Bonnes pratiques concernant les comptes de super-administrateur

Pour configurer votre ressource Organisation Google Cloud, vous devez utiliser un compte super-administrateur Google Workspace ou Cloud Identity. Cette page décrit les bonnes pratiques concernant l'utilisation de vos comptes super-administrateur Google Workspace ou Cloud Identity avec votre ressource Organisation Google Cloud.

Types de comptes

Le compte super-administrateur Google Workspace dispose d'un ensemble de fonctionnalités d'administration incluant Cloud Identity. Cet ensemble unique de contrôles de gestion des identités couvre tous les services Google, tels que Docs, Sheets ou Google Cloud.

Un compte Cloud Identity fournit uniquement des fonctionnalités d'authentification et de gestion des identités, indépendamment de Google Workspace.

Créer une adresse e-mail super-administrateur

Créez une adresse e-mail qui n'est pas spécifique à un utilisateur particulier en tant que compte super-administrateur Google Workspace ou Cloud Identity. Ce compte doit être sécurisé davantage avec une authentification multifacteur et pourra être éventuellement utilisé comme outil de récupération d'urgence.

Désigner des administrateurs de l'organisation

Une fois que vous avez acquis une ressource "Organisation", vous pouvez désigner un ou plusieurs administrateurs d'organisation. Ce rôle dispose d'un ensemble d'autorisations réduit conçu pour gérer les opérations quotidiennes de votre organisation.

Vous pouvez également créer un groupe d'administrateurs Google Cloud privé dans votre compte de super-administrateur Google Workspace ou Cloud Identity. Ajoutez les utilisateurs administrateurs de votre organisation à ce groupe, mais pas votre utilisateur super-administrateur. Attribuez à ce groupe le rôle IAM "Administrateur de l'organisation" ou un sous-ensemble limité d'autorisations de ce rôle.

Nous vous recommandons de séparer votre compte super-administrateur du groupe d'administrateurs de votre organisation. En tant que super-administrateur, vous pouvez attribuer le rôle d'administrateur de l'organisation à l'utilisateur le plus à même de gérer les ressources de l'organisation et son contenu.

Pour plus d'informations sur la gestion du contrôle des accès pour les ressources de votre organisation à l'aide de stratégies Identity and Access Management, consultez la section Contrôle des accès pour les organisations utilisant IAM.

Définir les rôles appropriés

Google Workspace et Cloud Identity offrent des rôles administratifs qui ne sont pas aussi permissifs que celui de super-administrateur. Nous vous recommandons de respecter le principe du moindre privilège en accordant aux utilisateurs l'ensemble minimal d'autorisations dont ils ont besoin pour gérer les utilisateurs et les groupes.

Décourager l'utilisation du compte super-administrateur

Le compte de super-administrateur Google Workspace et Cloud Identity dispose d'un ensemble puissant d'autorisations qui ne sont pas nécessaires pour l'administration quotidienne de votre organisation. Vous devez mettre en œuvre des stratégies qui protégeront vos comptes super-administrateur et dissuaderont les utilisateurs d'y recourir pour des opérations quotidiennes. Voici quelques exemples de stratégies possibles :

  • Utilisez l'authentification multifacteur pour vos comptes super-administrateur, ainsi que tous les comptes dotés de privilèges élevés.

  • Utilisez une clé de sécurité ou un autre périphérique d'authentification physique pour appliquer la validation en deux étapes.

  • Pour le compte super-administrateur initial, assurez-vous que la clé de sécurité est conservée dans un endroit sûr, de préférence dans votre position géographique.

  • Donnez aux super-administrateurs un compte séparé qui nécessite une connexion distincte. Par exemple, l'utilisateur alice@exemple.com pourrait avoir un compte super-administrateur alice-admin@exemple.com.

    • Si vous utilisez la synchronisation avec un protocole d'identité tiers, veillez à appliquer la même stratégie de suspension pour Cloud Identity et l'identité tierce correspondante.
  • Si vous disposez d'un compte professionnel, d'un compte Google Workspace Enterprise ou d'un compte Cloud Identity Premium, vous pouvez imposer une période de connexion courte pour tous les comptes super-administrateur.

  • Suivez les conseils qui vous sont donnés dans les Bonnes pratiques de sécurité relatives aux comptes administrateur.

Alertes d'appel d'API

Utilisez Google Cloud Observability pour configurer des alertes qui vous avertissent lorsqu'un appel d'API SetIamPolicy() est effectué. Vous recevrez une alerte chaque fois qu'un utilisateur modifie une stratégie IAM.

Processus de récupération de compte

Assurez-vous que les administrateurs de l'organisation sont familiarisés avec le processus de récupération du compte super-administrateur. Ce processus vous aidera à récupérer votre compte au cas où les identifiants de super-administrateur seraient perdus ou compromis.

Ressources d'organisation multiples

Nous vous recommandons d'utiliser des dossiers pour gérer les parties de votre organisation que vous souhaitez administrer séparément. Si vous souhaitez utiliser plusieurs ressources Organisation, vous aurez besoin de plusieurs comptes Google Workspace ou Cloud Identity. Pour plus d'informations sur les implications de l'utilisation de plusieurs comptes Google Workspace et Cloud Identity, consultez la page Gérer plusieurs ressources d'organisation.