Présentation des concepts de Cloud Billing

Vous pouvez configurer la facturation sur Google Cloud de différentes manières pour répondre à différents besoins. Cette section présente les principaux concepts de votre organisation et de la facturation. Elle explique également comment les utiliser avec efficacité.

Présentation des ressources

Qu'est-ce qu'une ressource ?

Dans le contexte de Google Cloud, une ressource peut faire référence aux ressources au niveau du service utilisées pour traiter vos charges de travail (VM, DB, etc.), ainsi qu'aux ressources au niveau du compte se trouvant au-dessus des services, telles que des projets, des dossiers, ou encore l'organisation.

Qu'est-ce que la gestion des ressources ?

La gestion des ressources concerne la manière dont vous devez configurer les différentes ressources cloud de votre entreprise ou de votre équipe et y accorder l'accès, et notamment la configuration et l'organisation des ressources au niveau du compte qui sont situées au-dessus des ressources au niveau du service. Les ressources au niveau du compte sont les ressources impliquées dans la configuration et l'administration de votre compte Google Cloud.

Hiérarchie des ressources

Les ressources Google Cloud sont organisées de façon hiérarchique. Cette hiérarchie vous permet de mapper la structure opérationnelle de votre organisation à Google Cloud, ainsi que de gérer le contrôle des accès et les autorisations pour des groupes de ressources associées. La hiérarchie des ressources fournit des points de liaison logiques pour les stratégies de gestion des accès (Cloud Identity and Access Management) et les règles d'administration.

Les stratégies Cloud IAM et les règles d'organisation sont héritées à travers la hiérarchie. La stratégie effective au niveau de chaque nœud de la hiérarchie est une combinaison des règles et stratégies directement appliquées au nœud et de celles héritées de ses ancêtres.

Le schéma suivant est un exemple de hiérarchie des ressources illustrant les ressources principales au niveau du compte impliquées dans l'administration de votre compte Google Cloud.

Exemple de hiérarchie de ressources illustrant les ressources principales au niveau du compte impliquées dans l'administration de votre compte Google Cloud, ainsi que leur relation avec votre compte Cloud Billing et votre profil de paiement Cloud.

Domaine

  • Le domaine de votre entreprise est l'identité principale de votre organisation et définit l'identité de celle-ci auprès des services Google, y compris Google Cloud Platform.
  • Vous utilisez le domaine pour gérer les utilisateurs de votre organisation.
    • Au niveau du domaine, vous définissez les utilisateurs à associer à votre organisation lors de l'utilisation de Google Cloud.
    • Le domaine vous permet également d'administrer de manière universelle des stratégies pour vos utilisateurs et vos appareils (par exemple, activer l'authentification à deux facteurs, réinitialiser les mots de passe de tous les utilisateurs de votre organisation).
  • Le domaine est lié à un compte G Suite ou Cloud Identity.
  • Chaque compte G Suite ou Cloud Identity est associé à une seule organisation.
  • Vous gérez les fonctionnalités au niveau du domaine à l'aide de la console d'administration Google (admin.google.com).

Pour plus d'informations sur la hiérarchie des ressources, consultez la documentation de Resource Manager.

Organisation

  • Une organisation est le nœud racine de la hiérarchie des ressources de Google Cloud.
  • Toutes les ressources Google Cloud appartenant à une organisation sont regroupées sous le nœud d'organisation, ce qui vous permet de définir des paramètres, des autorisations et des stratégies pour tous les projets, dossiers, ressources et comptes Cloud Billing dont il est le parent.
  • Une organisation est associée à un seul domaine (établi avec un compte G Suite ou un compte Cloud Identity). Elle est créée automatiquement lorsque vous configurez votre domaine dans Google Cloud.
  • Avec une organisation, vous pouvez gérer de manière centralisée vos ressources Google Cloud et l'accès de vos utilisateurs à ces ressources. Par exemple :
    • Gestion proactive : réorganisez les ressources en fonction des besoins (par exemple, la restructuration ou la création d'une nouvelle division peut nécessiter de nouveaux projets et dossiers).
    • Gestion réactive : une ressource "Organisation" fournit un filet de sécurité permettant de retrouver l'accès aux ressources perdues (par exemple, si l'un des membres de votre équipe perd son accès ou quitte l'entreprise).
  • Les différents rôles et ressources associés à Google Cloud (y compris l'organisation, les projets, les dossiers, les ressources et les comptes Cloud Billing) sont gérés dans Google Cloud Console.

Pour plus d'informations sur les organisations, consultez la section Créer et gérer des organisations.

Dossiers

  • Les dossiers servent de mécanisme de regroupement et peuvent contenir des projets, d'autres dossiers ou une combinaison des deux.
  • Pour utiliser des dossiers, vous devez avoir un nœud d'organisation.
  • Les dossiers et les projets sont tous mappés sous le nœud d'organisation.
  • Les dossiers peuvent être utilisés pour regrouper des ressources partageant des stratégies Cloud IAM communes.
  • Un dossier peut contenir plusieurs dossiers ou ressources. En revanche, chaque dossier ou ressource ne peut avoir qu'un seul parent.

Pour en savoir plus sur l'utilisation des dossiers, consultez la page Créer et gérer des dossiers.

Projets

  • Les projets doivent utiliser des ressources au niveau du service (telles que des VM Compute Engine, des sujets Pub/Sub, des buckets Cloud Storage, etc.).
  • Toutes les ressources au niveau du service ont comme parents des projets, l'entité d'organisation de base dans Google Cloud.
  • Vous pouvez utiliser des projets pour représenter des projets, des équipes et des environnements logiques, ou d'autres collections qui correspondent à une fonction ou structure métier.
  • Les projets constituent la base de l'activation des services, des API et des autorisations Cloud IAM.
  • Toute ressource donnée ne peut exister que dans un projet.

Pour plus d'informations sur les projets, consultez la page Créer et gérer des projets.

Resources

  • Les ressources au niveau du service Google Cloud sont les composants fondamentaux de tous les services Google Cloud, tels que les VM Compute Engine, les sujets Cloud Pub/Sub, les buckets Cloud Storage, etc.
  • Pour des questions de facturation et de contrôle des accès, les ressources se trouvent au niveau le plus bas d'une hiérarchie, qui inclut également des projets et une organisation.

Libellés

  • Les libellés vous aident à classer vos ressources Google Cloud, telles que les instances de Compute Engine.
  • Un libellé est une paire valeur/clé.
  • Vous pouvez associer des libellés à chaque ressource, puis filtrer les ressources par libellés.
  • Les libellés sont très utiles pour effectuer un suivi précis des coûts. Les informations sur les libellés sont transmises au système de facturation afin que vous puissiez analyser vos frais en fonction des libellés.

Pour plus d'informations sur l'utilisation des libellés, consultez la page Créer et gérer des libellés.

Profil de paiement et compte Cloud Billing

Aperçu

Un compte Cloud Billing est configuré dans Google Cloud et permet de déterminer qui assume les frais pour un ensemble donné de ressources associées à Google Cloud et aux API Google Maps Platform. Le contrôle des accès à un compte Cloud Billing est établi par les rôles Cloud IAM. Un compte Cloud Billing est associé à un profil de paiement Google. Votre profil de paiement Google inclut un mode de paiement via lequel les frais sont facturés.

Compte Cloud Billing Profil de paiement
Compte Cloud Billing :
  • Ressource dans le cloud gérée dans Cloud Console.
  • Suit tous les coûts (frais et crédits d'utilisation) engendrés par votre utilisation de Google Cloud.
    • Un compte Cloud Billing peut être associé à un ou plusieurs projets.
    • Les frais d'utilisation du projet sont imputés au compte Cloud Billing associé.
  • Cela résulte en une seule facture par compte Cloud Billing.
  • Fonctionne avec une seule devise.
  • Définit qui paie pour un ensemble de ressources donné.
  • Connecté à un profil de paiement Google, lequel inclut un mode de paiement, définissant comment vous payez vos frais.
  • Doté de rôles et d'autorisations spécifiques à la facturation pour contrôler l'accès aux fonctions liées à la facturation et leur modification (établis par des rôles Cloud IAM).
Profil de paiement Google :
  • Ressource au niveau de Google gérée sur payments.google.com
  • Se connecte à l'ensemble de vos services Google (tels que Google Ads, Google Cloud et le service téléphonique Fi).
  • Traite les paiements pour l'ensemble des services Google (pas seulement Google Cloud).
  • Stocke des informations telles que le nom, l'adresse et le numéro d'identification fiscale (lorsque la loi l'exige) de la personne responsable du profil.
  • Stocke vos divers modes de paiement (cartes de crédit, cartes de débit, comptes bancaires et autres modes de paiement que vous avez utilisés pour effectuer des achats via Google par le passé).
  • Fonctionne comme un centre de documentation, dans lequel vous pouvez voir les factures, l'historique des paiements, etc.
  • Contrôle qui peut consulter et recevoir les factures pour vos divers produits et comptes Cloud Billing.

Illustre la relation entre les projets et votre compte Cloud Billing, ainsi que votre profil de paiement. Un côté affiche vos ressources au niveau du cloud (compte Cloud Billing et projets associés) et l'autre, divisé par une ligne pointillée verticale, affiche votre ressource Google (profil de paiement). Les paiements de vos projets sont assurés par votre compte Cloud Billing, qui est associé à votre profil de paiement.

Types de comptes Cloud Billing

Il existe deux types de comptes Cloud Billing :

  • Compte en libre-service (ou en ligne)

    • Le mode de paiement est une carte de crédit ou de débit, ou un prélèvement automatique SIT, selon les disponibilités dans chaque pays ou région.
    • Les frais sont automatiquement débités du mode de paiement associé au compte Cloud Billing.
    • Vous pouvez créer un compte en libre-service en ligne.
    • Les documents générés pour les comptes en libre-service comprennent des relevés, des reçus de paiement et des reçus fiscaux, et sont accessibles depuis Cloud Console.
  • Compte avec paiement sur facture (ou hors connexion)

    • Le paiement peut s'effectuer par chèque ou virement électronique.
    • Les factures sont envoyées par courrier ou par voie électronique.
    • Les factures sont également accessibles dans Cloud Console, tout comme les reçus de paiement.
    • Vous devez pouvoir bénéficier d'une facturation avec paiement sur facture. En savoir plus sur l'éligibilité à la facturation avec paiement sur facture

Types de profils de paiement

Lorsque vous créez votre profil de paiement, vous êtes invité à choisir un type de profil. Cette information doit être exacte pour des raisons fiscales et pour la validation de votre identité. Ce paramètre ne peut pas être modifié. Lorsque vous configurez votre profil de paiement, assurez-vous de choisir le type qui correspond le mieux à la manière dont vous envisagez de l'utiliser.

Il existe deux types de profils de paiement :

  • Individuel

    • Vous utilisez votre compte pour vos paiements personnels.
    • Si vous choisissez un profil de paiement individuel, vous seul pouvez le gérer. Vous ne pourrez pas ajouter ou supprimer des utilisateurs, ni modifier les autorisations du profil.
  • Entreprise

    • Vous payez pour le compte d'une entreprise, d'une organisation, d'un partenariat ou d'un établissement d'enseignement.
    • Le centre de paiement Google vous permet de payer les applications et les jeux Google Play ainsi que les services Google comme Google Ads, Google Cloud ou le service téléphonique Fi.
    • Un profil d'entreprise vous permet d'ajouter d'autres utilisateurs au profil de paiement Google que vous gérez, de sorte que plusieurs personnes puissent y accéder ou le gérer.
    • Tous les utilisateurs ajoutés à un profil d'entreprise peuvent voir les informations de paiement de ce profil.

Cycle de facturation

Le cycle de facturation de votre compte Cloud Billing détermine quand et comment vous payez vos services Google Cloud et votre utilisation des API Google Maps Platform.

Pour les comptes Cloud Billing en libre-service, vos frais Google Cloud sont facturés automatiquement de l'une des deux manières suivantes :

  • Facturation mensuelle : les coûts sont facturés selon un cycle mensuel régulier.
  • Seuil de facturation : les coûts sont facturés lorsque votre compte a atteint un certain montant.

Pour les comptes Cloud Billing en libre-service, votre cycle de facturation est automatiquement attribué lors de la création du compte. Vous ne pouvez pas choisir votre cycle de facturation et vous ne pouvez pas le modifier.

Pour les comptes Cloud Billing facturés, vous recevez généralement une facture par mois et le temps dont vous disposez pour payer votre facture (vos conditions de paiement) est déterminé par l'accord que vous avez passé avec Google.

Contacts pour la facturation

Un compte de facturation Cloud comprend un ou plusieurs contacts définis dans le profil de paiement Google associé au compte Cloud Billing. Ces contacts sont des personnes autorisées à recevoir des informations de facturation spécifiques au mode de paiement enregistré (par exemple, lorsqu'une carte de crédit doit être mise à jour). Vous pouvez accéder à cette liste de contacts et la gérer via la console de paiement ou Cloud Console.

Sous-comptes

Les sous-comptes sont destinés aux revendeurs. Si vous êtes revendeur, vous pouvez utiliser des sous-comptes pour représenter les frais de vos clients en cas de rejet d'un débit.

Les sous-comptes Cloud Billing vous permettent de regrouper les frais des projets dans une section distincte de votre facture. Un sous-compte de facturation est un compte associé au compte Cloud Billing principal d'un revendeur sur lequel les frais apparaissent. Le compte Cloud Billing principal doit utiliser la facturation avec paiement sur facture.

Un sous-compte fonctionne comme un compte Cloud Billing dans la plupart des cas : on peut y associer des projets, y configurer des exportations de la facturation Cloud et y définir des rôles Cloud IAM. Tous les frais générés par les projets associés au sous-compte sont regroupés et sous-totalisés sur la facture. Ainsi, les stratégies de contrôle d'accès peuvent être entièrement dissociées sur le sous-compte pour permettre la séparation et la gestion de la clientèle.

Illustre la relation entre les projets, les comptes Cloud Billing et les sous-comptes Cloud Billing, ainsi que votre profil de paiement. Un côté affiche vos ressources au niveau du cloud (compte Cloud Billing, sous-comptes et projets associés) et l'autre, divisé par une ligne pointillée verticale, affiche votre ressource Google (profil de paiement). Les paiements de vos projets sont assurés par vos sous-comptes Cloud Billing. Les paiements de vos sous-comptes sont assurés par votre compte Cloud Billing principal, qui est associé à votre profil de paiement.

L'API Cloud Billing Account offre la possibilité de créer et de gérer des sous-comptes via l'API, ce qui vous permet de vous connecter à vos systèmes existants et de provisionner de nouveaux clients ou des groupes de rejets de débit de façon automatisée.

Relations entre les organisations, les projets, les comptes Cloud Billing et les profils de paiement

Deux types de relations régissent les interactions entre les organisations, les comptes Cloud Billing et les projets : la propriété et l'association de paiement.

  • La propriété fait référence à l'héritage des autorisations Cloud IAM.
  • Les associations de paiement définissent le compte Cloud Billing qui assure le paiement d'un projet donné.

Le diagramme suivant montre la relation qui existe entre la propriété et les associations de paiement pour une organisation donnée.

Illustre la relation entre les projets, votre compte Cloud Billing et l'organisation, ainsi que votre profil de paiement. Un côté affiche vos ressources au niveau du cloud (organisation, compte Cloud Billing et projets associés) et l'autre, divisé par une ligne pointillée verticale, affiche votre ressource Google (profil de paiement). Les paiements de vos projets sont assurés par votre compte Cloud Billing, qui est associé à votre profil de paiement. L'organisation contrôle la propriété à l'aide de Cloud IAM.

Dans le diagramme, l'organisation est propriétaire des projets 1, 2 et 3, ce qui signifie qu'elle est le parent des autorisations Cloud IAM de ces trois projets.

Le compte Cloud Billing est associé aux projets 1, 2 et 3, ce qui signifie qu'il assure le paiement des coûts engendrés par les trois projets.

Le compte Cloud Billing est également associé à un profil de paiement Google qui stocke des informations telles que le nom, l'adresse et les modes de paiement.

Dans cet exemple, les utilisateurs qui disposent des rôles de facturation Cloud IAM sur l'organisation en disposent également sur le compte Cloud Billing ou sur les projets.

Pour plus d'informations sur l'attribution des rôles de facturation Cloud IAM, consultez la section Présentation du contrôle des accès à Cloud Billing.

Présentation des rôles

Que sont les rôles ?

Les rôles accordent un ou plusieurs privilèges à un utilisateur pour lui permettre d'exécuter une fonction métier courante.

Comment les rôles fonctionnent-ils dans Google Cloud ?

Google Cloud propose Cloud IAM pour gérer le contrôle des accès à vos ressources Google Cloud. Grâce à Cloud IAM, vous pouvez contrôler qui (utilisateurs) bénéficie de quel type d'accès (rôles) à quelles ressources en définissant des stratégies Cloud IAM. Les stratégies Cloud IAM vous permettent d'attribuer des rôles spécifiques à un utilisateur pour lui donner certaines autorisations. Une ou plusieurs autorisations sont intégrées aux rôles et permettent de contrôler l'accès des utilisateurs aux ressources.

Vous pouvez définir une stratégie IAM (rôles) au niveau de l'organisation, au niveau du dossier, au niveau du projet ou (dans certains cas) sur la ressource au niveau du service.

Les stratégies sont héritées via la hiérarchie. La stratégie en vigueur au niveau de chaque nœud de la hiérarchie est une combinaison des stratégies directement appliquées au nœud et de celles héritées de ses ancêtres. Si vous définissez une stratégie au niveau d'une organisation, elle s'applique à tous ses dossiers et projets enfants. Si vous définissez une stratégie au niveau d'un projet, elle s'applique à toutes ses ressources enfants. Vous pouvez appliquer des autorisations plus précises à différents niveaux de la hiérarchie des ressources pour vous assurer que les personnes souhaitées sont bien autorisées à effectuer des dépenses dans Google Cloud.

Bonnes pratiques concernant les rôles

  • Attribuez les rôles clés à plusieurs personnes (redondance raisonnable).
  • Documentez l'identité de vos administrateurs et communiquez leur nom aux membres de votre organisation.
  • Maintenez les attributions de rôles à jour.

Rôles importants

Le schéma suivant illustre la hiérarchie des ressources Google Cloud dans son intégralité. Il présente les rôles à accès élevé les plus importants de chaque niveau :

Domaine
Les super-administrateurs G Suite ou Cloud Identity au niveau du domaine sont les premiers utilisateurs à pouvoir accéder à l'organisation après sa création.
Super-administrateur du domaine
Le super-administrateur peut accorder un rôle d'administrateur de l'organisation (ou tout autre rôle) et récupérer des comptes au niveau du domaine.
Qui ?
Généralement, le super-administrateur gère les accès de haut niveau, comme un administrateur de domaine.
En savoir plus sur les rôles d'administrateur G Suite et les rôles d'administrateur Cloud Identity.
Organisation
Une organisation (une entreprise, par exemple) constitue le nœud racine de la hiérarchie des ressources Google Cloud. La ressource "Organisation" est l'ancêtre hiérarchique des ressources et dossiers du projet. Les stratégies de contrôle des accès Cloud IAM associées à la ressource "Organisation" s'appliquent à l'ensemble de la hiérarchie sur toutes les ressources de l'organisation.
Rôle : Administrateur de l'organisation
L'administrateur de l'organisation peut administrer n'importe quelle ressource et attribuer n'importe quel rôle au sein de l'organisation.
Qui ?
L'administrateur de l'organisation est généralement une personne qui gère le contrôle des accès, comme un administrateur informatique.
En savoir plus sur les rôles au sein de l'organisation.
Dossiers
Les ressources Dossier fournissent des mécanismes de regroupement et des limites supplémentaires permettant d'isoler les projets. Elles peuvent être considérées comme des sous-organisations au sein de l'organisation. Les dossiers peuvent être utilisés pour modéliser différents services, entités juridiques et équipes au sein d'une entreprise. Les dossiers peuvent contenir des sous-dossiers et des projets.
Rôle : Administrateur de dossier
L'administrateur de dossier peut créer et modifier la stratégie Cloud IAM des dossiers. Il décide de la manière dont les projets contenus dans les dossiers héritent des rôles.
Qui ?
L'administrateur de dossier gère un contrôle d'accès plus précis. Il s'agit généralement d'un chef de service ou d'équipe.
En savoir plus sur les rôles au niveau du dossier.
Projets
La ressource Projet constitue l'entité d'organisation de base. Les organisations et les dossiers peuvent contenir plusieurs projets. La sélection d'un projet est obligatoire pour l'utilisation de Google Cloud, et constitue la base pour la création, l'activation et l'utilisation de tous les services Google Cloud, la gestion des API, l'activation de la facturation, l'ajout et la suppression de collaborateurs et la gestion des autorisations.
Rôle : Créateur de projet
Le rôle de créateur de projet autorise la création de projet et permet l'intégration des ressources à Google Cloud, ainsi que leur utilisation.
Qui ?
Les créateurs de projet de votre organisation peuvent être des chefs d'équipe ou des comptes de service (à des fins d'automatisation).
Rôle : Propriétaire et utilisateur du projet
Le rôle de propriétaire et utilisateur du projet vous permet de consulter les coûts et l'utilisation des projets, ainsi que de libeller les ressources.
Qui ?
Les propriétaires et utilisateurs du projet de votre organisation peuvent être des chefs d'équipe ou des développeurs.
En savoir plus sur les rôles au niveau du projet.
Compte Cloud Billing
Les comptes Cloud Billing sont liés aux projets et sont utilisés pour le paiement de ceux-ci. Ils sont connectés à un profil de paiement Google.
Rôle : Administrateur de compte de facturation
L'administrateur de compte de facturation peut activer l'exportation de la facturation, afficher les coûts et les dépenses, définir les budgets et les alertes, et associer ou dissocier les projets.
Qui ?
Les administrateurs de la facturation au sein de votre organisation sont généralement des spécialistes des finances.
Rôle : Utilisateur de compte de facturation
Les utilisateurs de compte de facturation peuvent associer des projets aux comptes Cloud Billing, mais ne peuvent pas les dissocier. Ce rôle est généralement lié au rôle de créateur de projet.
Qui ?
Les créateurs de projet approuvés par votre organisation héritent généralement de ce rôle.
En savoir plus sur les rôles de facturation.
Profil de paiement
Les profils de paiement sont gérés en dehors de votre organisation cloud dans le centre de paiement Google. Il s'agit d'un emplacement unique où vous pouvez gérer le mode de paiement pour tous les produits et services Google, tels que Google Ads, Google Cloud et le service téléphonique Fi. Les profils de paiement sont connectés aux comptes Cloud Billing.
Administrateur de profil de paiement
L'administrateur de profil de paiement peut afficher et gérer les modes de paiement, effectuer des paiements, afficher les factures et consulter les comptes de paiement.
Qui ?
Les administrateurs de profil de paiement de votre organisation font généralement partie de vos équipes chargées des finances ou de la comptabilité.
En savoir plus sur les autorisations des utilisateurs liées à un profil de paiement

Guide de gouvernance financière dans le cloud

Photothèque : Google Cloud Cost Management. Découvrez les bonnes pratiques à suivre pour contrôler et gérer vos coûts.