Bonnes pratiques relatives aux comptes super-administrateur

Pour configurer votre ressource Organisation sur Google Cloud Platform (GCP), vous devez utiliser un compte super-administrateur G Suite ou Cloud Identity. Les comptes super-administrateur ont des autorisations administratives irrévocables que nous ne recommandons pas d'utiliser dans le cadre de l'administration quotidienne de votre organisation. Cette page décrit les bonnes pratiques relatives à l'utilisation de vos comptes super-administrateur G Suite ou Cloud Identity avec votre organisation Google Cloud Platform.

Types de comptes

Le compte super-administrateur G Suite dispose d’un ensemble de fonctionnalités d’administration incluant Cloud Identity. Cet ensemble unique de contrôles de gestion des identités couvre tous les services Google, tels que Docs, Sheets ou GCP.

Un compte Cloud Identity fournit uniquement des fonctionnalités d'authentification et de gestion des identités, indépendamment de G Suite.

Créer une adresse e-mail super-administrateur

Créez une nouvelle adresse e-mail qui n'est pas spécifique à un utilisateur particulier et définissez-la en tant que compte super-administrateur G Suite ou Cloud Identity. Ce compte doit être sécurisé davantage avec une authentification multifacteur et pourra être éventuellement utilisé comme outil de récupération d'urgence.

Désigner les administrateurs de l'organisation

Une fois que vous avez acquis une nouvelle organisation, vous pouvez désigner un ou plusieurs administrateurs d’organisation. Ce rôle dispose d'un ensemble d'autorisations réduit conçu pour gérer les opérations quotidiennes de votre organisation.

Vous pouvez également créer un groupe d'administrateurs GCP privé dans votre compte super-administrateur G Suite ou Cloud Identity. Ajoutez les utilisateurs administrateurs de votre organisation à ce groupe, mais pas votre utilisateur super-administrateur. Attribuez à ce groupe le rôle Cloud IAM "Administrateur de l'organisation" ou un sous-ensemble limité d'autorisations de ce rôle.

Nous vous recommandons de séparer votre compte super-administrateur du groupe d'administrateurs de votre organisation. Le super-administrateur dispose de droits d'administration d'organisation irrévocables et peut attribuer ce rôle. Sa suppression du groupe peut décourager l’utilisation du compte super-administrateur pour l’administration quotidienne de votre organisation.

Pour plus d'informations sur la gestion du contrôle d'accès pour votre organisation à l'aide de stratégies Cloud Identity and Access Management, consultez la section Contrôle d'accès pour les organisations utilisant IAM.

Définir les rôles appropriés

G Suite et Cloud Identity offrent des rôles administratifs qui ne sont pas aussi permissifs que celui de super-administrateur. Nous vous recommandons de respecter le principe du moindre privilège en accordant aux utilisateurs l'ensemble minimal d'autorisations dont ils ont besoin pour gérer les utilisateurs et les groupes.

Décourager l'utilisation du compte super-administrateur

Le compte super-administrateur G Suite et Cloud Identity dispose d'un ensemble puissant d'autorisations qui ne sont pas nécessaires pour l'administration quotidienne de votre organisation. Vous devez mettre en œuvre des stratégies qui protégeront vos comptes super-administrateur et dissuaderont les utilisateurs d'y recourir pour des opérations quotidiennes. Voici quelques exemples de stratégies possibles :

  • Utilisez l'authentification multifacteur pour vos comptes super-administrateur, ainsi que tous les comptes dotés de privilèges élevés.

  • Utilisez une clé de sécurité ou un autre périphérique d'authentification physique pour appliquer la validation en deux étapes.

  • Pour le compte super-administrateur initial, assurez-vous que la clé de sécurité est conservée dans un endroit sûr, de préférence dans votre position géographique.

  • Donnez aux super-administrateurs un compte séparé qui nécessite une connexion distincte. Par exemple, l'utilisateur alice@exemple.com pourrait avoir un compte super-administrateur alice-admin@exemple.com.

    • Si vous utilisez la synchronisation avec un protocole d'identité tiers, veillez à appliquer la même stratégie de suspension pour Cloud Identity et l'identité tierce correspondante.
  • Si vous disposez d'un compte professionnel, d'un compte G Suite Enterprise ou d'un compte Cloud Identity Premium, vous pouvez imposer une période de connexion courte pour tous les comptes super-administrateur.

Alertes d'appel d'API

Utilisez Stackdriver pour configurer des alertes qui vous informeront lorsqu'un appel d'API SetIamPolicy() est effectué. Vous recevrez une alerte chaque fois qu'un utilisateur modifie une stratégie Cloud IAM.

Processus de récupération de compte

Assurez-vous que les administrateurs de l'organisation sont familiarisés avec le processus de récupération du compte super-administrateur. Ce processus vous aidera à récupérer votre compte au cas où les identifiants de super-administrateur seraient perdus ou compromis.

Plusieurs organisations

Nous vous recommandons d'utiliser des dossiers pour gérer les parties de votre organisation que vous souhaitez administrer séparément. Si vous désirez utiliser plusieurs ressources d'organisation, vous aurez besoin de plusieurs comptes G Suite ou Cloud Identity. Pour plus d'informations sur les implications de l'utilisation de plusieurs comptes G Suite et Cloud Identity, consultez la page Gérer plusieurs organisations.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation relative à Resource Manager