar API/webhooks de controle, status de endpoint e auditoria.
  • Construir dashboards Access/FinOps/Security/Compliance.
  • Fazer GameDay: fuga da chave, quiz-tempestade, falha de IdP, violação da SoD.
  • Reinterpretar papéis regularmente e rever limites.

18) FAQ

Onde manter a fronteira entre a Conta e a Conta Sub?
Onde as finanças/compliance/regulação (Account) mudam e o Sub-Matt é sobre o comando/produto/ambiente.

É possível colar várias quotas Sub-Matt?
Sim, através de balas e prioridades, mas com fusíveis para «queimar» a capacidade.

Como é que o acesso temporário é rápido?
Solicitação de JIT com MFA e TTL, automação e pós-mortem para sessões privilegiadas.

Precisamos de chaves diferentes às quartas-feiras?
Obrigatório: Serviço Accounts/chaves individuais para dave/estágio/prod, com isolamento de redes e permissões.

Resumo: A hierarquia de contas e subutilizadores é um esqueleto de governabilidade: estrutura legível de entidades, políticas herdadas, cotas rigorosas e billing, identidades seguras e auditoria comprovada. Com o híbrido de RBAC/ABAC/ReBAC, JIT/SoD e policy-as-código, você terá um suporte rápido, gastos previsíveis e segurança sustentável quando você estiver escalado por produtos, comandos e regiões.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.