Bonnes pratiques concernant l'utilisation d'IAM et de la facturation Cloud dans l'enseignement supérieur

Les universités, écoles, établissements d'enseignement professionnel et autres institutions d'enseignement supérieur ont souvent des besoins informatiques uniques par rapport à d'autres types d'entreprises. Ce guide présente les bonnes pratiques et décrit un certain nombre de problèmes critiques à résoudre lors de la configuration de l'environnement Google Cloud de votre établissement.

Voici quelques définitions de termes basiques qui vous aideront à mieux comprendre ce guide :

Nœud d'organisation
Le nœud d'organisation représente une organisation telle que votre établissement scolaire. Il s'agit du nœud racine dans la hiérarchie des ressources Google Cloud.
dossier
Les dossiers organisent les ressources au sein de votre organisation. Lorsque vous configurez des stratégies Identity and Access Management (IAM) au niveau d'un dossier, celles-ci s'appliquent de manière transitoire aux ressources qu'il contient.
Projet
C'est au niveau du projet que vous pouvez activer et utiliser tous les services Google Cloud, gérer les API et la facturation, ajouter et supprimer des collaborateurs, ainsi que contrôler les autorisations.
IAM
IAM contrôle les stratégies de votre organisation et de vos projets. Le service détermine le niveau d'accès des membres du projet aux machines virtuelles (VM), aux journaux et aux autres ressources.
Rôle
Un rôle est un ensemble d'autorisations. Vous ne pouvez pas directement accorder des autorisations à un utilisateur. Vous lui attribuez un rôle à la place, accordant alors toutes les autorisations qui lui sont associées.
Ressource
Un élément physique tel qu'un ordinateur ou un disque dur, ou un élément virtuel tel qu'une machine virtuelle (VM). Les projets, les instances Compute Engine et les buckets Cloud Storage sont des exemples de ressources.

Configurer Google Workspace for Education

Si votre établissement scolaire souhaite exploiter les fonctionnalités de Google Cloud, vous pouvez configurer Google Workspace for Education pour commencer. Même si vous n'avez pas l'intention d'utiliser Gmail, vous pouvez configurer Google Workspace for Education et désactiver les services inutilisés (comme Gmail). Ainsi, vous pouvez tirer parti des comptes utilisateur et des groupes pour gérer les identités et l'authentification sur Google Cloud. Pour les entités commerciales qui ne peuvent pas bénéficier de comptes gratuits Google Workspace for Education, Cloud Identity constitue une option à envisager.

Gérer les ressources

Google Cloud offre un système de conteneurs hiérarchique composé d'organisations, de dossiers et de projets. Au sein de ces structures, vous pouvez organiser d'autres ressources telles que des machines virtuelles (VM) Compute Engine et des sujets Pub/Sub. Cette hiérarchie vous aide à gérer des aspects tels que le contrôle des accès et les paramètres de configuration communs à plusieurs ressources. Vous pouvez administrer ces ressources de manière automatisée grâce à Resource Manager.

Les grands établissements, dont de nombreuses universités, comptent souvent un nombre important de projets et d'utilisateurs qui interagissent directement avec les ressources Google Cloud. Afin d'optimiser les stratégies existantes de gouvernance informatique et de contrôle d'accès, nous vous recommandons de gérer de manière centralisée l'organisation des ressources Google Cloud.

Organisations et dossiers

Le nœud d'organisation constitue la racine des ressources. Les dossiers peuvent être imbriqués jusqu'à quatre niveaux en dessous du nœud d'organisation. Ils peuvent comprendre des projets, qui à leur tour contiennent d'autres ressources sous la forme de nœuds enfants. Chaque ressource a précisément un seul parent. Lorsque vous définissez des stratégies de contrôle d'accès et des paramètres de configuration pour une ressource parente, ses ressources enfants héritent de ces stratégies et paramètres.

Un nœud d'organisation vous assure que tous les projets créés par des utilisateurs dans votre domaine Google Workspace for Education sont visibles par les super-administrateurs. Chaque domaine principal de Google Workspace for Education est associé à un nœud d'organisation. Les domaines Google Workspace secondaires ne disposent pas de leur propre nœud d'organisation. Par défaut, le super-administrateur Google Workspace dispose d'un accès irrévocable lui permettant de définir une stratégie pour l'organisation. Pour les organisations au sein desquelles les ressources informatiques et cloud sont gérées séparément, le super-administrateur Google Workspace doit désigner un administrateur d'organisation.

Voici un exemple de structure d'organisation Google Cloud typique :

structure d'une organisation Google Cloud typique

Si des projets ont été ajoutés avant la création du nœud d'organisation, vous pouvez migrer ces projets orphelins vers le nœud d'organisation.

Pour répertorier tous les projets dans votre nœud d'organisation, exécutez la commande suivante :

gcloud projects list --filter "parent.type=organization parent.id=$ORG_ID"

Lorsqu'un établissement scolaire ayant un domaine Google Workspace for Education adopte Google Cloud, il dispose par défaut d'un nœud d'organisation unique. La section suivante compare l'utilisation d'un nœud d'organisation unique avec celle de plusieurs nœuds.

Quand utiliser un nœud d'organisation centralisé

Le nœud d'organisation centralisé est mappé au domaine Google Workspace, qui est la source de vérité pour IAM. Vous pouvez configurer chaque dossier avec ses propres administrateurs centraux, associés à des stratégies (IAM et autres) distinctes.

nœud d'organisation centralisé

Pour en savoir plus, consultez les pages ci-dessous :

Vous pouvez héberger des ressources globales telles que des images partagées et des réseaux XPN dans un dossier, et définir des autorisations permettant à tous les utilisateurs de l'organisation d'y accéder.

Quand utiliser des nœuds d'organisation distincts

Si vous souhaitez traiter les départements de l'établissement scolaire comme des entités isolées sans administration centrale, envisagez la création d'organisations distinctes comme le montre le schéma suivant.

structure à organisations distinctes

Pour implémenter cette configuration, configurez school.edu et lab3.school.edu comme deux domaines principaux Google Workspace distincts, ce qui génère deux nœuds d'organisation différents. N'utilisez cette option que si vous voulez :

  • gérer des domaines d'identité distincts.
  • utiliser des paramètres IAM, de rôles personnalisés, de facturation, de quotas et de configuration différents de ceux du nœud central school.edu.

Pour de nombreux établissements scolaires dont la gouvernance informatique est centralisée, la gestion de deux environnements Google Cloud distincts engendre des coûts supplémentaires. En outre, les stratégies communes à plusieurs nœuds d'organisation peuvent différer au fil du temps.

Utiliser les dossiers

Les dossiers vous permettent d'organiser les ressources Google Cloud, d'appliquer des stratégies, de déléguer des droits d'administrateur, et d'accorder une plus grande autonomie aux départements et aux équipes. Ils vous aident également à administrer les stratégies et à contrôler les accès au-dessus du niveau du projet. Les dossiers, projets et ressources imbriqués dans un dossier héritent des stratégies du dossier parent.

Voici quelques situations dans lesquelles l'utilisation de dossiers peut être adaptée :

  • Votre institution comprend plusieurs établissements (ingénierie, commerce et art, par exemple) possédant chacun son propre service informatique.
  • Vous mappez votre établissement à une structure établie basée sur un annuaire LDAP, tel que Microsoft Active Directory.
  • Vous souhaitez séparer vos projets par cas d'utilisation, comme l'infrastructure informatique, la recherche informatique ou l'enseignement et l'apprentissage.

Projets et ressources

Toutes les ressources Google Cloud que vous allouez et utilisez doivent appartenir à un projet. Un projet correspond à une entité qui organise ce que vous développez. Il se compose de paramètres, d'autorisations et d'autres métadonnées qui décrivent vos applications. Les ressources au sein d'un même projet fonctionnent ensemble facilement en communiquant via un réseau interne, en fonction de règles propres à la région ou à la zone. Les ressources utilisées par un projet donné ne sont liées qu'à ce projet. Vous devez recourir à une connexion réseau externe ou à un réseau cloud privé virtuel (VPC) partagé pour les associer.

Chaque projet Google Cloud comporte les éléments suivants :

  • Un nom de projet, que vous fournissez.
  • Un ID de projet, que vous pouvez fournir ou que Google Cloud peut vous fournir.
  • Un numéro de projet, fourni par Google Cloud.

Lorsque vous configurez un nouveau projet, vous pouvez le baser sur les utilisations suivantes :

  • La propriété des applications ou des projets. Par exemple, vous pouvez configurer un projet pour une charge de travail ou une petite équipe.
  • La division d'une application en projets de production et projets non destinés à la production. Ainsi, les modifications apportées à l'environnement de test non destiné à la production n'affectent pas l'environnement de production, et elles peuvent être promues ou propagées à l'aide de scripts de déploiement.
  • La séparation des ressources de calcul et des données entre plusieurs laboratoires, ou même entre plusieurs projets au sein d'un même laboratoire. Cette séparation offre une parfaite autonomie et permet de diviser les données entre les projets, chose utile lorsqu'un laboratoire gère plusieurs projets avec des intervenants concurrents.

Les projets doivent être associés à des comptes de facturation, que nous aborderons plus bas dans ce document. Sachez que seul un administrateur ou un utilisateur de compte de facturation peut associer un nouveau projet à un compte de facturation existant.

Quotas

De nombreuses ressources au sein de Google Cloud sont limitées par des quotas. Par exemple, un nouveau projet récemment associé à un compte de facturation dispose d'un quota de huit processeurs virtuels sur Compute Engine. Vous pouvez demander une augmentation de votre quota pour ajouter plus de ressources ou des nouvelles qui ne sont pas fournies par défaut, telles que des GPU.

En plus des quotas de ressources, le nombre de projets que peuvent créer les organisations est également limité. Même si vous supprimez un projet, celui-ci est toujours comptabilisé dans le quota des projets pendant quelques jours jusqu'à sa suppression définitive.

Limites de confiance

Lorsque vous définissez la structure de votre projet, tenez compte des limites de confiance informatiques, qui accompagnent généralement un modèle de sécurité ou de gouvernance informatique existant. Par exemple, des établissements distincts (ingénierie, commerce et droit, etc.) maintiennent-ils des limites de confiance entre eux ? Les différents départements d'un même établissement se font-ils confiance ?

En appliquant le principe de sécurité informatique du moindre privilège, vous pouvez attribuer des rôles différents aux comptes utilisateur et aux comptes de service d'un même projet et entre plusieurs projets. Si un utilisateur dispose d'un accès administrateur à un projet, mais ne devrait disposer que d'un accès lecteur ou en lecture seule à un autre projet, vous pouvez définir ces rôles explicitement à l'aide de stratégies IAM dans Google Cloud. Pour en savoir plus, consultez la documentation sur IAM concernant le principe du moindre privilège.

Stratégies IAM

Les grandes organisations séparent souvent les équipes chargées des opérations (telles que les équipes de sécurité et d'administration réseau) des équipes produit. Pour que cette séparation fonctionne, il convient d'utiliser des ressources gérées par d'autres équipes et de suivre le principe du moindre privilège. Vous pouvez configurer les paramètres de cette séparation à l'aide d'IAM et des comptes de service.

IAM vous permet de contrôler le niveau d'accès des utilisateurs à des ressources spécifiques. Vous attribuez des rôles aux utilisateurs en créant une stratégie IAM. Cette stratégie est un ensemble d'instructions associées à une ressource qui définit et contrôle qui peut accéder à cette ressource et avec quel type d'accès. Pour définir de manière précise l'accès à des ressources Google Cloud spécifiques, utilisez des rôles prédéfinis ou créez des rôles IAM personnalisés.

Utiliser des comptes avec accès privilégié

Conformément au principe du moindre privilège, attribuez le rôle de super-administrateur à un compte utilisé rarement. Par exemple, vous pouvez utiliser jo.watanabe@school.edu pour des activités quotidiennes, mais jo.watanabe.admin@school.edu lorsque vous apportez des modifications à la Console d'administration de Google Workspace ou à Cloud Console.

Utiliser les comptes de service

Les comptes de service IAM de Google Cloud permettent d'appeler les API Google. Ainsi, les identifiants individuels d'un utilisateur ne sont pas directement impliqués. Ces comptes présentent une caractéristique particulière : ils sont à la fois traités comme une identité et une ressource.

  • Lorsqu'un compte de service agit en tant qu'identité, vous lui accordez des rôles pour qu'il puisse accéder à une ressource, telle qu'un bucket Cloud Storage.

  • Lorsqu'un compte de service agit en tant que ressource, vous devez autoriser des utilisateurs à accéder à ce compte de la même manière que vous les autoriseriez à accéder à un ensemble de données BigQuery. Vous pouvez attribuer à un utilisateur le rôle de propriétaire, d'éditeur, de lecteur ou d'utilisateur de compte de service. Les membres détenant ce dernier rôle peuvent exploiter toutes les ressources accessibles par le compte de service.

Dans quels cas utiliser des groupes

Utilisez des groupes plutôt que des individus dans vos stratégies, car vos administrateurs peuvent modifier les membres des groupes à mesure que votre équipe évolue. Ainsi, les bons changements de la stratégie s'effectuent automatiquement. Pour mettre en œuvre cette pratique, vous pouvez créer des groupes basés sur le poste des utilisateurs pour chaque projet ou dossier. Vous attribuez ensuite plusieurs rôles à chaque groupe selon les besoins requis par le poste.

La gestion des groupes est assurée par Google Groups for Business, qui fait partie de Google Workspace. Un administrateur Google Workspace ou un administrateur délégué peut accéder à cet outil depuis la Console d'administration.

Options de mise en réseau

Grâce à un cloud privé virtuel (VPC), vous pouvez isoler vos services cloud privés. Vous pouvez par exemple configurer un réseau, un espace d'adresses IP RFC 1918 commun et privé, pour l'ensemble de vos projets. Vous ajoutez ensuite des instances de n'importe quel projet à ce réseau ou à ses sous-réseaux.

Vous pouvez également associer un réseau privé virtuel (VPN) à un réseau unique, utilisable par tous les projets ou par un sous-ensemble. La connexion VPN vous permet de vous connecter à un espace d'adresses IP RFC 1918 spécifique à Google Cloud, ou d'étendre l'espace d'adresses IP RFC 1918 de votre réseau sur site.

Voici les options proposées par Google pour vous connecter à vos instances VPC :

Interconnexion Appairage
Interconnexion dédiée VPN IPsec Appairage direct Appairage opérateur
Utile pour étendre des réseaux d'entreprise et l'espace d'adresses IP RFC 1918 dans le cloud.

Aucun VPN n'est requis pour accéder aux ressources Google Cloud de votre VPC.
Utile pour créer un tunnel permettant de se connecter à Google via le réseau Internet public, et pour les connexions de données à faible volume. Utile pour se connecter directement à Google, et pour économiser 50 % sur les coûts de sortie par rapport à un VPN ou à un accès public sur Internet. Utile si vous appréciez les avantages offerts par l'appairage direct, mais ne pouvez pas répondre aux exigences d'appairage sans partenaire.
10 Gbits/s pour chaque lien 1,5 à 3 Gbits/s pour chaque tunnel 10 Gbits/s pour chaque lien Varie en fonction de l'offre partenaire

Pour en savoir plus sur ces options, consultez la page Cloud Interconnect.

Quand utiliser l'appairage direct

Tout client Google Cloud possédant un numéro ASN (Autonomous System Number) enregistré et des préfixes IP routables publiquement peut établir un appairage direct avec Google. Cette option utilise le même modèle d'interconnexion que le réseau Internet public, mais aucun fournisseur de services ne sert d'intermédiaire. Pour en savoir plus, consultez la page sur l'appairage avec Google.

Quand utiliser l'appairage opérateur

Les clients qui ne possèdent pas de numéro ASN public ou qui souhaitent se connecter à Google via un fournisseur de services peuvent opter pour le service d'appairage opérateur. L'appairage opérateur est conçu pour les clients qui souhaitent bénéficier d'une connexion professionnelle au réseau périphérique de Google.

Cloud Billing

Vous pouvez utiliser Cloud Console pour gérer votre compte Cloud Billing. Dans Cloud Console, vous pouvez mettre à jour les paramètres du compte, tels que les modes de paiement et les contacts administratifs. Vous pouvez également configurer Cloud Console pour définir des budgets, déclencher des alertes, afficher votre historique de paiements et exporter des données de facturation.

Pour la plupart des utilisateurs, un seul compte de facturation Cloud suffit. Les remises accordées à l'institution s'appliquent à tous les projets associés au compte. Les utilisateurs effectuent un paiement unique à Google pour régler leur facture mensuelle, et les projets spécifiques à un département ou à un laboratoire peuvent être débités à l'aide d'un processus interne de rejet de débit informatique.

Voici comment fonctionne un compte de facturation unique :

compte de facturation unique

Les considérations de facturation peuvent également déterminer la manière dont vous organisez les projets et les dossiers dans Google Cloud. En fonction de vos centres de coûts internes, vous pouvez décider d'organiser vos ressources comme dans le schéma suivant.

compte de facturation séparé en dossiers

  • Dans ce schéma, les dossiers identifient tous les projets et éléments associés à un centre de coûts, un département ou un projet informatique.
  • Les projets organisent les ressources. Le coût est indiqué par projet et les ID de projet sont compris dans l'exportation de la facturation.
  • Vous annotez les projets grâce à des libellés représentant des informations de regroupement supplémentaires, tels que environment=test. Les libellés sont inclus dans l'exportation de la facturation.
  • Le centre de coûts est encodé dans le nom ou l'ID du projet.

Ce modèle est adapté si vous alignez chaque dossier sur un centre de coûts interne séparé. Toutefois, il est toujours nécessaire de recourir à des rejets de débit internes, car Google envoie une facture unique à un compte de facturation donné.

S'ils doivent régler une facture séparée ou utiliser une autre devise pour certaines charges de travail, les centres de coûts peuvent opter pour plusieurs comptes de facturation. Cette approche peut nécessiter un accord signé pour chaque compte de facturation.

Administrer des comptes de facturation Cloud

Les rôles des comptes de facturation Cloud vous aident à administrer les comptes de facturation. Vous pouvez attribuer les rôles de facturation suivants au niveau de l'organisation :

Rôle Description
Administrateur de compte de facturation Gère tous les comptes de facturation de l'organisation.
Créateur de compte de facturation Crée des comptes de facturation au sein de l'organisation.
Utilisateur de compte de facturation Associe des projets à des comptes de facturation.
Gestionnaire de la facturation du projet Autorise des utilisateurs à attribuer un compte de facturation à un projet ou à désactiver la facturation d'un projet.

Accordez le rôle d'administrateur de compte de facturation au niveau du nœud d'organisation pour pouvoir consulter tous les comptes de facturation de votre institution. Limitez également le nombre d'utilisateurs pouvant créer des comptes de facturation et la façon dont ils peuvent procéder grâce au rôle de créateur de compte de facturation. Consultez les articles suivants du centre d'aide Google pour en savoir plus :

Changer de compte de facturation

Si vous souhaitez modifier le compte de facturation Cloud associé à un projet ou désactiver la facturation, procédez comme suit :

  1. Dans Cloud Console, dans le menu de navigation de gauche, cliquez sur Facturation.
  2. À droite du nom du projet, cliquez sur l'icône à trois points, puis sur Change billing account (Changer de compte de facturation). Vous pouvez également désactiver la facturation, ce qui désactive également le projet.

    changer de compte de facturation

Créer un budget

Les budgets génèrent des alertes, mais ne désactivent pas la facturation des projets. Ceux-ci resteront donc toujours actifs, même s'ils dépassent le plafond budgétaire. Lorsqu'un projet dépasse le budget, vous devez désactiver la facturation manuellement. Vous pouvez également arrêter les ressources qui occasionnent des frais afin d'éviter de dépasser davantage le budget. Comme le budget n'est pas actualisé en temps réel, il est possible que vous ne constatiez pas un dépassement avant un jour ou deux.

Pour créer un budget, procédez comme suit :

  1. Dans Cloud Console, accédez au menu Facturation, cliquez sur Budgets et alertes, puis cliquez sur Créer un budget.

    créer un budget

    Dans cet exemple, le compte a déjà dépassé le budget mensuel. N'oubliez pas qu'un budget ne désactive pas les services, mais avertit seulement l'administrateur de la facturation d'un dépassement le cas échéant.

  2. Saisissez les détails du budget et choisissez pour quels niveaux de dépenses vous souhaitez recevoir des alertes.

    alertes relatives aux budgets

  3. Dans la section Projet ou compte de facturation, choisissez si vous souhaitez surveiller votre budget global ou des projets individuels. Les budgets s'établissent par mois calendaire. Vous pouvez donc définir le budget désiré pour un mois donné.

Configurer l'exportation de la facturation

Si vous souhaitez obtenir un rapport détaillé sur tous les services utilisés par votre compte Cloud Billing, configurez l'exportation de la facturation dans le menu Billing (Facturation) de Cloud Console. Stockez les détails dans Cloud Storage ou BigQuery. Si vous optez pour Cloud Storage, vous pouvez stocker les données au format JSON ou CSV.

exportation de la facturation

L'exportation des données de facturation vers BigQuery vous permet de localiser rapidement les projets dépassant la limite que vous avez fixée. Vous pouvez également consulter les services qui vous sont facturés. Par exemple, la requête suivante répertorie tous les projets dont les dépenses s'élèvent à plus de 0,10 $ pour le mois en cours. Remplacez [YOUR_BIGQUERY_TABLE] par le nom de votre table.

SELECT
  project.name,
  cost
FROM
  [YOUR_BIGQUERY_TABLE]
WHERE
  cost > 0.1
ORDER BY
  cost DESC

Étape suivante