Pour configurer votre ressource d'organisation Google Cloud, vous devez utiliser un compte de super-administrateur Google Workspace ou Cloud Identity. Cette page décrit les bonnes pratiques d'utilisation de vos comptes super-administrateur Google Workspace ou Cloud Identity avec votre ressource d'organisation Google Cloud.
Types de comptes
Le compte super-administrateur Google Workspace dispose d'un ensemble de fonctionnalités d'administration incluant Cloud Identity. Cet ensemble unique de contrôles de gestion des identités couvre tous les services Google, tels que Docs, Sheets ou Google Cloud.
Un compte Cloud Identity fournit uniquement des fonctionnalités d'authentification et de gestion des identités, indépendamment de Google Workspace.
Créer une adresse e-mail super-administrateur
Créez une adresse e-mail qui n'est pas spécifique à un utilisateur particulier en tant que compte super-administrateur Google Workspace ou Cloud Identity. Ce compte doit être sécurisé davantage avec une authentification multifacteur et pourra être éventuellement utilisé comme outil de récupération d'urgence.
Désigner des administrateurs d'organisation
Une fois que vous avez acquis une nouvelle ressource d'organisation, vous pouvez désigner un ou plusieurs administrateurs de l'organisation. Ce rôle dispose d'un ensemble d'autorisations réduit conçu pour gérer les opérations quotidiennes de votre organisation.
Vous pouvez également créer un groupe d'administrateurs Google Cloud privé dans votre compte de super-administrateur Google Workspace ou Cloud Identity. Ajoutez les administrateurs de votre organisation à ce groupe, mais pas votre super-administrateur. Attribuez à ce groupe le rôle IAM "Administrateur de l'organisation" ou un sous-ensemble limité d'autorisations de ce rôle.
Nous vous recommandons de séparer votre compte super-administrateur du groupe d'administrateurs de l'organisation. En tant que super-administrateur, vous pouvez attribuer le rôle d'administrateur de l'organisation à l'utilisateur approprié le mieux placé pour gérer la ressource d'organisation et son contenu.
Pour en savoir plus sur la gestion du contrôle des accès pour votre ressource d'organisation à l'aide de stratégies Identity and Access Management, consultez la page Contrôle d'accès pour les organisations utilisant IAM.
Définir les rôles appropriés
Google Workspace et Cloud Identity offrent des rôles administratifs qui ne sont pas aussi permissifs que celui de super-administrateur. Nous vous recommandons de respecter le principe du moindre privilège en accordant aux utilisateurs l'ensemble minimal d'autorisations dont ils ont besoin pour gérer les utilisateurs et les groupes.
Décourager l'utilisation du compte super-administrateur
Le compte de super-administrateur Google Workspace et Cloud Identity dispose d'un ensemble puissant d'autorisations qui ne sont pas nécessaires pour l'administration quotidienne de votre organisation. Vous devez mettre en œuvre des stratégies qui protégeront vos comptes super-administrateur et dissuaderont les utilisateurs d'y recourir pour des opérations quotidiennes. Voici quelques exemples de stratégies possibles :
Utilisez l'authentification multifacteur pour vos comptes super-administrateur, ainsi que tous les comptes dotés de privilèges élevés.
Utilisez une clé de sécurité ou un autre périphérique d'authentification physique pour appliquer la validation en deux étapes.
Pour le compte super-administrateur initial, assurez-vous que la clé de sécurité est conservée dans un endroit sûr, de préférence dans votre position géographique.
Donnez aux super-administrateurs un compte séparé qui nécessite une connexion distincte. Par exemple, l'utilisateur alice@exemple.com pourrait avoir un compte super-administrateur alice-admin@exemple.com.
- Si vous utilisez la synchronisation avec un protocole d'identité tiers, veillez à appliquer la même stratégie de suspension pour Cloud Identity et l'identité tierce correspondante.
Si vous disposez d'un compte professionnel, d'un compte Google Workspace Enterprise ou d'un compte Cloud Identity Premium, vous pouvez imposer une période de connexion courte pour tous les comptes super-administrateur.
Suivez les conseils qui vous sont donnés dans les Bonnes pratiques de sécurité relatives aux comptes administrateur.
Alertes d'appel d'API
Utilisez l'observabilité Google Cloud pour configurer des alertes qui vous avertissent lorsqu'un appel d'API SetIamPolicy()
est effectué. Vous recevrez une alerte chaque fois qu'un utilisateur modifie une stratégie IAM.
Processus de récupération de compte
Assurez-vous que les administrateurs de l'organisation sont familiarisés avec le processus de récupération de compte super-administrateur. Ce processus vous aidera à récupérer votre compte au cas où les identifiants de super-administrateur seraient perdus ou compromis.
Ressources d'organisation multiples
Nous vous recommandons d'utiliser des dossiers pour gérer les parties de votre organisation que vous souhaitez administrer séparément. Si vous souhaitez utiliser plusieurs ressources Organisation, vous aurez besoin de plusieurs comptes Google Workspace ou Cloud Identity. Pour en savoir plus sur les implications de l'utilisation de plusieurs comptes Google Workspace et Cloud Identity, consultez la page Gérer plusieurs ressources Organisation.