Checklist de configuration de Google Cloud

Une ressource d'organisation dans Google Cloud représente votre entreprise et sert de nœud de premier niveau dans votre hiérarchie. Pour créer votre organisation, vous devez configurer un service d'identité Google et l'associer à votre domaine. Une fois ce processus terminé, une ressource Organisation est automatiquement créée.

Pour obtenir un aperçu de la ressource d'organisation, consultez les pages suivantes :

• Gérer les ressources d'organisation
• Bonnes pratiques pour planifier des comptes et des organisations

Utilisateurs effectuant cette tâche

Les deux administrateurs suivants effectuent cette tâche :

• Administrateur d'identité chargé d'attribuer un accès basé sur les rôles. Vous affectez cette personne au rôle de super-administrateur Cloud Identity. Pour en savoir plus sur le super-administrateur, consultez Rôles Administrateurs prédéfinis.

• Un administrateur de domaine ayant accès à l'hébergeur de domaine de l'entreprise. Cette personne modifie vos paramètres de domaine, tels que les configurations DNS, dans le cadre du processus de validation du domaine.

Actions à effectuer dans cette tâche

• Si ce n'est pas déjà fait, configurez Cloud Identity, où vous créez un compte utilisateur géré pour votre super-administrateur.
• Associez Cloud Identity à votre domaine (comme example.com).
• Validez votre domaine. Ce processus crée le nœud racine de la hiérarchie des ressources, appelé ressource d'organisation.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez configurer les éléments suivants dans le cadre de vos éléments Google Cloud de base :

• Un service d'identité Google pour gérer les identités de manière centralisée.
• Une ressource d'organisation permettant d'établir la racine de votre hiérarchie et le contrôle des accès.

Options du service de gestion des identités Google

Vous utilisez l'un des services d'identité Google suivants, ou les deux, pour administrer les identifiants des utilisateurs Google Cloud :

• Cloud Identity : gestion centralisée des utilisateurs et des groupes. Vous pouvez fédérer des identités entre Google et d'autres fournisseurs d'identité. Pour en savoir plus, consultez la présentation de Cloud Identity.
• Google Workspace : gère les utilisateurs et les groupes, et permet d'accéder aux produits de productivité et de collaboration tels que Gmail et Google Drive. Pour en savoir plus, consultez Google Workspace.

Pour en savoir plus sur la planification des identités, consultez Planifier le processus d'intégration de vos identités d'entreprise.

Avant de commencer

Pour comprendre comment gérer un compte super-administrateur, consultez Bonnes pratiques relatives aux comptes super-administrateur.

Configurer un fournisseur d'identité et valider votre domaine

Les étapes de cette tâche varient selon que vous êtes un nouveau client ou un client existant. Identifiez l'option qui correspond à vos besoins :

• Nouveau client : configurez Cloud Identity, validez votre domaine et créez votre organisation.

• Client Google Workspace existant : utilisez Google Workspace comme fournisseur d'identité pour les utilisateurs qui accèdent à Google Workspace et à Google Cloud. Si vous envisagez de créer des utilisateurs qui n'accèdent qu'à Google Cloud, activez Cloud Identity.

• Client Cloud Identity existant : validez votre domaine, assurez-vous que votre organisation a été créée et vérifiez que Cloud Identity est activé.

Étapes suivantes

Créez des groupes et ajoutez des membres.

Dans cette tâche, vous allez configurer des identités, des utilisateurs et des groupes pour gérer l'accès aux ressources Google Cloud.

Pour en savoir plus sur la gestion des accès sur Google Cloud, consultez les pages suivantes :

• Présentation de Cloud Identity and Access Management (IAM)
• Pour connaître les bonnes pratiques, consultez Gérer les identités et l'accès.

Utilisateurs effectuant cette tâche

Vous pouvez effectuer cette tâche si vous disposez de l'un des éléments suivants :

• Le super-administrateur Google Workspace ou Cloud Identity que vous avez créé dans la tâche Organisation.
• L'un des rôles IAM suivants :
  • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Administrateur de pools d'identité pour les employés (roles/iam.workforcePoolAdmin)

Actions à effectuer dans cette tâche

• Connectez-vous à Cloud Identity ou à votre fournisseur d'identité externe (IdP).

• Créez des groupes d'administration et des utilisateurs qui effectueront le reste de la procédure de configuration de Google Cloud. Vous accorderez l'accès à ces groupes dans une tâche ultérieure.

Raisons pour lesquelles nous recommandons cette tâche

Cette tâche vous aide à mettre en œuvre les bonnes pratiques de sécurité suivantes :

• Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leur rôle et supprimez l'accès dès qu'il n'est plus nécessaire.

• Contrôle des accès basé sur le rôle (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leur rôle dans la tâche. N'ajoutez pas d'autorisations à des comptes utilisateur individuels.

Vous pouvez utiliser des groupes pour appliquer efficacement des rôles IAM à un ensemble d'utilisateurs. Cette pratique vous permet de simplifier la gestion des accès.

Sélectionner un fournisseur d'identité

Vous pouvez utiliser l'un des outils suivants pour gérer les utilisateurs et les groupes, et les connecter à Google Cloud :

• Google Workspace ou Cloud Identity : vous créez et gérez des utilisateurs et des groupes dans Google Workspace ou Cloud Identity. Vous pouvez choisir de synchroniser avec votre fournisseur d'identité externe ultérieurement.
• Votre fournisseur d'identité externe, tel que Microsoft Entra ID ou Okta : vous créez et gérez des utilisateurs et des groupes dans votre fournisseur d'identité externe. Vous connectez ensuite votre fournisseur à Google Cloud pour activer la SSO.

Pour sélectionner votre fournisseur d'identité, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'un des utilisateurs que vous avez identifiés dans Qui effectue cette tâche.

2. Accédez à Configuration de Google Cloud : utilisateurs et groupes.

   Accéder à "Utilisateurs et groupes"

3. Consultez les détails de la tâche, puis cliquez sur Continuer la configuration de l'identité.

4. Sur la page Sélectionner votre fournisseur d'identité, sélectionnez l'une des options suivantes pour lancer une configuration guidée :

   • Utiliser Google pour gérer de manière centralisée les utilisateurs Google Cloud : utilisez Google Workspace ou Cloud Identity pour provisionner et gérer les utilisateurs et les groupes en tant que super-administrateur de votre domaine validé. Vous pourrez ensuite synchroniser avec votre fournisseur d'identité externe.
   • Microsoft Entra ID (Azure AD) : utilisez OpenID Connect pour configurer une connexion à Microsoft Entra ID.
   • Okta : utilisez OpenID Connect pour configurer une connexion à Okta.
   • OpenID Connect : utilisez le protocole OpenID pour vous connecter à un fournisseur d'identité compatible.
   • SAML : utilisez le protocole SAML pour vous connecter à un fournisseur d'identité compatible.
   • Ignorez la configuration d'un IdP externe pour le moment : si vous disposez d'un fournisseur d'identité externe et que vous n'êtes pas prêt à le connecter à Google Cloud, vous pouvez créer des utilisateurs et des groupes dans Google Workspace ou Cloud Identity.

5. Cliquez sur Continuer.

6. Pour connaître la marche à suivre, consultez l'une des sections suivantes :

   • Créer des utilisateurs et des groupes dans Cloud Identity
   • Connecter votre fournisseur d'identité externe à Google Cloud

Créer des utilisateurs et des groupes dans Cloud Identity

Si vous ne disposez d'aucun fournisseur d'identité ou si vous n'êtes pas prêt à connecter votre fournisseur d'identité à Google Cloud, vous pouvez créer et gérer des utilisateurs et des groupes dans Cloud Identity ou Google Workspace. Pour créer des utilisateurs et des groupes, procédez comme suit :

• Créez un groupe pour chaque fonction administrative recommandée, y compris l'administration de l'organisation, de la facturation et du réseau.
• Créez des comptes utilisateur géré pour les administrateurs.
• Attribuez des utilisateurs à des groupes administratifs correspondant à leurs responsabilités.

Avant de commencer

• Recherchez et migrez les utilisateurs qui possèdent déjà un compte Google. Pour en savoir plus, consultez Ajouter des utilisateurs avec des comptes non gérés.

• Vous devez être un super-administrateur.

Créer des groupes administratifs

Un groupe est un ensemble nommé de comptes Google et de comptes de service. Chaque groupe possède une adresse e-mail unique, telle que gcp-billing-admins@example.com. Vous pouvez créer des groupes pour gérer les utilisateurs et appliquer des rôles IAM à grande échelle.

Les groupes suivants sont recommandés pour vous aider à administrer les fonctions principales de votre organisation et à terminer le processus de configuration de Google Cloud.

Pour créer des groupes d'administration, procédez comme suit :

1. Sélectionnez Google comme fournisseur.

2. Sur la page Créer des groupes, examinez la liste des groupes d'administration recommandés, puis effectuez l'une des opérations suivantes :

   • Pour créer tous les groupes recommandés, cliquez sur Créer tous les groupes.
   • Si vous souhaitez créer un sous-ensemble des groupes recommandés, cliquez sur Créer dans les lignes choisies.

3. Cliquez sur Continuer.

Créer des utilisateurs avec accès administrateur

Nous vous recommandons initialement d'ajouter les utilisateurs chargés des procédures d'organisation, de mise en réseau, de facturation et d'autres procédures de configuration. Vous pouvez ajouter d'autres utilisateurs une fois le processus de configuration de Google Cloud terminé.

Pour ajouter des utilisateurs avec accès administrateur qui effectuent des tâches de configuration de Google Cloud, procédez comme suit :

1. Migrez les comptes personnels vers des comptes utilisateur gérés contrôlés par Cloud Identity. Pour connaître la procédure détaillée, consultez les pages suivantes :

   • Migrer des comptes personnels
   • Ajouter des utilisateurs avec des comptes non gérés

2. Connectez-vous à la console d'administration Google à l'aide d'un compte super-administrateur.

3. Utilisez l'une des options suivantes pour ajouter des utilisateurs :

   • Pour ajouter des utilisateurs de manière groupée, consultez Ajouter ou mettre à jour plusieurs comptes utilisateur à partir d'un fichier CSV.
   • Pour ajouter des utilisateurs individuellement, consultez Ajouter des comptes utilisateur individuellement.

4. Lorsque vous avez terminé d'ajouter des utilisateurs, revenez à la page Configuration de Google Cloud : utilisateurs et groupes (créer des utilisateurs).

5. Cliquez sur Continuer.

Ajouter des utilisateurs administrateurs à des groupes

Ajoutez les utilisateurs que vous avez créés à des groupes administratifs correspondant à leurs tâches.

1. Assurez-vous d'avoir créé des utilisateurs administratifs.

2. Dans Configuration de Google Cloud : utilisateurs et groupes (ajouter des utilisateurs aux groupes), consultez les détails de l'étape.

3. Dans chaque ligne Groupe, procédez comme suit :

   1. Cliquez sur Ajouter des membres.
   2. Saisissez l'adresse e-mail de l'utilisateur.

   3. Dans la liste déroulante Rôle du groupe, sélectionnez les paramètres d'autorisation de groupe de l'utilisateur. Pour en savoir plus, consultez Définir les personnes autorisées à consulter, publier et modérer les posts.

      Chaque membre hérite de tous les rôles IAM que vous attribuez à un groupe, quel que soit le rôle de groupe que vous sélectionnez.

   4. Pour ajouter un autre utilisateur à ce groupe, cliquez sur Ajouter un membre et répétez ces étapes. Nous vous recommandons d'ajouter plusieurs membres à chaque groupe.

   5. Lorsque vous avez terminé d'ajouter des utilisateurs à ce groupe, cliquez sur Enregistrer.

4. Lorsque vous avez terminé de configurer tous les groupes, cliquez sur Confirmer les utilisateurs et les groupes.

5. Si vous souhaitez fédérer votre fournisseur d'identité dans Google Cloud, consultez les ressources suivantes :

   • Architectures de référence : utiliser un fournisseur d'identité externe
   • Pour provisionner automatiquement les utilisateurs et activer l'authentification unique, consultez les articles suivants :
     • Fédérer Cloud Identity avec Active Directory
     • Fédérer Cloud Identity avec Microsoft Entra ID
   • Pour synchroniser les utilisateurs et les groupes Active Directory avec Google Cloud, utilisez Directory Sync ou Google Cloud Directory Sync.
     • Pour comparer ces deux solutions, consultez la page Comparer Directory Sync et GCDS.

Connecter votre fournisseur d'identité externe à Google Cloud

Vous pouvez utiliser votre fournisseur d'identité existant pour créer et gérer des groupes et des utilisateurs. Pour configurer l'authentification unique à Google Cloud, vous devez configurer la fédération des identités des employés avec votre fournisseur d'identité externe. Pour en savoir plus sur les concepts clés de ce processus, consultez la page Fédération des identités des employés.

Pour connecter votre fournisseur d'identité externe, vous devez effectuer une configuration guidée qui comprend les étapes suivantes :

1. Créer un pool d'employés : un pool d'identités d'employeurs vous aide à gérer les identités et leur accès aux ressources. Vous saisissez les informations suivantes dans un format lisible.
   • ID du pool de personnel : identifiant unique global utilisé dans IAM.
   • ID du fournisseur : nom de votre fournisseur, que les utilisateurs indiqueront lorsqu'ils se connecteront à Google Cloud.
2. Configurer Google Cloud dans votre fournisseur : la configuration guidée inclut des étapes spécifiques à votre fournisseur.
3. Saisissez les détails du pool d'employés de votre fournisseur : pour ajouter votre fournisseur en tant qu'autorité de confiance pour valider les identités, récupérez les informations auprès de votre fournisseur et ajoutez-les à Google Cloud :
4. Configurer un ensemble initial de groupes administratifs : la configuration guidée inclut des étapes spécifiques pour votre fournisseur. Vous attribuez des groupes dans votre fournisseur et établissez une connexion à Google Cloud. Pour obtenir une description détaillée de chaque groupe, consultez la section Créer des groupes administratifs.
5. Attribuer des utilisateurs à chaque groupe : nous vous recommandons d'attribuer plusieurs utilisateurs à chaque groupe.

Pour en savoir plus sur le processus de connexion de chaque fournisseur, consultez les ressources suivantes :

• Configurer la fédération d'identité des employés avec Azure AD et connecter les utilisateurs
• Configurer la fédération d'identité de personnel avec Okta et connecter les utilisateurs
• Pour les autres fournisseurs compatibles avec OIDC ou SAML, consultez Configurer la fédération des identités des employés.

Étape suivante

Attribuez des autorisations à vos groupes d'administrateurs.

Dans cette tâche, vous allez utiliser Identity and Access Management (IAM) pour attribuer des collections d'autorisations à des groupes d'administrateurs au niveau de l'organisation. Ce processus offre aux administrateurs une visibilité et un contrôle centralisés sur chaque ressource cloud appartenant à votre organisation.

Pour en savoir plus sur Identity and Access Management dans Google Cloud, consultez la présentation d'IAM.

Utilisateurs effectuant cette tâche

Pour réaliser cette tâche, vous devez avoir l'un des rôles suivants :

• Super-administrateur.
• Utilisateur doté du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)

Actions à effectuer dans cette tâche

• Consultez la liste des rôles par défaut attribués à chaque groupe d'administrateurs que vous avez créé dans la tâche Utilisateurs et groupes.

• Si vous souhaitez personnaliser un groupe, vous pouvez effectuer les opérations suivantes :

  • Ajouter ou supprimer des rôles.
  • Si vous ne prévoyez pas d'utiliser un groupe, vous pouvez le supprimer.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez attribuer explicitement tous les rôles Administrateur de votre organisation. Cette tâche vous aide à mettre en œuvre les bonnes pratiques de sécurité suivantes :

• Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leurs tâches et supprimez l'accès dès qu'il n'est plus nécessaire.

• Contrôle des accès basé sur le rôle (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leurs tâches. N'attribuez pas de rôles à des comptes utilisateur individuels.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.

Accorder l'accès aux groupes d'administrateurs

Pour accorder un accès approprié à chaque groupe d'administrateurs que vous avez créé dans la tâche Utilisateurs et groupes, examinez les rôles par défaut attribués à chaque groupe. Vous pouvez ajouter ou supprimer des rôles pour personnaliser l'accès de chaque groupe.

1. Assurez-vous d'être connecté à la console Google Cloud en tant que super-administrateur.

   Vous pouvez également vous connecter en tant qu'utilisateur avec le rôle Administrateur d'organisation (roles/resourcemanager.organizationAdmin).

2. Accédez à Configuration de Google Cloud : accès administrateur.

   Accéder à "Accès administrateur"

3. Sélectionnez le nom de votre organisation dans la liste déroulante Sélectionnez une organisation en haut de la page.

4. Consultez la présentation de la tâche, puis cliquez sur Continuer avec l'accès administrateur.

5. Examinez les groupes dans la colonne Groupe (compte principal) que vous avez créée dans la tâche Utilisateurs et groupes.

6. Pour chaque groupe, examinez les rôles IAM par défaut. Vous pouvez ajouter ou supprimer des rôles attribués à chaque groupe en fonction des besoins uniques de votre organisation.

   Chaque rôle contient plusieurs autorisations qui permettent aux utilisateurs d'effectuer des tâches pertinentes. Pour en savoir plus sur les autorisations dans chaque rôle, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.

7. Lorsque vous êtes prêt à attribuer des rôles à chaque groupe, cliquez sur Enregistrer et accorder l'accès.

Étapes suivantes

Configurez la facturation.

Dans cette tâche, vous allez configurer un compte de facturation pour payer les ressources Google Cloud. Pour ce faire, vous devez associer l'un des éléments suivants à votre organisation.

• Un compte Cloud Billing existant. Si vous n'y avez pas accès, vous pouvez demander l'accès à votre administrateur de compte de facturation.

• Un nouveau compte de facturation Cloud.

Pour en savoir plus sur la facturation, consultez la documentation Cloud Billing.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-billing-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

• Créez ou utilisez un compte de facturation Cloud en libre-service existant.
• Décidez si vous souhaitez passer d'un compte en libre-service à un compte avec paiement sur facture.
• Configurez un compte de facturation Cloud et un mode de paiement.

Raisons pour lesquelles nous recommandons cette tâche

Les comptes Cloud Billing sont associés à un ou plusieurs projets Google Cloud et sont utilisés pour payer les ressources que vous utilisez, telles que les machines virtuelles, la mise en réseau et le stockage.

Déterminer votre type de compte de facturation

Le compte de facturation que vous associez à votre organisation est l'un des types suivants.

• Libre-service (ou en ligne) : inscrivez-vous en ligne à l'aide d'une carte de crédit ou de débit. Nous vous recommandons cette option si vous êtes une petite entreprise ou une personne physique. Lorsque vous vous inscrivez en ligne pour obtenir un compte de facturation, votre compte est automatiquement configuré en tant que compte de type libre-service.

• Paiement sur facture (ou hors connexion). Si vous disposez déjà d'un compte de facturation en libre-service, vous pouvez peut-être demander à bénéficier de la facturation avec paiement sur facture si votre entreprise répond à des critères d'éligibilité.

Vous ne pouvez pas créer de compte de facturation en ligne, mais vous pouvez demander à convertir un compte en libre-service en compte avec paiement sur facture.

Pour plus d'informations, consultez la section Types de comptes Cloud Billing.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Configurer le compte de facturation

Maintenant que vous avez choisi un type de compte de facturation, associez le compte de facturation à votre organisation. Une fois ce processus terminé, vous pouvez utiliser votre compte de facturation pour payer les ressources Google Cloud.

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe gcp-billing-admins@YOUR_DOMAIN.

2. Accédez à la page Configuration de Google Cloud : facturation.

   Accéder à Facturation

3. Consultez la présentation de la tâche, puis cliquez sur Continuer avec la facturation.

4. Sélectionnez l'une des options de compte de facturation suivantes :

   Créer un compte

   Si votre organisation ne dispose pas de compte, créez-en un.

   1. Sélectionnez Je souhaite créer un compte de facturation.
   2. Cliquez sur Continuer.

   3. Sélectionnez le type de compte de facturation que vous souhaitez créer. Pour connaître la procédure détaillée, consultez les pages suivantes :

      • Pour créer un compte de facturation en libre-service, consultez Créer un compte de facturation Cloud en libre-service.
      • Pour passer d'un compte en libre-service existant aux paiements sur facture, consultez Demander la facturation avec paiement sur facture mensuelle.

   4. Vérifiez que votre compte de facturation a été créé :

      1. Si vous avez créé un compte de facturation, attendez jusqu'à cinq jours ouvrés pour recevoir un e-mail de confirmation.

      2. Accéder à la page "Facturation".

      3. Sélectionnez votre organisation dans la liste Sélectionnez une organisation en haut de la page. Si le compte a bien été créé, il s'affiche dans la liste des comptes de facturation.

   Utiliser mon compte existant

   Si vous disposez déjà d'un compte de facturation, vous pouvez l'associer à votre organisation.

   1. Sélectionnez J'ai identifié dans cette liste un compte de facturation que j'aimerais utiliser pour effectuer la configuration.
   2. Dans la liste déroulante Billing (Facturation), sélectionnez le compte que vous souhaitez associer à votre organisation.
   3. Cliquez sur Continuer.
   4. Vérifiez les informations, puis cliquez sur Confirmer le compte de facturation.

   Utiliser le compte d'un autre utilisateur

   Si un autre utilisateur a accès à un compte de facturation existant, vous pouvez lui demander d'associer le compte de facturation à votre organisation ou de vous accorder l'accès pour terminer l'association.

   1. Sélectionnez Je souhaite utiliser un compte de facturation géré par un autre compte utilisateur Google.
   2. Cliquez sur Continuer.
   3. Saisissez l'adresse e-mail de l'administrateur du compte de facturation.
   4. Cliquez sur Contacter l'administrateur.
   5. Attendez que l'administrateur du compte de facturation vous contacte pour obtenir des instructions supplémentaires.

Étapes suivantes

Créer une hiérarchie des ressources et attribuer les accès

Lors de cette tâche, vous allez configurer la hiérarchie de vos ressources en créant et en attribuant l'accès aux ressources suivantes :

Dossiers

Les dossiers constituent un mécanisme de regroupement et une façon d'isoler les projets les uns des autres. Par exemple, les dossiers peuvent représenter les principaux services de votre organisation, tels que finance ou commerce, ou des environnements de production ou hors production.

Projets

Les projets contiennent vos ressources Google Cloud, telles que les machines virtuelles, les bases de données et les buckets de stockage.

Pour obtenir des informations sur la conception et les bonnes pratiques d'organisation de vos ressources dans des projets, consultez la section Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes peut effectuer cette tâche.

Actions à effectuer dans cette tâche

• Créez une structure hiérarchique initiale qui inclut des dossiers et des projets.
• Définissez des stratégies IAM pour contrôler l'accès à vos dossiers et projets.

Raisons pour lesquelles nous recommandons cette tâche

La création d'une structure pour les dossiers et les projets vous aide à gérer les ressources Google Cloud et à attribuer des accès en fonction du fonctionnement de votre organisation. Par exemple, vous pouvez organiser les ressources et y accorder l'accès en fonction de la collection unique de régions géographiques, de structures de filiales ou de frameworks de responsabilité de votre organisation.

Planifier la hiérarchie des ressources

Votre hiérarchie des ressources vous aide à créer des limites et à partager des ressources dans votre organisation pour des tâches courantes. Créez votre hiérarchie à l'aide de l'une des configurations initiales suivantes, en fonction de votre structure organisationnelle :

• Axée sur un environnement simple :

  • Isolez les environnements tels que Non-production et Production.
  • Implémentez des règles, des exigences réglementaires et des contrôles d'accès distincts dans chaque dossier d'environnement.
  • Recommandé pour les petites entreprises disposant d'environnements centralisés.

• Axée sur une équipe simple :

  • Isolez les équipes telles que Development et QA.
  • Isolez l'accès aux ressources à l'aide de dossiers d'environnement enfants dans chaque dossier d'équipe.
  • Recommandé pour les petites entreprises disposant d'équipes autonomes.

• Axée sur l'environnement :

  • Donnez la priorité à l'isolation des environnements tels que Non-production et Production.
  • Sous chaque dossier d'environnement, isolez les unités commerciales.
  • Identifiez les équipes de chaque unité commerciale.
  • Recommandé pour les grandes entreprises disposant d'environnements centralisés.

• Axée sur l'entreprise :

  • Priorisez l'isolation des unités commerciales telles que Human Resources et Engineering pour vous assurer que les utilisateurs ne peuvent accéder qu'aux ressources et aux données dont ils ont besoin.
  • Sous chaque unité commerciale, isolez les équipes.
  • Isolez les environnements pour chaque équipe.
  • Recommandé pour les grandes entreprises disposant d'équipes autonomes.

Chaque configuration comporte un dossier Common pour les projets contenant des ressources partagées. Il peut s'agir de projets de journalisation et de surveillance.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.

Configurer les dossiers et projets initiaux

Sélectionnez la hiérarchie des ressources qui représente votre structure organisationnelle.

Pour configurer les dossiers et projets initiaux, procédez comme suit :

1. Connectez-vous à la console Google Cloud avec un utilisateur du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Configuration de Google Cloud : hiérarchie et accès.

   Accéder à la page "Hiérarchie et accès"

4. Consultez la présentation des tâches, puis cliquez sur Démarrer à côté de Hiérarchie des ressources.

5. Sélectionnez une configuration de démarrage.

6. Cliquez sur Continuer et configurer.

7. Personnalisez la hiérarchie de vos ressources en fonction de votre structure organisationnelle. Par exemple, vous pouvez personnaliser les éléments suivants :

   • Noms des dossiers

   • Projets de service pour chaque équipe Pour accorder l'accès aux projets de service, vous pouvez créer les éléments suivants :

     • Un groupe pour chaque projet de service
     • Utilisateurs de chaque groupe

     Pour obtenir une présentation des projets de service, consultez VPC partagé.

   • Projets requis pour la surveillance, la journalisation et la mise en réseau.

   • Projets personnalisés.

8. Cliquez sur Continuer.

9. Accorder l'accès à vos dossiers et projets.

Accorder l'accès à vos dossiers et projets

Dans la tâche Accès administrateur, vous avez accordé un accès administrateur aux groupes au niveau de l'organisation. Dans cette tâche, vous allez configurer l'accès aux groupes qui interagissent avec les dossiers et projets nouvellement configurés.

Les projets, les dossiers et les organisations possèdent chacun leurs propres stratégies IAM, qui sont héritées via la hiérarchie des ressources :

• Organisation : les stratégies s'appliquent à tous les dossiers et projets au sein de l'organisation.
• Dossier : les stratégies s'appliquent aux projets et aux autres dossiers du dossier.
• Projet : les stratégies ne s'appliquent qu'à ce projet et à ses ressources.

Mettez à jour les stratégies IAM pour vos dossiers et projets :

1. Dans la section Configurer le contrôle des accès de la page Hiérarchie et accès, accordez à vos groupes l'accès à vos dossiers et projets :

   1. Dans le tableau, examinez la liste des rôles IAM recommandés accordés à chaque groupe pour chaque ressource.

   2. Si vous souhaitez modifier les rôles attribués à chaque groupe, cliquez sur Modifier sur la ligne souhaitée.

      Pour en savoir plus sur chaque rôle, consultez Rôles de base et prédéfinis IAM.

2. Cliquez sur Continuer.

3. Vérifiez les modifications apportées, puis cliquez sur Confirmer le brouillon de configuration.

Étape suivante

Configurez un emplacement centralisé pour stocker et analyser les données de journal.

Lors de cette tâche, vous allez configurer la journalisation pour l'ensemble de votre organisation, y compris pour les projets que vous avez créés dans une tâche précédente.

Utilisateurs effectuant cette tâche

Vous devez disposer de l'un des rôles suivants :

• Rôle administrateur Logging (roles/logging.admin)
• Adhésion au groupe gcp-logging-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

Organisez de manière centralisée les journaux créés dans les projets de votre organisation afin de faciliter la sécurité, l'audit et la conformité.

Raisons pour lesquelles nous recommandons cette tâche

Le stockage et la conservation des journaux simplifient l'analyse et conservent votre piste d'audit.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez l'accès à la tâche Hiérarchie et accès.

Organiser la journalisation de manière centralisée

Cloud Logging vous aide à stocker, rechercher, analyser et surveiller les données et les événements des journaux de Google Cloud. Vous pouvez également collecter et traiter les journaux de vos applications, de vos ressources sur site et d'autres clouds. Nous vous recommandons d'utiliser Cloud Logging pour regrouper les journaux dans un seul bucket de journaux.

Pour en savoir plus, consultez les ressources suivantes :

• Pour en savoir plus, consultez la page Présentation du routage et du stockage.
• Pour en savoir plus sur la journalisation des ressources sur site, consultez la page Journaliser des ressources sur site avec BindPlane.
• Pour savoir comment modifier le filtre de journal après avoir déployé votre configuration, consultez la section Filtres d'inclusion.

Pour stocker les données de journaux dans un bucket de journaux central, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur que vous avez identifié dans la section Qui effectue cette tâche.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à la configuration de Google Cloud : centraliser la journalisation.

   Accéder à la journalisation centralisée

4. Consultez la présentation de la tâche, puis cliquez sur Démarrer la configuration de la journalisation.

5. Vérifiez les détails de la tâche.

6. Pour acheminer les journaux vers un bucket de journaux central, assurez-vous que l'option Stocker les journaux d'audit des activités d'administration au niveau de l'organisation dans un bucket de journaux est sélectionnée.

7. Développez Acheminer les journaux vers un bucket de journaux Logging, puis procédez comme suit :

   1. Dans le champ Nom du bucket de journaux, saisissez un nom pour le bucket de journaux central.

   2. Dans la liste Région du bucket de journaux, sélectionnez la région dans laquelle vos données de journal sont stockées.

      Pour en savoir plus, consultez la section Emplacements des buckets de journaux.

   3. Nous vous recommandons de stocker les journaux pendant 365 jours. Pour personnaliser la durée de conservation, saisissez le nombre de jours dans le champ Durée de conservation.

      Les journaux stockés pendant plus de 30 jours entraînent des frais de conservation. Pour en savoir plus, consultez la synthèse des tarifs de Cloud Logging.

Exporter des journaux en dehors de Google Cloud

Si vous souhaitez exporter des journaux vers une destination externe à Google Cloud, vous pouvez les exporter à l'aide de Pub/Sub. Par exemple, si vous utilisez plusieurs fournisseurs cloud, vous pouvez décider d'exporter les données de journal de chaque fournisseur cloud vers un outil tiers.

Vous pouvez filtrer les journaux que vous exportez en fonction de vos besoins et exigences. Par exemple, vous pouvez choisir de limiter les types de journaux que vous exportez pour contrôler les coûts ou réduire le bruit dans vos données.

Pour en savoir plus sur l'exportation de journaux, consultez les ressources suivantes :

• Pour découvrir une présentation, consultez la page Qu'est-ce que Pub/Sub ?
• Pour en savoir plus sur les tarifs, consultez les ressources suivantes :
  • Tarifs de Pub/Sub
  • Bonnes pratiques pour Cloud Audit Logs : Tarifs
• Pour en savoir plus sur la diffusion en continu vers Splunk, consultez Déployer des flux de journaux depuis Google Cloud vers Splunk.

Pour exporter des journaux, procédez comme suit :

1. Cliquez sur Diffuser vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

2. Dans le champ ID du sujet Pub/Sub, saisissez un identifiant pour le sujet contenant vos journaux exportés. Pour en savoir plus sur l'abonnement à un sujet, consultez la section Abonnements pull.

3. Pour empêcher l'exportation de l'un des journaux recommandés suivants, désélectionnez la case correspondante :

   • Cloud Audit Logs : activité d'administration : appels ou actions d'API qui modifient la configuration ou les métadonnées des ressources.
   • Cloud Audit Logs : événement système : actions de Google Cloud qui modifient la configuration des ressources.
   • Access Transparency : actions effectuées par le personnel de Google lorsqu'il accède au contenu des clients.

   Sélectionnez les journaux supplémentaires suivants pour les exporter :

   • Cloud Audit Logs : accès aux données : appels d'API qui lisent la configuration ou les métadonnées des ressources, et appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur.
   • Cloud Audit Logs : refus de règles : refus d'accès aux comptes utilisateur ou de service par le service Google Cloud en raison de non-respect des règles de sécurité.

   Pour en savoir plus sur chaque type de journal, consultez Comprendre Cloud Audit Logs.

Terminer la configuration de la journalisation

Pour effectuer la tâche de journalisation, procédez comme suit :

1. Cliquez sur Continuer.

2. Vérifiez vos détails de configuration de journalisation, puis cliquez sur Confirmer le brouillon de configuration.

   Votre configuration de journalisation n'est pas déployée tant que vous n'avez pas déployé vos paramètres dans une tâche ultérieure.

Étape suivante

Configurez les paramètres de sécurité initiaux.

Dans cette tâche, vous allez configurer des paramètres et des produits de sécurité pour protéger votre organisation.

Utilisateurs effectuant cette tâche

Vous devez disposer de l'un des rôles suivants pour effectuer cette tâche :

• Rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
• Adhésion à l'un des groupes suivants que vous avez créés dans la tâche Utilisateurs et groupes :
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Actions à effectuer dans cette tâche

Appliquez les règles d'administration recommandées en fonction des catégories suivantes :

• Gestion des accès
• Comportement du compte de service
• Configuration du réseau VPC

Vous activez également Security Command Center pour centraliser les rapports sur les failles et les menaces.

Raisons pour lesquelles nous recommandons cette tâche

L'application de règles d'administration recommandées vous permet de limiter les actions utilisateur qui ne correspondent pas à votre stratégie de sécurité.

L'activation de Security Command Center vous permet de créer un emplacement central pour analyser les failles et les menaces.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Démarrer la tâche de sécurité

1. Connectez-vous à la console Google Cloud avec un utilisateur que vous avez identifié dans la section Qui effectue cette tâche.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à la configuration de Google Cloud : sécurité.

   Accéder à la page Sécurité.

4. Consultez la présentation des tâches, puis cliquez sur Démarrer la sécurité.

Centraliser les rapports sur les failles et les menaces

Pour centraliser les services de signalement des failles et des menaces, activez Security Command Center. Cela vous permet de renforcer votre stratégie de sécurité et de limiter les risques. Pour en savoir plus, consultez la page Présentation de Security Command Center.

1. Sur la page Configuration de Google Cloud : Sécurité, assurez-vous que la case Activer Security Command Center : Standard est cochée.

   Cette tâche active le niveau Standard sans frais. Vous pourrez passer à la version Premium ultérieurement. Pour en savoir plus, consultez la page Niveaux de service Security Command Center.

2. Cliquez sur Appliquer les configurations Security Command Center.

Appliquer les règles d'administration recommandées

Les règles d'administration s'appliquent au niveau de l'organisation et sont héritées par les dossiers et les projets. Dans cette tâche, vous allez examiner et appliquer la liste des règles recommandées. Vous pouvez modifier les règles d'administration à tout moment. Pour en savoir plus, consultez la présentation du service de règles d'administration.

1. Consultez la liste des règles d'administration recommandées. Si vous ne souhaitez pas appliquer une règle recommandée, cochez la case correspondante pour la supprimer.

   Pour obtenir une explication détaillée de chaque règle d'administration, consultez la page Contraintes liées aux règles d'administration.

2. Cliquez sur Confirmer les configurations des règles d'administration.

Les règles d'administration que vous sélectionnez sont appliquées lorsque vous déployez votre configuration dans une tâche ultérieure.

Étape suivante

Configurez la mise en réseau.

Dans cette tâche, vous allez définir votre configuration de mise en réseau initiale, que vous pourrez adapter à vos besoins.

Architecture de cloud privé virtuel

Un réseau cloud privé virtuel (VPC) est une version virtuelle d'un réseau physique, implémentée au sein du réseau de production de Google. Un Réseau VPC est une ressource globale qui consiste en des sous-réseaux régionaux.

Les réseaux VPC fournissent des fonctionnalités de mise en réseau aux ressources Google Cloud, telles que des instances de machines virtuelles Compute Engine, des conteneurs GKE et des instances de l'environnement flexible App Engine.

Le VPC partagé connecte les ressources de différents projets à un réseau VPC commun, afin qu'elles puissent communiquer entre elles à l'aide des adresses IP internes du réseau. Le schéma suivant illustre l'architecture de base d'un réseau VPC partagé avec des projets de service associés.

Lorsque vous utilisez un VPC partagé, vous désignez un projet hôte et vous lui associez un ou plusieurs projets de service. Les réseaux cloud privés virtuels du projet hôte sont appelés "réseaux VPC partagés".

L'exemple de diagramme comporte des projets hôtes de production et hors production, qui contiennent chacun un réseau VPC partagé. Vous pouvez utiliser un projet hôte pour gérer les éléments suivants de manière centralisée :

• Routes
• Pare-feu
• Connexions VPN
• Sous-réseaux

Un projet de service est un projet associé à un projet hôte. Vous pouvez partager des sous-réseaux, y compris des plages secondaires, entre des projets hôtes et des projets de service.

Dans cette architecture, chaque réseau VPC partagé contient des sous-réseaux publics et privés :

• Le sous-réseau public peut être utilisé par des instances Web pour la connectivité externe.
• Le sous-réseau privé peut être utilisé par des instances orientées vers l'intérieur auxquelles aucune adresse IP publique n'est allouée.

Dans cette tâche, vous allez créer une configuration réseau initiale basée sur l'exemple de schéma.

Utilisateurs effectuant cette tâche

Vous devez disposer de l'un des éléments suivants pour effectuer cette tâche :

• Le rôle roles/compute.networkAdmin.
• Inclusion dans le groupe gcp-network-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

Créez une configuration réseau initiale, y compris les éléments suivants :

• Créez plusieurs projets hôtes pour refléter vos environnements de développement.
• Créez un réseau VPC partagé dans chaque projet hôte pour permettre à des ressources distinctes de partager le même réseau.
• Créez des sous-réseaux distincts dans chaque réseau VPC partagé pour fournir un accès réseau aux projets de service.

Raisons pour lesquelles nous recommandons cette tâche

Des équipes distinctes peuvent utiliser un VPC partagé pour se connecter à un réseau VPC commun géré de manière centralisée.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez des droits d'accès dans la tâche Hiérarchie et accès.

Configurer l'architecture réseau

Créez votre configuration réseau initiale avec deux projets hôtes pour segmenter les charges de travail hors production et de production. Chaque projet hôte contient un réseau VPC partagé, qui peut être utilisé par plusieurs projets de service. Vous allez configurer les détails du réseau, puis déployer un fichier de configuration dans une tâche ultérieure.

Pour configurer votre réseau initial, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes.

2. Sélectionnez votre organisation dans la liste déroulante Sélectionnez une organisation en haut de la page.

3. Accédez à la page Configuration de Google Cloud : mise en réseau.

   Accéder à la mise en réseau

4. Examinez l'architecture réseau par défaut.

5. Pour modifier le nom du réseau, procédez comme suit :

   1. Cliquez sur more_vert Actions.
   2. Sélectionnez Modifier le nom du réseau.
   3. Dans le champ Nom du réseau, saisissez des lettres minuscules, des chiffres ou des tirets. Le nom du réseau ne peut pas dépasser 25 caractères.
   4. Cliquez sur Enregistrer.

Modifier les détails du pare-feu

Les règles de pare-feu par défaut du projet hôte sont basées sur les bonnes pratiques recommandées. Vous pouvez choisir de désactiver une ou plusieurs des règles de pare-feu par défaut. Pour en savoir plus sur les règles de pare-feu, consultez la section Règles de pare-feu VPC.

Pour modifier les paramètres de pare-feu, procédez comme suit :

1. Cliquez sur more_vert Actions.

2. Sélectionnez Modifier les règles de pare-feu.

3. Pour en savoir plus sur chaque règle de pare-feu par défaut, consultez la section Règles préremplies dans le réseau par défaut.

4. Pour désactiver une règle de pare-feu, décochez la case correspondante.

5. Pour désactiver la journalisation des règles de pare-feu, cliquez sur Désactivé.

   Par défaut, le trafic en provenance et à destination des instances Compute Engine est enregistré à des fins d'audit. Ce processus entraîne des coûts. Pour plus d'informations, consultez Journalisation des règles de pare-feu.

6. Cliquez sur Enregistrer.

Modifier les détails du sous-réseau

Chaque réseau VPC contient au moins un sous-réseau, qui est une ressource régionale à laquelle une plage d'adresses IP est associée. Dans cette configuration multirégionale, vous devez disposer d'au moins deux sous-réseaux avec des plages d'adresses IP qui ne se chevauchent pas.

Pour en savoir plus, consultez la section Sous-réseaux.

Chaque sous-réseau est configuré en suivant les bonnes pratiques recommandées. Si vous souhaitez personnaliser chaque sous-réseau, procédez comme suit :

1. Cliquez sur more_vert Actions.
2. Sélectionnez Modifier les sous-réseaux.
3. Dans le champ Nom, saisissez des lettres minuscules, des chiffres ou des tirets. Le nom de sous-réseau ne peut pas dépasser 25 caractères.

4. Dans la liste déroulante Région, sélectionnez une région proche de votre point de service.

   Nous recommandons une région différente pour chaque sous-réseau. Vous ne pouvez pas modifier la région une fois que vous avez déployé votre configuration. Pour en savoir plus sur le choix d'une région, consultez la section Ressources régionales.

5. Dans le champ Plage d'adresses IP, saisissez une plage au format CIDR (par exemple, 10.0.0.0/24).

   La plage que vous saisissez ne doit pas chevaucher d'autres sous-réseaux de ce réseau. Pour en savoir plus sur les plages valides, consultez la section Plages de sous-réseaux IPv4.

6. Répétez ces étapes pour le Sous-réseau 2.

7. Pour configurer des sous-réseaux supplémentaires dans ce réseau, cliquez sur Ajouter un sous-réseau et répétez ces étapes.

8. Cliquez sur Enregistrer.

Vos sous-réseaux sont automatiquement configurés conformément aux bonnes pratiques. Si vous souhaitez modifier la configuration, procédez comme suit sur la page Configuration de Google Cloud : réseaux VPC :

1. Pour désactiver les journaux de flux VPC, sélectionnez Désactivé dans la colonne Journaux de flux.

   Lorsque les journaux de flux sont activés, chaque sous-réseau enregistre les flux réseau que vous pouvez analyser à des fins de sécurité, d'optimisation des dépenses et autres. Pour en savoir plus, consultez la page Utiliser des journaux de flux VPC.

   Les journaux de flux VPC entraînent des coûts. Pour en savoir plus, consultez la page Tarifs du cloud privé virtuel.

2. Pour désactiver l'Accès privé à Google, dans la colonne Accès privé, sélectionnez Désactivé.

   Lorsque l'Accès privé à Google est activé, les instances de VM sans adresses IP externes peuvent accéder aux API et services Google. Pour plus d'informations, consultez Accès privé à Google.

3. Pour activer Cloud NAT, dans la colonne Cloud NAT, sélectionnez Activé.

   Lorsque Cloud NAT est activé, certaines ressources peuvent créer des connexions sortantes vers Internet. Pour en savoir plus, consultez la présentation de Cloud NAT.

   Cloud NAT entraîne des coûts. Pour en savoir plus, consultez la page Tarifs du cloud privé virtuel.

4. Cliquez sur Continuer avec l'association des projets de service.

Associer des projets de service à vos projets hôtes

Un projet de service est un projet associé à un projet hôte. Ce rattachement permet au projet de service de participer à un VPC partagé. Chaque projet de service peut être exploité et géré par différents départements ou équipes afin de créer une séparation des responsabilités.

Pour en savoir plus sur la connexion de plusieurs projets à un réseau VPC commun, consultez la page Présentation du VPC partagé.

Pour associer des projets de service à vos projets hôtes et terminer la configuration, procédez comme suit :

1. Pour chaque sous-réseau du tableau Réseaux VPC partagés, sélectionnez un projet de service à connecter. Pour ce faire, sélectionnez-le dans la liste déroulante Sélectionner un projet de la colonne Projet de service.

   Vous pouvez connecter un projet de service à plusieurs sous-réseaux.

2. Cliquez sur Continuer vers la vérification.

3. Vérifiez votre configuration et apportez des modifications.

   Vous pouvez apporter des modifications jusqu'au déploiement de votre fichier de configuration.

4. Cliquez sur Confirmer le brouillon de configuration. Votre configuration réseau est ajoutée à votre fichier de configuration.

   Votre réseau ne sera déployé que lorsque vous déploierez votre fichier de configuration dans une tâche ultérieure.

Étape suivante

Configurez une connectivité hybride, qui vous aide à connecter des serveurs sur site ou d'autres fournisseurs cloud à Google Cloud.

Dans cette tâche, vous établissez des connexions entre vos réseaux de pairs (sur site ou dans un autre cloud) et vos réseaux Google Cloud, comme illustré dans le diagramme suivant.

Ce processus crée un VPN haute disponibilité, une solution que vous pouvez créer rapidement pour transmettre des données sur Internet public.

Une fois votre configuration Google Cloud déployée, nous vous recommandons de créer une connexion plus robuste à l'aide de Cloud Interconnect.

Pour plus d'informations sur les connexions entre les réseaux de pairs et Google Cloud, consultez les ressources suivantes :

• Présentation de Cloud VPN
• Choisir un produit de connectivité réseau

Utilisateurs effectuant cette tâche

Vous devez disposer du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin).

Actions à effectuer dans cette tâche

Créez des connexions haute disponibilité et à faible latence entre vos réseaux VPC et vos réseaux sur site ou d'autres réseaux cloud. Vous configurez les composants suivants :

• Passerelle VPN haute disponibilité Google Cloud : ressource régionale dotée de deux interfaces, chacune avec sa propre adresse IP. Vous spécifiez le type de pile IP, qui détermine si le trafic IPv6 est accepté dans votre connexion. Pour en savoir plus, consultez la page VPN haute disponibilité.
• Passerelle VPN de pairs : passerelle de votre réseau de pairs à laquelle la passerelle VPN haute disponibilité Google Cloud se connecte. Vous saisissez les adresses IP externes que votre passerelle de pairs utilise pour se connecter à Google Cloud. Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.
• Cloud Router : utilise le protocole BGP (Border Gateway Protocol) pour échanger de manière dynamique des routes entre votre VPC et vos réseaux de pairs. Vous attribuez un numéro de système autonome (ASN) comme identifiant à votre routeur Cloud Router et spécifiez l'ASN utilisé par votre routeur pair. Pour plus d'informations, consultez la page Créer un routeur Cloud Router pour connecter un réseau VPC à un réseau de pairs.
• Tunnels VPN : connectez la passerelle Google Cloud à la passerelle de pairs. Vous spécifiez le protocole IKE (Internet Key Exchange) à utiliser pour établir le tunnel. Vous pouvez saisir votre propre clé IKE générée précédemment, ou générer et copier une nouvelle clé. Pour obtenir des informations générales, consultez la page Configurer l'IKE.

Raisons pour lesquelles nous recommandons cette tâche

Un VPN haute disponibilité fournit une connexion sécurisée et à disponibilité élevée entre votre infrastructure existante et Google Cloud.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez l'accès à la tâche Hiérarchie et accès.
• Configurez votre réseau dans la tâche Réseaux VPC.

Recueillez les informations suivantes auprès de votre administrateur réseau de pairs :

• Nom de votre passerelle VPN de pairs : passerelle à laquelle votre Cloud VPN se connecte.
• Adresse IP de l'interface de pairs 0 : adresse IP externe de votre passerelle de réseau de pairs.
• Adresse IP de l'interface de pairs 1 : une deuxième adresse externe, ou vous pouvez réutiliser l'adresse IP 0 si votre réseau de pairs ne possède qu'une seule adresse IP externe.
• Numéro de système autonome (ASN) de pairs : identifiant unique attribué à votre routeur de réseau de pairs.
• ASN du routeur Cloud Router : identifiant unique que vous attribuerez à votre routeur Cloud Router.
• Clés IKE (Internet Key Exchange) : clés que vous utilisez pour établir deux tunnels VPN avec votre passerelle VPN de pairs. Si vous ne possédez pas de clés, vous pouvez les générer lors de cette configuration, puis les appliquer à votre passerelle de pairs.

Configurer vos connexions

Procédez comme suit pour connecter vos réseaux VPC à vos réseaux de pairs :

1. Connectez-vous en tant qu'utilisateur disposant du rôle "Administrateur de l'organisation".

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Configuration de Google Cloud : connectivité hybride.

   Accéder à la connectivité hybride

4. Pour consulter les détails de la tâche, procédez comme suit :

   1. Consultez la présentation des tâches, puis cliquez sur Démarrer la connectivité hybride.

   2. Cliquez sur chaque onglet pour en savoir plus sur la connectivité hybride, puis cliquez sur Continuer.

   3. Découvrez ce à quoi vous attendre à chaque étape de la tâche, puis cliquez sur Continuer.

   4. Vérifiez les informations de configuration de la passerelle de pairs que vous devez collecter, puis cliquez sur Continuer.

5. Dans la zone Connexions hybrides, identifiez les réseaux VPC que vous souhaitez connecter en fonction des besoins de votre entreprise.

6. Sur la ligne du premier réseau que vous avez choisi, cliquez sur Configurer.

7. Dans la zone Présentation de la configuration, lisez la description et cliquez sur Suivant.

8. Dans la zone Passerelle VPN haute disponibilité Google Cloud, procédez comme suit :

   1. Dans le champ Nom de la passerelle Cloud VPN, saisissez jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.

   2. Dans la zone Type de pile d'adresses IP internes du tunnel VPN, sélectionnez l'un des types de pile suivants :

      • IPv4 et IPv6 (recommandé) : accepte le trafic IPv4 et IPv6. Nous vous recommandons ce paramètre si vous prévoyez d'autoriser le trafic IPv6 dans votre tunnel.
      • IPv4 : ne peut accepter que le trafic IPv4.

      Le type de pile détermine le type de trafic autorisé dans le tunnel entre votre réseau VPC et votre réseau homologue. Vous ne pouvez pas modifier le type de pile une fois la passerelle créée. Pour en savoir plus, consultez les ressources suivantes :

      • Compatibilité IPv6
      • Types de piles et sessions BGP

   3. Cliquez sur Suivant.

9. Dans la zone Passerelle VPN de pairs, procédez comme suit :

   1. Dans le champ Nom de la passerelle VPN de pairs, saisissez le nom fourni par votre administrateur réseau de pairs. Vous pouvez saisir jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.

   2. Dans le champ Adresse IP de l'interface de pairs 0, saisissez l'adresse IP externe de l'interface de la passerelle de pairs fournie par votre administrateur réseau de pairs.

   3. Dans le champ Adresse IP de l'interface de pairs 1, effectuez l'une des opérations suivantes :

      • Si votre passerelle de pairs dispose d'une deuxième interface, saisissez son adresse IP.
      • Si votre passerelle de pairs ne comporte qu'une seule interface, saisissez la même adresse que celle que vous avez saisie dans le champ Adresse IP de l'interface de pairs 0.

      Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.

   4. Cliquez sur Suivant.

10. Dans la zone Cloud Router, procédez comme suit :

    1. Dans le champ Numéro ASN du routeur cloud, saisissez le numéro de système autonome que vous souhaitez attribuer à votre routeur Cloud Router, tel que fourni par l'administrateur de votre réseau de pairs. Pour plus d'informations, consultez la page Créer un routeur Cloud Router.

    2. Dans le champ Numéro ASN du routeur de pairs, saisissez le numéro de système autonome de votre routeur de réseau de pairs, tel qu'il vous a été fourni par votre administrateur réseau de pairs.

11. Dans la zone Tunnel VPN 0, procédez comme suit :

    1. Dans le champ Nom du tunnel 0, saisissez jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.

    2. Dans la zone version de l'IKE, sélectionnez l'une des options suivantes :

       • IKEv2 (recommandé) : accepte le trafic IPv6.
       • IKEv1 : utilisez ce paramètre si vous ne prévoyez pas d'autoriser le trafic IPv6 dans le tunnel.

       Pour en savoir plus, consultez Configurer des tunnels VPN.

    3. Dans le champ Clé IKE pré-partagée, saisissez la clé que vous utilisez dans la configuration de votre passerelle de pairs, telle que fournie par l'administrateur de votre réseau de pairs. Si vous ne disposez pas d'une clé, vous pouvez cliquer sur Générer et copier, puis attribuer la clé à votre administrateur réseau de pairs.

12. Dans la zone Tunnel VPN 1, répétez l'étape précédente pour appliquer les paramètres du deuxième tunnel. Vous configurez ce tunnel pour assurer la redondance et un débit supplémentaire.

13. Cliquez sur Enregistrer.

14. Répétez ces étapes pour tous les autres réseaux VPC que vous souhaitez connecter à votre réseau de pairs.

Après le déploiement

Une fois que vous avez déployé votre configuration Google Cloud, procédez comme suit pour vous assurer que votre connexion réseau est complète :

1. Collaborez avec votre administrateur réseau de pairs pour aligner votre réseau de pairs sur vos paramètres de connectivité hybride. Une fois le déploiement effectué, des instructions spécifiques sont fournies pour votre réseau homologue, y compris les suivantes :

   • Paramètres des tunnels
   • Paramètres de pare-feu
   • Paramètres IKE

2. Validez les connexions réseau que vous avez créées. Par exemple, vous pouvez utiliser Network Intelligence Center pour vérifier la connectivité entre les réseaux. Pour en savoir plus, consultez la présentation des Tests de connectivité.

3. Si vos besoins commerciaux nécessitent une connexion plus robuste, utilisez Cloud Interconnect. Pour en savoir plus, consultez la page Choisir un produit de Connectivité réseau.

Étape suivante

Déployez votre configuration, qui comprend les paramètres de votre hiérarchie et de vos accès, de la journalisation, du réseau et de la connectivité hybride.

Une fois le processus de configuration de Google Cloud terminé, vos paramètres issus des tâches suivantes sont compilés dans les fichiers de configuration Terraform :

• Hiérarchie et accès
• Centraliser la journalisation
• Sécurité
• Réseaux VPC
• Connectivité hybride

Pour appliquer vos paramètres, examinez vos sélections et choisissez une méthode de déploiement.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

Déployez des fichiers de configuration pour appliquer vos paramètres de configuration.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez déployer des fichiers de configuration pour appliquer les paramètres que vous avez sélectionnés.

Avant de commencer

Vous devez effectuer les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez des accès dans la tâche Hiérarchie et accès.

Les tâches suivantes sont recommandées :

• Regroupez les données de journal dans un emplacement unique dans la tâche Centraliser la journalisation.
• Renforcez votre stratégie de sécurité en configurant des services sans frais dans la tâche Sécurité.
• Configurez votre réseau initial dans la tâche Réseaux VPC.
• Connectez des réseaux de pairs à Google Cloud dans la tâche Connectivité hybride.

Vérifier les détails de votre configuration

Pour vérifier que vos paramètres de configuration sont complets, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à la configuration Google Cloud : déployer ou télécharger.

   Accéder à la page Déployer ou télécharger

4. Vérifiez les paramètres de configuration que vous avez sélectionnés. Cliquez sur chacun des onglets suivants et vérifiez vos paramètres :

   • Hiérarchie des ressources et accès aux ressources
   • Logging
   • Sécurité
   • Réseaux VPC
   • Connectivité hybride

Déployer la configuration

Après avoir vérifié les détails de votre configuration, utilisez l'une des options suivantes :

• Déployer directement depuis la console : utilisez cette option si vous n'avez pas de workflow de déploiement Terraform et que vous souhaitez une méthode de déploiement simple. Vous ne pouvez utiliser cette méthode qu'une seule fois.

• Télécharger et déployer le fichier Terraform : utilisez cette option si vous souhaitez automatiser la gestion des ressources à l'aide d'un workflow de déploiement Terraform. Vous pouvez télécharger et déployer cette méthode plusieurs fois.

Procédez au déploiement à l'aide de l'une des options suivantes :

Étapes suivantes

Passer en revue les bonnes pratiques de surveillance

Cloud Monitoring est automatiquement configuré pour vos projets Google Cloud. Dans cette tâche, vous allez découvrir les bonnes pratiques facultatives de surveillance.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-monitoring-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

Examiner et mettre en œuvre les bonnes pratiques facultatives de surveillance.

Raisons pour lesquelles nous recommandons cette tâche

Vous pouvez mettre en œuvre les bonnes pratiques de surveillance pour effectuer les opérations suivantes :

• Simplifier la collaboration entre les utilisateurs qui surveillent votre organisation.
• Surveiller votre infrastructure Google Cloud depuis un emplacement unique.
• Recueillir les métriques et les journaux d'application importants.

Examiner et mettre en œuvre les bonnes pratiques de surveillance

Cloud Monitoring collecte des métriques, des événements et des métadonnées provenant de services Google Cloud, de moniteurs synthétiques, de l'instrumentation d'applications et de divers composants d'application courants. Cloud Monitoring est automatiquement configuré pour vos projets Google Cloud.

Dans cette tâche, vous pouvez mettre en œuvre les bonnes pratiques suivantes pour vous développer la configuration Cloud Monitoring par défaut.

• Pour faciliter la collaboration, créez une règle d'administration qui attribue le rôle Lecteur Monitoring à chaque compte principal de votre organisation pour chaque projet.

• Pour surveiller votre infrastructure Google Cloud en un seul endroit, configurez un projet pour lire les métriques de plusieurs projets Google Cloud à l'aide des champs d'application de métriques.

• Pour collecter les métriques et les journaux d'application pour les machines virtuelles, procédez comme suit :

  • Pour Compute Engine, installez l'agent Ops.
  • Pour Google Kubernetes Engine (GKE), configurez Google Cloud Managed Service pour Prometheus.

Étape suivante

Choisissez une formule d'assistance.

Dans cette tâche, vous allez choisir une formule d'assistance répondant aux besoins de votre entreprise.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@YOUR_DOMAIN créé dans la tâche Utilisateurs et groupes.

Actions à effectuer dans cette tâche

Choisissez une formule d'assistance en fonction des besoins de votre entreprise.

Raisons pour lesquelles nous recommandons cette tâche

Une formule d'assistance Premium vous offre une assistance commerciale stratégique afin de résoudre rapidement les problèmes avec l'aide d'experts Google Cloud.

Choisissez une option d'assistance

Vous bénéficiez automatiquement de l'assistance Basic, qui inclut l'accès aux ressources suivantes :

• Documentation
• Assistance de la communauté et discussions
• Assistance pour les problèmes de facturation

Nous recommandons aux entreprises clientes de souscrire à l'assistance Premium, qui offre une assistance technique individuelle par des ingénieurs Google. Pour comparer les forfaits d'assistance, consultez la page Assistance Google Cloud Customer Care.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Activer l'assistance

Identifiez et sélectionnez une option d'assistance.

1. Examinez et sélectionnez une formule d'assistance. Pour plus d'informations, consultez Assistance Google Cloud Customer Care.

2. Connectez-vous à la console Google Cloud avec un utilisateur du groupe gcp-organization-admins@<your-domain>.com que vous avez créé dans la tâche Utilisateurs et groupes.

3. Accédez à la configuration de Google Cloud : assistance.

   Accéder à l'assistance

4. Examinez les détails de la tâche, puis cliquez sur Afficher les offres d'assistance pour sélectionner une option d'assistance.

5. Après avoir configuré votre option d'assistance, revenez à la page Configuration de Google Cloud : assistance, puis cliquez sur Marquer la tâche comme terminée.

Étapes suivantes

Maintenant que vous avez terminé la configuration de Google Cloud, vous êtes prêt à étendre la configuration initiale, à déployer des solutions prédéfinies et à migrer vos workflows existants. Pour en savoir plus, consultez Étendre votre configuration initiale et commencer à créer.