Bonnes pratiques concernant les comptes de super-administrateur

Pour configurer votre ressource Organisation Google Cloud, vous devez utiliser un compte super-administrateur Google Workspace ou Cloud Identity. Les comptes super-administrateur ont des autorisations administratives irrévocables que nous ne recommandons pas d'utiliser dans le cadre de l'administration quotidienne de votre organisation. Cette page décrit les bonnes pratiques concernant l'utilisation de vos comptes super-administrateur Google Workspace ou Cloud Identity avec votre organisation Google Cloud.

Types de comptes

Le compte super-administrateur Google Workspace dispose d'un ensemble de fonctionnalités d'administration incluant Cloud Identity. Cet ensemble unique de contrôles de gestion des identités couvre tous les services Google, tels que Docs, Sheets ou Google Cloud.

Un compte Cloud Identity fournit uniquement des fonctionnalités d'authentification et de gestion des identités, indépendamment de Google Workspace.

Créer une adresse e-mail super-administrateur

Créez une adresse e-mail qui n'est pas spécifique à un utilisateur particulier en tant que compte super-administrateur Google Workspace ou Cloud Identity. Ce compte doit être sécurisé davantage avec une authentification multifacteur et pourra être éventuellement utilisé comme outil de récupération d'urgence.

Désigner les administrateurs de l'organisation

Une fois que vous avez acquis une nouvelle organisation, vous pouvez désigner un ou plusieurs administrateurs d’organisation. Ce rôle dispose d'un ensemble d'autorisations réduit conçu pour gérer les opérations quotidiennes de votre organisation.

Vous pouvez également créer un groupe d'administrateurs Google Cloud privé dans votre compte de super-administrateur Google Workspace ou Cloud Identity. Ajoutez les utilisateurs administrateurs de votre organisation à ce groupe, mais pas votre utilisateur super-administrateur. Attribuez à ce groupe le rôle IAM "Administrateur de l'organisation" ou un sous-ensemble limité d'autorisations de ce rôle.

Nous vous recommandons de séparer votre compte super-administrateur du groupe d'administrateurs de votre organisation. Le super-administrateur dispose de droits d'administration d'organisation irrévocables et peut attribuer ce rôle. Sa suppression du groupe peut décourager l’utilisation du compte super-administrateur pour l’administration quotidienne de votre organisation.

Pour plus d'informations sur la gestion du contrôle d'accès pour votre organisation à l'aide de stratégies Identity and Access Management, consultez la section Contrôle d'accès pour les organisations utilisant IAM.

Définir les rôles appropriés

Google Workspace et Cloud Identity offrent des rôles administratifs qui ne sont pas aussi permissifs que celui de super-administrateur. Nous vous recommandons de respecter le principe du moindre privilège en accordant aux utilisateurs l'ensemble minimal d'autorisations dont ils ont besoin pour gérer les utilisateurs et les groupes.

Décourager l'utilisation du compte super-administrateur

Le compte de super-administrateur Google Workspace et Cloud Identity dispose d'un ensemble puissant d'autorisations qui ne sont pas nécessaires pour l'administration quotidienne de votre organisation. Vous devez mettre en œuvre des stratégies qui protégeront vos comptes super-administrateur et dissuaderont les utilisateurs d'y recourir pour des opérations quotidiennes. Voici quelques exemples de stratégies possibles :

  • Utilisez l'authentification multifacteur pour vos comptes super-administrateur, ainsi que tous les comptes dotés de privilèges élevés.

  • Utilisez une clé de sécurité ou un autre périphérique d'authentification physique pour appliquer la validation en deux étapes.

  • Pour le compte super-administrateur initial, assurez-vous que la clé de sécurité est conservée dans un endroit sûr, de préférence dans votre position géographique.

  • Donnez aux super-administrateurs un compte séparé qui nécessite une connexion distincte. Par exemple, l'utilisateur alice@exemple.com pourrait avoir un compte super-administrateur alice-admin@exemple.com.

    • Si vous utilisez la synchronisation avec un protocole d'identité tiers, veillez à appliquer la même stratégie de suspension pour Cloud Identity et l'identité tierce correspondante.
  • Si vous disposez d'un compte professionnel, d'un compte Google Workspace Enterprise ou d'un compte Cloud Identity Premium, vous pouvez imposer une période de connexion courte pour tous les comptes super-administrateur.

  • Suivez les conseils qui vous sont donnés dans les Bonnes pratiques de sécurité relatives aux comptes administrateur.

Alertes d'appel d'API

Utilisez la suite Google Cloud Operations pour configurer des alertes qui vous avertissent lorsqu'un appel d'API SetIamPolicy() est effectué. Vous recevrez une alerte chaque fois qu'un utilisateur modifie une stratégie IAM.

Processus de récupération de compte

Assurez-vous que les administrateurs de l'organisation sont familiarisés avec le processus de récupération du compte super-administrateur. Ce processus vous aidera à récupérer votre compte au cas où les identifiants de super-administrateur seraient perdus ou compromis.

Plusieurs organisations

Nous vous recommandons d'utiliser des dossiers pour gérer les parties de votre organisation que vous souhaitez administrer séparément. Si vous souhaitez utiliser plusieurs ressources Organisation, vous aurez besoin de plusieurs comptes Google Workspace ou Cloud Identity. Pour plus d'informations sur les implications de l'utilisation de plusieurs Google Workspace et Cloud Identity, consultez la page Gérer plusieurs organisations.