Checklist de configuration de Google Cloud

Avant de commencer

• Pour sécuriser votre compte Google Cloud, découvrez et appliquez les bonnes pratiques relatives aux comptes super-administrateur.
• Collectez les identifiants d'administrateur du domaine (comme example.com) que vous souhaitez associer à Google Cloud. Vous en aurez besoin pour ajuster les paramètres DNS lors de la configuration.
• Identifiez un compte de messagerie principal (comme maria@example.com) à utiliser comme adresse de récupération pour votre organisation Google Cloud. Lorsque vous lancez le processus d'inscription, Cloud Identity vous demande d'abord cette adresse.
• Trouvez un identifiant secondaire différent à associer à votre premier compte super-administrateur Google Cloud (par exemple, admin@example.com). Cet identifiant doit être différent de l'identifiant principal utilisé pour la récupération de compte. Cloud Identity demande cette adresse après avoir fourni l'adresse de récupération de compte décrite ci-dessus.
• Sécurisez vos comptes Google Cloud en appliquant les bonnes pratiques. En particulier, évitez d'associer vos comptes de récupération et de super-administrateur à une identité utilisateur particulière, et accédez-y uniquement lorsque cela est nécessaire pour administrer ou récupérer votre compte Google Cloud.

Actions à effectuer dans cette tâche

• Indiquer une adresse e-mail initiale à utiliser pour la récupération de compte.
• Créer un compte utilisateur géré pour votre premier super-administrateur Google Cloud.
• Valider le domaine de votre entreprise (comme example.com) avec Google Cloud.

Une fois ces actions effectuées, Google Cloud crée le nœud racine de la hiérarchie des ressources, que nous appelons la ressource "Organisation".

Vous utiliserez Cloud Identity dans la console d'administration Google Workspace pour effectuer cette tâche. Cloud Identity fournit une gestion unifiée des identités, des accès, des applications et des points de terminaison sur l'ensemble des services Google. Vous bénéficiez de 50 licences utilisateur gratuites et vous pouvez demander des licences gratuites supplémentaires si nécessaire. Les utilisateurs Cloud Identity peuvent également accéder aux services Google Drive, Google Keep et Google Groupes de votre organisation.

Google Cloud propose Cloud Identity en tant que produit autonome ou en association avec Google Workspace. Google Workspace propose Cloud Identity avec des outils collaboratifs et de productivité courants tels que Gmail, Agenda, Meet, Chat, etc… Plusieurs options d'essai gratuit sont disponibles. Certaines entreprises réalisent des économies en combinant plusieurs licences Cloud Identity autonomes pour certains utilisateurs et en réservant les licences Google Workspace aux utilisateurs qui ont besoin des outils de collaboration supplémentaires.

Autorisations requises

Dans cette tâche, vous allez créer le premier super-administrateur de votre organisation Google Cloud. Le super-administrateur dispose de droits d'administrateur racine irrévocables pour votre organisation et peut attribuer le même rôle à d'autres utilisateurs.

Bonnes pratiques concernant la sécurité

La sécurisation de vos comptes super-administrateur est essentielle à la sécurité de votre organisation Google Cloud. Veuillez consulter et appliquer les bonnes pratiques relatives aux comptes super-administrateur Google Cloud lors de la création de vos comptes super-administrateur.

Procédure

Pour effectuer cette tâche, indiquez si vous êtes un nouveau client ou un client Google Workspace existant.

Dépannage

Je ne parviens pas à m'inscrire à un service Google avec mon domaine

Pour en savoir plus sur les problèmes courants et découvrir comment les corriger, consultez l'article Je ne parviens pas à m'inscrire à un service Google avec mon domaine.

Ce compte Google existe déjà

Consultez la page concernant l'erreur "Ce compte Google existe déjà" pour résoudre le problème.

Mon compte ne dispose pas des autorisations nécessaires pour administrer ou utiliser l'organisation Google Cloud de mon entreprise

Cette erreur indique que le domaine de votre entreprise a déjà été validé et qu'il comporte des super-administrateurs. Si vous avez encore besoin d'un accès pour administrer votre organisation Google Cloud, demandez à un administrateur de votre entreprise de vous accorder l'accès.

Mon pare-feu affiche des erreurs et je ne parviens pas à valider le domaine

Si votre entreprise utilise un serveur proxy qui refuse des URL spécifiques, vous rencontrerez des erreurs lorsque vous tenterez d'enregistrer votre domaine. Ce scénario est courant avec les clients ayant des configurations de sécurité avancées, comme les institutions financières. Si vous voyez cette erreur, assurez-vous que votre serveur proxy autorise explicitement les URL suivantes :

URL requise	Pourquoi ce changement est-il important ?
accounts.google.com	Requis pour la fédération SSO (authentification unique) SAML avec Google Cloud et pour la connexion SSO à Cloud Console. Remarque : cela ne fonctionnera qu'après la mise en liste blanche du domaine client sur le backend de Google.
www.googleapis.com	Requis lors de la connexion pour la synchronisation des annonces AD si la fédération SSO est utilisée
https://console.cloud.google.com/	Obligatoire pour l'accès à Cloud Console. Domaine principal de Cloud Console et polices utilisées pour l'affichage dans Cloud Console.
fonts.googleapis.com	Polices pour Cloud Console Remarque : Cloud Console fonctionnera toujours sans cela, mais l'apparence peut être étrange.
*.clients6.google.com	Requis pour Cloud Console. Points de terminaison gRPC de l'API Service utilisés par Cloud Console pour afficher des informations sur la console.
ssl.gstatic.com www.gstatic.com lh3.googleusercontent.com lh4.googleusercontent.com lh5.googleusercontent.com lh6.googleusercontent.com	Requis pour Cloud Console. Dans Cloud Console et certaines API, les clés publiques des certificats personnalisés sont stockées dans le contenu statique.
cloud.google.com	Obligatoire pour l'accès à la documentation et aux pages d'aide de Google Cloud.
ssh.cloud.google.com	Requis pour Cloud Shell (si vous le souhaitez)
apis.google.com *.googleapis.com	Obligatoire pour l'accès à distance aux API pour Google Cloud. (Facultatif pour Cloud Console, préférez un accès privé ou restreint à l'API lorsque vous utilisez le SDK et/ou la CLI)
admin.google.com	Facultatif lorsque vous utilisez la console d'administration Google Workspace (Cloud Identity).
payments.google.com	Facultatif pour l'envoi des informations de paiement, des abonnements de la console d'administration Google et des comptes de facturation.

Autres ressources

Voici quelques sujets supplémentaires qui vous permettront d'en savoir plus sur l'identité et sur d'autres sujets pertinents pour cette tâche.

• Présentation de la création et de la gestion des organisations
• Bonnes pratiques pour planifier des comptes et des organisations
• Évaluer et planifier la configuration de votre identité
• Édition gratuite de Cloud Identity
• Validation de domaine :
  • Documentation
  • Tutoriel vidéo
• Rôles d'administrateur Google Workspace
• Rôles d'administrateur Cloud Identity

Dans cette tâche, vous allez ajouter vos premiers utilisateurs, créer des groupes pour administrer l'accès des utilisateurs et attribuer des utilisateurs à ces groupes. Vous allez attribuer des autorisations à ces groupes d'utilisateurs lors de la tâche 3. Vous devez disposer de la console d'administration Google Workspace et de Google Cloud Console pour effectuer les opérations suivantes :

• Ajouter des utilisateurs gérés à votre organisation Google Cloud
• Créer un groupe Google pour chaque type d'utilisateur administrateur (par exemple, administrateurs d'organisation ou administrateurs de facturation)
• Attribuer des utilisateurs aux groupes correspondant à leur rôle

Avant de commencer

• Vérifiez que vous êtes connecté à la console d'administration Google Workspace et à Cloud Console avec l'un des comptes super-administrateur créés à la tâche 1.
• Si votre entreprise utilise déjà un fournisseur d'identité tel qu'Active Directory, Azure AD, Okta ou Ping Identity, vous pouvez le fédérer dans Google Cloud. Pour en savoir plus, consultez les architectures de référence du fournisseur d'identité pour la fédération d'identité.
• Fédérer Cloud Identity avec Active Directory pour gérer automatiquement les utilisateurs et activer l'authentification unique.
• Créer une solution personnalisée à l'aide du SDK Admin Google Workspace

Bonnes pratiques concernant la sécurité

Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leur rôle et supprimez l'accès dès qu'il n'est plus nécessaire.

Contrôle d'accès basé sur les rôles (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leur rôle dans Google Groupes pour organiser vos utilisateurs. Nous vous déconseillons d'ajouter des autorisations spécifiques à des comptes utilisateur individuels.

Procédure

Ajouter des utilisateurs dans la console d'administration Google Workspace

Pour les besoins de cette checklist d'intégration, nous vous recommandons d'ajouter les utilisateurs qui vont participer aux tâches de la checklist proprement dite. Il s'agit, par exemple, des administrateurs et des décideurs impliqués dans les activités de configuration cloud.

1. Connectez-vous à la console d'administration Google Workspace à l'aide d'un compte super-administrateur.
2. Ajoutez des utilisateurs avec l'une des options suivantes :
   • Ajouter plusieurs utilisateurs à la fois.
   • Ajoutez des comptes utilisateur individuellement.

Créer des groupes Google et ajouter des membres à des groupes

Ensuite, vous allez utiliser la fonctionnalité Groupes de Cloud Console pour créer des groupes Google correspondant aux différents types d'utilisateurs de votre organisation. Un groupe Google est une collection nommée de comptes Google et de comptes de service. Chaque groupe Google possède une adresse e-mail unique associée au groupe (par exemple, gcp-organization-admins@example.com).

Les groupes ci-dessous sont fréquents dans les entreprises qui disposent de plusieurs services administrant leur infrastructure cloud. Si votre configuration nécessite une structure de groupe différente, n'hésitez pas à personnaliser nos recommandations en fonction de vos besoins.

Groupe	Fonction
gcp-organization-admins (obligatoire pour la checklist)	Administrer une ressource appartenant à l'organisation. Attribuez ce rôle avec parcimonie. Les administrateurs d'organisation ont accès à toutes vos ressources Google Cloud.
gcp-network-admins (obligatoire pour la checklist)	Créer des réseaux, des sous-réseaux, des règles de pare-feu et des appareils réseau, tels que Cloud Router, Cloud VPN et les équilibreurs de charge cloud
gcp-billing-admins (obligatoire pour la checklist)	Configurer des comptes de facturation et surveiller leur utilisation
gcp-developers (obligatoire pour la checklist)	Concevoir, coder et tester des applications
gcp-security-admins (facultatif)	Définissez et gérez des règles de sécurité pour l'ensemble de l'organisation, y compris la gestion des accès et les règles concernant les contraintes de l'organisation. Pour en savoir plus sur la planification de votre infrastructure de sécurité Google Cloud, consultez le guide sur les principes de base de la sécurité dans Google Cloud.
gcp-devops (facultatif.)	Créez ou gérez des pipelines de bout en bout afin d'assurer l'intégration et la livraison continues, la surveillance et le provisionnement du système.

Pour les étapes suivantes de la checklist, vous aurez besoin des groupes suivants avec au moins un membre dans chaque groupe.

• gcp-organization-admins
• gcp-network-admins
• gcp-billing-admins
• gcp-devops

Pour créer des groupes et ajouter des utilisateurs à l'aide de Cloud Console, procédez comme suit :

1. Connectez-vous à Cloud Console avec un compte super-administrateur créé à la tâche 1.

2. Accédez à la page Groupes de Cloud Console.

   Accéder à la page Groupes

3. Cliquez sur Create (Créer).

4. Renseignez les informations concernant un groupe, y compris son nom, son adresse e-mail et une description facultative.

5. Ajoutez des membres au groupe.

   1. Cliquez sur Ajouter un membre.
   2. Saisissez l'adresse e-mail du membre.

   3. Choisissez son rôle Google Groupes.

6. Cliquez sur Envoyer pour créer le groupe avec les utilisateurs spécifiés.

Autres ressources

• Gérer des comptes en conflit :
  • Utiliser l'outil de transfert pour les utilisateurs non gérés
    • Utiliser une importation au format CSV
    • Utiliser l'API User Invitation
• Présentation de la gestion de l'authentification et des accès et de Google Groupes
  • Bonnes pratiques pour Identity and Access Management
• Créer un groupe
• Ajouter ou inviter des utilisateurs à un groupe
• Fédération d'identité :
  • Consulter la section Architecture de référence pour fédérer des fournisseurs d'identité externes
  • Mapper Active Directory ou d'autres magasins d'identités basés sur LDAP vers Google Cloud à l'aide de Google Cloud Directory Sync (GCDS)
  • Automatiser l'administration des identités à l'aide du SDK Admin Google Workspace

Cette tâche vous permet de configurer l'accès administrateur pour votre organisation de sorte que les administrateurs bénéficient d'une visibilité et d'un contrôle centralisés sur chaque ressource cloud appartenant à votre organisation.

Utilisateurs effectuant cette tâche

Si votre entreprise a déjà souscrit un service Google Workspace payant, une personne dotée d'un accès super-administrateur Google Workspace doit effectuer cette étape. Si ce n'est pas le cas, utilisez le compte Cloud Identity créé à la tâche 2.

Actions à effectuer dans cette tâche

• Vérifiez que votre organisation a bien été créée
• Attribuez des rôles Administrateur au groupe gcp-organization-admins@<your-domain>.com créé à la tâche 2.
• Ajoutez des autorisations d'administration à vous-même et aux autres administrateurs de votre organisation afin de pouvoir effectuer des tâches ultérieures dans la checklist.

Raisons pour lesquelles nous recommandons cette tâche

Pour des raisons de sécurité, vous devez définir explicitement tous les rôles Administrateur de votre organisation. La séparation des rôles de super-administrateur et d'administrateur de l'organisation fait partie des bonnes pratiques de sécurité Google Cloud. Le rôle de super-administrateur gère toutes les autres identités dans Cloud Identity et Google Workspace. Il est requis pour créer l'organisation Google Cloud racine. Pour en savoir plus, consultez les bonnes pratiques applicables aux super-administrateurs.

Vérifier que votre organisation a bien été créée

1. Connectez-vous à Cloud Console à l'aide de votre compte super-administrateur Google Workspace ou du compte super-administrateur Cloud Identity que vous avez configuré à la tâche 1.

2. Accédez à la page Identité et organisation pour terminer la création de l'organisation. Une fois que vous avez accédé à ce lien, un délai de quelques minutes peut être nécessaire pour que le processus s'achève.

3. Assurez-vous que le nom de votre organisation figure dans la liste Sélectionner une organisation. Créer votre organisation à partir des étapes de la tâche 1 peut prendre quelques minutes. Si vous ne voyez pas le nom de votre organisation, attendez quelques minutes, puis actualisez la page.

Configurer l'accès administrateur

Ensuite, attribuez des rôles Administrateur au groupe gcp-organization-admins@<your-domain>.com que vous avez créé dans la tâche 2.

1. Suivez la procédure sur la page Accorder l'accès, en tenant compte des modifications suivantes :

   • Après avoir ouvert la page IAM de Cloud Console, assurez-vous que le nom de votre organisation est sélectionné dans la liste des organisations en haut de la page.

   • À l'invite de saisie d'une adresse e-mail, utilisez gcp-organization-admins@<your-domain>.com.

   • Lorsque vous êtes invité à choisir un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation.

2. Après avoir ajouté le premier rôle, cliquez sur Ajouter un autre rôle, puis ajoutez les rôles supplémentaires suivants pour le membre gcp-organization-admins@<your-domain>.com :

   • Gestionnaire de ressources > Administrateur de dossier
   • Gestionnaire de ressources > Créateur de projet
   • Facturation > Utilisateur de compte de facturation
   • Rôles > Administrateur des rôles de l'organisation
   • Règles d'administration > Administrateur de règles d'administration
   • Centre de sécurité > Administrateur du centre de sécurité
   • Assistance > Administrateur de compte d'assistance

3. Lorsque vous n'avez plus de rôle à ajouter, cliquez sur Enregistrer.

Lors de cette tâche, vous allez configurer un compte de facturation pour payer les ressources Google Cloud, puis définir l'accès administrateur pour vos comptes de facturation.

Lorsque vous préparez cette tâche, vous devez choisir le type de compte de facturation à utiliser pour votre configuration :

• Libre-service. Inscrivez-vous en ligne par carte de crédit, carte de débit ou prélèvement automatique SIT. Les coûts sont facturés automatiquement.
• Paiement sur facture. Si vous avez déjà configuré la facturation en libre-service, vous pourrez peut-être basculer vers un type de facturation mensuelle si votre entreprise répond à certains critères. Les factures sont envoyées par courrier ou par voie électronique, et peuvent être réglées par chèque ou par virement électronique.

Pour plus d'informations, consultez la section Types de comptes de facturation.

Utilisateurs effectuant cette tâche

Cette tâche nécessite plusieurs personnes :

1. Une personne du groupe gcp-organization-admins@<your-domain>.com créé à la tâche 2.

2. Une personne du groupe gcp-billing-admins@<your-domain>.com créé à la tâche 2.

Actions à effectuer dans cette tâche

• Attribuez un accès administrateur au groupe gcp-billing-admins@<your-domain>.com créé à la tâche 2.
• Décidez si vous souhaitez utiliser un compte de facturation en libre-service ou avec paiement sur facture mensuelle.
• Configurez un compte de facturation et un mode de paiement.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez disposer d'un compte Cloud Billing pour utiliser les produits Google Cloud. Les comptes Cloud Billing sont associés à un ou plusieurs projets Google Cloud et sont utilisés pour payer les ressources que vous utilisez, telles que les machines virtuelles, la mise en réseau et le stockage. Les rôles IAM contrôlent l'accès aux comptes Cloud Billing.

Configurer l'accès administrateur

Les membres de l'équipe ayant le rôle IAM d'administrateur de compte de facturation peuvent gérer les paiements et les factures, définir des budgets et associer des projets à des comptes de facturation. Ce rôle n'autorise pas les membres de l'équipe à voir le contenu des projets.

1. Assurez-vous d'être connecté à Cloud Console en tant qu'utilisateur du groupe Google gcp-organization-admins créé à la tâche 2.

2. Suivez la procédure sur la page Accorder l'accès, en tenant compte des modifications suivantes :

   • À l'invite de saisie d'une adresse e-mail, utilisez gcp-billing-admins@<your-domain>.com.

   • Lorsque vous êtes invité à choisir un rôle, sélectionnez Facturation > Administrateur de compte de facturation.

   • Après avoir ajouté le premier rôle, cliquez sur Ajouter un autre rôle, puis ajoutez les rôles supplémentaires suivants pour le membre gcp-billing-admins@<your-domain>.com :

     • Facturation > Créateur de compte de facturation
     • Resource Manager > Lecteur d'organisation

Configurer le compte de facturation

Vous allez ensuite configurer un compte de facturation Cloud. Il existe deux types de comptes de facturation :

• Libre-service. Inscrivez-vous en ligne par carte de crédit, carte de débit ou prélèvement automatique SIT. Les coûts sont facturés automatiquement.

• Paiement sur facture. Vous pouvez payer par chèque ou par virement électronique. Les factures sont envoyées par courrier ou par voie électronique.

Lorsque vous vous inscrivez en ligne pour obtenir un compte de facturation, votre compte est automatiquement configuré en tant que compte de type libre-service. Vous ne pouvez pas vous inscrire en ligne pour un obtenir un compte de type paiement sur facture. Vous devez pour cela demander à bénéficier de la facturation avec paiement sur facture mensuelle. Pour plus d'informations, consultez la section Types de comptes de facturation.

Une fois le compte de facturation configuré

Pour surveiller vos coûts et éviter les surprises sur votre facture, une fois votre compte de facturation Cloud configuré, nous vous recommandons d'appliquer les bonnes pratiques suivantes pour chaque compte de facturation :

• Configurez les exportations de données Cloud Billing vers un ensemble de données BigQuery.
• Définissez des budgets pour générer des alertes lorsque les dépenses atteignent certains seuils.

Pour en savoir plus sur les bonnes pratiques de facturation, consultez la section Facturation et gestion dans les Bonnes pratiques pour les entreprises.

Dans le cadre de cette tâche, vous allez créer une structure de base pour les dossiers et les projets présents dans la hiérarchie des ressources.

• Les dossiers constituent un mécanisme de regroupement et une façon d'isoler les projets les uns des autres. Par exemple, ils peuvent représenter les principaux services de votre organisation, tels que finance ou commerce, ou des environnements en production ou hors production.

• Les projets contiennent vos ressources cloud, telles que des machines virtuelles, des bases de données et des buckets de stockage. Pour connaître les bonnes pratiques liées aux projets, consultez Spécifier la structure du projet.

Vous pouvez définir des règles IAM pour contrôler l'accès à différents niveaux de la hiérarchie des ressources. Vous définirez ces règles dans une tâche ultérieure de la checklist.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Créez la structure hiérarchique initiale avec des dossiers et des projets.

Raisons pour lesquelles nous recommandons cette tâche

La création de la structure est nécessaire pour réaliser une tâche ultérieure dans laquelle vous définissez des stratégies IAM afin de contrôler l'accès à différents niveaux de la hiérarchie des ressources.

Schéma de la hiérarchie des ressources

Il existe de nombreuses manières de créer une hiérarchie de ressources. Le diagramme suivant montre un exemple type.

Dans l'exemple, la hiérarchie de ressources de l'organisation contient trois niveaux de dossiers :

• Environnement (hors production et production). En isolant les environnements les uns des autres, vous pouvez mieux contrôler l'accès aux environnements de production et éviter que des changements non liés à la production n'aient un impact accidentel sur celle-ci.

• Unités commerciales. Sur le diagramme, les unités commerciales sont représentées comme Dept X et Dept Y, ce qui peut correspondre à des unités commerciales telles que "Ingénierie" et "Marketing", ainsi qu'un dossier Shared partagé de projets contenant des ressources partagées sur toute la hiérarchie, comme la mise en réseau, la journalisation et la surveillance.

• Équipes. Sur le diagramme, les équipes sont représentées comme Team A, Team B et Team C, ce qui peut correspondre à "Développement", "Science des données", "Contrôle qualité", etc.

Créer la hiérarchie de ressources initiale

À ces étapes de la checklist, vous créez les dossiers et les projets de base pour votre configuration initiale, comme illustré sur le diagramme suivant. Ces dossiers et projets seront utilisés dans les autres tâches de la checklist. Plus tard, vous pourrez vous appuyer sur cette hiérarchie afin de refléter votre organisation et la personnaliser en fonction des besoins de votre entreprise à mesure que vos charges de travail s'accroîtront sur Google Cloud.

Après avoir créé la hiérarchie initiale, vous créez des projets. En suivant le principe de séparation des environnements de production et de non-production, vous devez créer les projets suivants pour cette checklist :

• example-vpc-host-nonprod. Ce projet aide à connecter les ressources hors production de différents projets à un réseau VPC commun.

• example-vpc-host-prod-draft Ce projet est un espace réservé pour associer les ressources de production de différents projets à un réseau VPC commun.

• example-monitoring-nonprod. Ce projet est utilisé pour l'hébergement de ressources de surveillance hors production.

• example-monitoring-prod-draft Ce projet est un espace réservé qui vous permettra d'héberger les ressources de surveillance de la production.

• example-logging-nonprod. Ce projet permet d'héberger des données de journaux exportées depuis votre environnement hors production.

• example-logging-prod-draft Ce projet est un espace réservé permettant d'héberger les données de journaux exportées à partir de votre environnement de production.

Les noms de projet ne peuvent pas comporter plus de 30 caractères. Habituellement, vous pouvez utiliser le nom de votre entreprise au lieu de example, tant que vous ne dépassez pas la limite de 30 caractères. À mesure que vous créez des projets dans la hiérarchie des ressources, nous vous conseillons d'adopter une convention d'attribution de noms telle que <business unit name>-<team name>-<application name>-<environment>, conformément à la hiérarchie des ressources de votre organisation.

Pour créer les projets :

1. Dans Cloud Console, accédez à la page Gérer les ressources.

2. Cliquez sur Créer un projet.

3. Dans la fenêtre Nouveau projet qui s'affiche, saisissez l'un des noms de projet précédemment répertoriés.

4. Si vous êtes invité à sélectionner un compte de facturation, choisissez le compte que vous souhaitez utiliser pour cette checklist.

5. Pour Emplacement, cliquez sur Parcourir, puis définissez l'emplacement comme suit :

   • Si le nom du projet que vous créez se termine par prod, sélectionnez Production > Partagé.
   • Si le nom du projet que vous créez se termine par nonprod, sélectionnez Hors production > Partagé.

6. Cliquez sur Créer.

7. Répétez les étapes 2 à 6 pour chacun des produits recommandés.

Lors de cette tâche, vous allez configurer le contrôle des accès à votre hiérarchie de ressources en ajoutant des stratégies IAM aux ressources. Une stratégie IAM est un ensemble d'instructions spécifiant qui dispose de quel type d'accès. Une stratégie est associée à une ressource et permet de contrôler tous les accès à cette ressource.

Pour définir des autorisations, vous suivez la même procédure de base, mais vous l'appliquez à des ressources situées à différents niveaux dans la hiérarchie (organisation, dossiers et projets). Nous vous recommandons de suivre le principe du moindre privilège et de n'accorder que l'accès minimal nécessaire pour chaque ressource dans chaque niveau. Les rôles que nous recommandons dans les procédures ci-dessous vous aideront à appliquer ce principe du moindre privilège.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Définissez des stratégies IAM au niveau de l'organisation, du dossier et du projet.

Raisons pour lesquelles nous recommandons cette tâche

La définition de stratégies IAM à la hiérarchie de vos ressources vous permet de contrôler de manière évolutive l'accès à vos ressources cloud.

À propos des stratégies IAM

Les stratégies IAM s'appliquent à trois niveaux de la hiérarchie de vos ressources :

1. L'organisation. Les règles que vous définissez au niveau de l'organisation s'appliquent à tous les dossiers et projets au sein de cette organisation.
2. Un dossier. Les règles définies dans un dossier s'appliquent aux projets qu'il contient.
3. Un projet. Les règles définies au niveau du projet ne s'appliquent qu'à ce projet.

Les listes suivantes présentent les comptes principaux et les rôles que vous pouvez leur attribuer au niveau de l'organisation.

Principal	Rôles à accorder
gcp-network-admins@<your-domain>.com	Compute Engine > Administrateur de réseaux Compute. Fournit les autorisations requises pour créer, modifier et supprimer des ressources réseau, à l'exception des règles de pare-feu et des certificats SSL. Compute Engine > Administrateur VPC Compute partagé. Fournit les autorisations requises pour administrer des projets hôtes de VPC partagé. Compute Engine > Administrateur de sécurité Compute. Fournit les autorisations requises pour créer, modifier et supprimer des règles de pare-feu et des certificats SSL. Gestionnaire de ressources > Lecteur de dossier. Fournit les autorisations nécessaires pour afficher les dossiers.
gcp-security-admins@<your-domain>.com	Règles d'administration > Administrateur de règle d'administration. Fournit les autorisations requises pour définir des règles IAM au niveau de l'organisation. Règles d'administration > Lecteur de règles d'administration. Fournit les autorisations requises pour consulter les règles IAM qui s'appliquent au niveau de l'organisation. IAM > Examinateur de sécurité. Fournit les autorisations requises pour afficher toutes les ressources de l'organisation, ainsi que les règles IAM qui s'y appliquent. Rôles > Lecteur des rôles de l'organisation Fournit les autorisations requises pour afficher tous les rôles IAM personnalisés de l'organisation et les projets auxquels ils s'appliquent. Centre de sécurité > Administrateur du centre de sécurité. Fournit un accès administrateur au centre de contrôle de la sécurité. Gestionnaire de ressources > Administrateur IAM de dossier. Fournit les autorisations requises pour définir des règles IAM au niveau des dossiers. Logging > Lecteur des journaux privés. Fournit un accès en lecture seule à toutes les fonctionnalités Cloud Logging, y compris la capacité de lire des journaux privés. Logging > Rédacteur de configuration de journaux. Fournit l'autorisation de créer des métriques basées sur les journaux et d'exporter des récepteurs. Kubernetes Engine > Lecteur Kubernetes Engine Fournit un accès en lecture seule aux ressources Kubernetes Engine. Compute Engine > Lecteur de Compute. Fournit un accès en lecture seule aux ressources Compute Engine. BigQuery > Lecteur de données BigQuery Fournit les autorisations requises pour accéder aux ensembles de données BigQuery.
gcp-devops@<your-domain>.com	Gestionnaire de ressources > Lecteur de dossier. Fournit les autorisations requises pour afficher les dossiers.

Administrer des rôles IAM

1. Assurez-vous d'être connecté à Cloud Console en tant qu'utilisateur du groupe Google gcp-organization-admins créé à la tâche 2.

2. Accédez à la page Gérer les ressources de Cloud Console :

   Accéder à la page Gérer les ressources

3. Sélectionnez votre organisation dans la grille de l'arborescence.

4. Si le panneau d'informations de droite est masqué, cliquez sur Afficher le panneau d'informations en haut à droite.

5. Cochez la case correspondant à l'organisation.

6. Dans le panneau d'informations de l'onglet Autorisations, cliquez sur Ajouter un membre.

7. Dans le champ Nouveaux membres, saisissez le nom d'un membre figurant dans la table. Par exemple, commencez par saisir gcp-network-admins@<your-domain>.com, comme illustré dans la table ci-dessus.

8. Dans la liste déroulante Sélectionner un rôle, sélectionnez le premier rôle répertorié pour ce membre dans la table. Par exemple, pour le premier membre, le premier rôle à sélectionner est Compute Engine > Administrateur de réseaux Compute.

9. Cliquez sur Ajouter un autre rôle, puis ajoutez le rôle suivant pour ce membre.

10. Ajouter le rôle suivant pour ce membre.

11. Lorsque vous avez ajouté tous les rôles requis pour un membre, cliquez sur Enregistrer.

12. Répétez les étapes 2 à 7 pour les autres membres figurant dans la table.

Définir des stratégies IAM au niveau du dossier

Les règles définies au niveau du dossier s'appliquent également aux projets situés dans les dossiers. La procédure est semblable à celle que vous avez suivie pour votre organisation, mais vous sélectionnez un autre niveau dans la hiérarchie.

1. Décochez la case pour la ressource Organisation et les autres ressources sélectionnées.

2. Cochez la case pour le dossier Production.

3. Dans le panneau d'informations de l'onglet Autorisations, cliquez sur Ajouter un membre.

4. Dans le champ Nouveaux membres, saisissez gcp-devops@<your-domain>.com.

5. Reprenez les étapes qui vous ont permis d'ajouter des rôles aux membres de l'organisation et ajoutez les rôles suivants au membre gcp-devops@<your-domain>.com :

   • Logging > Administrateur Logging. Fournit des autorisations complètes permettant d'administrer Cloud Logging.
   • Error Reporting > Administrateur Error Reporting. Fournit des autorisations complètes permettant d'administrer les données de rapports d'erreurs.
   • Service Management > Administrateur de quotas. Fournit un accès permettant d'administrer les quotas de service.
   • Surveillance > Administrateur de Monitoring. Fournit des autorisations complètes permettant d'administrer les données de surveillance.
   • Compute Engine > Administrateur de Compute. Fournit des autorisations complètes permettant d'administrer les ressources Compute Engine.
   • Kubernetes Engine > Administrateur Kubernetes Engine Fournit des autorisations complètes permettant d'administrer les clusters de conteneurs Kubernetes Engine.

6. Lorsque vous n'avez plus de rôle à ajouter, cliquez sur Enregistrer.

7. Décochez la case pour le dossier Production.

8. Cochez la case pour le dossier Non-Production.

9. Ajoutez gcp-developers@<your-domain>.com en tant que nouveau membre.

10. Attribuez les rôles IAM suivants au membre gcp-developers@<your-domain>.com :

    • Compute Engine > Administrateur de Compute. Fournit des autorisations complètes permettant d'administrer les ressources Compute Engine.
    • Kubernetes Engine > Administrateur Kubernetes Engine Fournit des autorisations complètes permettant d'administrer les clusters de conteneurs Kubernetes Engine.

Définir des stratégies IAM au niveau du projet

Les règles que vous définissez au niveau du projet ne s'appliquent qu'aux projets qu'elles concernent. Cela vous permet de configurer des autorisations précises pour les projets individuels.

1. Décochez la case pour les dossiers et autres ressources que vous avez sélectionnés.

2. Cochez les cases pour les projets suivants :

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. Ajoutez gcp-network-admins@<your-domain>.com en tant que membre.

4. Attribuez le rôle suivant au membre gcp-network-admins@<your-domain>.com :

   • Projet > Propriétaire Fournit des autorisations complètes permettant d'administrer toutes les ressources des projets sélectionnés.

5. Cliquez sur Enregistrer.

6. Décochez les cases pour les projets sélectionnés.

7. Cochez les cases pour les projets suivants :

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. Ajoutez gcp-devops@<your-domain>.com en tant que nouveau membre.

9. Attribuez le rôle suivant au membre gcp-devops@<your-domain>.com :

   • Projet > Propriétaire Fournit des autorisations complètes permettant d'administrer toutes les ressources des projets sélectionnés.

10. Cliquez sur Enregistrer.

Dans cette tâche, vous pouvez choisir une option d'assistance.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com créé à la tâche 2.

Actions à effectuer dans cette tâche

Choisissez un forfait d'assistance en fonction des besoins de votre entreprise.

Raisons pour lesquelles nous recommandons cette tâche

Un forfait d'assistance Premium vous offre une assistance commerciale stratégique afin de résoudre rapidement les problèmes avec l'aide d'experts Google.

Choisissez une option d'assistance

Tous les clients Google Cloud bénéficient automatiquement d'une assistance gratuite, qui comprend la documentation sur nos produits, l'assistance de la communauté et l'assistance en cas de problèmes de facturation. Toutefois, nous recommandons aux entreprises clientes de souscrire un forfait d'assistance Premium, qui offre une assistance technique individuelle assurée par des ingénieurs Google. Pour en savoir plus, vous pouvez comparer les forfaits d'assistance.

Activer l'assistance

1. Apprenez-en plus sur les formules d'assistance et choisissez la vôtre. Vous allez configurer la formule d'assistance ultérieurement. Si vous choisissez de conserver les options d'assistance gratuite, vous pouvez passer à la tâche suivante.

2. Assurez-vous d'être connecté à Cloud Console en tant qu'utilisateur du groupe Google gcp-organization-admins créé à la tâche 2.

3. Configurez la formule d'assistance.

   • Pour demander l'assistance Premium, contactez votre conseiller commercial Google. Si vous n'avez pas de conseiller, contactez le service commercial.

   • Pour activer la formule d'assistance Role-based, accédez à la page Activer la formule d'assistance Role-based dans Google Cloud Console, puis suivez les instructions à l'écran.

4. Suivez les instructions fournies dans la section Rôles des utilisateurs de l'assistance pour attribuer les rôles Utilisateur de l'assistance et Lecteur d'organisation à chacun des utilisateurs devant interagir avec l'assistance Google Cloud.

Dans cette tâche, vous allez définir votre configuration de mise en réseau initiale. Généralement, vous devez effectuer les opérations suivantes :

• Concevez, créez et configurez une architecture de cloud privé virtuel.
• Si vous disposez d'une infrastructure sur site ou auprès d'un autre fournisseur cloud, configurez la connectivité entre ce fournisseur et Google Cloud.
• Configurez un chemin d'accès pour le trafic de sortie externe.
• Mettez en œuvre des contrôles de sécurité du réseau, tels que des règles de pare-feu.
• Choisissez l'option de trafic d'entrée de votre choix pour les services hébergés dans le cloud.

Cette tâche décrit un exemple pour l'élément 1, qui vous sert de base pour votre propre architecture de cloud privé virtuel.

Les éléments restants (connectivité externe, configuration de trafic de sortie, mise en œuvre des règles de pare-feu et choix d'une option de sortie) dépendent des besoins de votre entreprise. Pour cette raison, la checklist ne traite pas ces éléments. Nous proposons toutefois des liens comportant des informations supplémentaires à leur sujet.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-network-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Créez une configuration de mise en réseau initiale.

• Créer des réseaux VPC partagés
• Configurer la connectivité entre le fournisseur externe et Google Cloud
• Configurer un chemin d'accès pour le trafic de sortie externe
• Mettre en œuvre des contrôles de sécurité du réseau
• Choisir une option de trafic d'entrée

Raisons pour lesquelles nous recommandons cette tâche

• Le VPC partagé permet à des équipes distinctes de se connecter à un réseau VPC commun centralisé à partir de plusieurs produits différents.

• La configuration de la connectivité hybride permet de migrer en toute simplicité des applications vers Google Cloud, tout en continuant à se connecter aux dépendances de service.

• Concevoir des chemins d'entrée et de sortie sécurisés dès le départ permet à vos équipes de travailler de manière efficace dans Google Cloud sans compromettre la sécurité.

Architecture de cloud privé virtuel

Google propose le cloud privé virtuel (VPC), qui fournit des fonctionnalités de mise en réseau aux ressources Google Cloud, telles que les instances de machines virtuelles Compute Engine, les conteneurs GKE et l'environnement flexible App Engine. Le schéma suivant décrit une architecture multirégionale de base :

Cette architecture comprend deux projets hôtes de VPC partagé. L'un est associé à votre environnement hors production, tandis que l'autre est destiné à votre environnement de production final (actuellement nommé "production-draft"). Le cloud privé virtuel partagé permet aux organisations de connecter des ressources provenant de différents projets à un réseau commun, afin que ces ressources puissent communiquer entre elles de manière plus sécurisée et plus efficace à l'aide des adresses IP internes de ce réseau.

Un projet hôte de VPC partagé contient un ou plusieurs réseaux VPC partagés. Dans cette architecture, chaque réseau VPC partagé (production-draft et hors production) dispose de sous-réseaux publics et privés dans deux régions (ici, us-east1 et us-west1) :

• Le sous-réseau public peut être utilisé pour les instances Web afin de fournir une connectivité externe.
• Vous pouvez utiliser le sous-réseau privé pour les instances exclusivement destinées à un usage interne, sans avoir besoin de leur allouer des adresses IP publiques.

L'architecture décrite dans le schéma précédent utilise des exemples de noms pour plusieurs ressources. Pour votre configuration, vous pouvez modifier une partie du nom, comme votre entreprise (example dans les exemples de noms), ainsi que la région que vous utilisez (us-east1 et us-west1 dans les exemples).

Configurer la mise en réseau

Bien que les configurations de réseau varient en fonction de votre charge de travail, les activités suivantes sont courantes :

1. Créez des réseaux VPC (Virtual Private Cloud) partagés. Un VPC partagé permet à une organisation de connecter des ressources provenant de différents projets à un réseau VPC commun. Pour créer un réseau VPC partagé, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

2. Configurez la connectivité entre le fournisseur externe et Google Cloud. Si vous disposez d'une infrastructure sur site ou auprès d'un autre fournisseur cloud, vous pouvez configurer le service Cloud VPN, qui vous aide à connecter de manière sécurisée votre réseau de pairs à votre réseau VPC Google Cloud via une connexion VPN IPSec. Cloud VPN convient parfaitement aux vitesses atteignant jusqu'à 3 Gbit/s. Si vous souhaitez bénéficier d'une bande passante plus élevée pour connecter votre système sur site à Google Cloud, consultez les pages sur l'interconnexion partenaire et l'interconnexion dédiée. Pour créer une connexion VPN, suivez les instructions de la section Créer une passerelle et un tunnel pour les réseaux VPC partagés production-draft et hors production que vous avez créés lors de l'étape précédente.

3. Configurez un chemin d'accès pour le trafic de sortie externe. Vous pouvez utiliser Cloud NAT pour permettre à vos VM de se connecter à Internet sans adresse IP externe. Cloud NAT est une ressource régionale. Vous pouvez la configurer de sorte qu'elle autorise le trafic provenant de toutes les plages d'adresses IP primaires et secondaires ou de tous les sous-réseaux d'une région, ou vous pouvez la configurer de sorte qu'elle ne s'applique qu'à certaines de ces plages. Afin de configurer un chemin d'accès pour le trafic de sortie externe, suivez les instructions de la section Créer une passerelle NAT pour toutes les régions des réseaux VPC partagés créés à l'étape précédente pour les réseaux production-draft et hors production.

4. Mettez en œuvre des contrôles de sécurité du réseau. Les règles de pare-feu permettent d'autoriser ou de refuser le trafic depuis et vers vos instances de machines virtuelles (VM), en fonction d'une configuration spécifiée. Suivez les instructions décrites sur la page Utiliser des règles de pare-feu afin de configurer ces contrôles pour les réseaux VPC partagés production-draft et hors production que vous avez créés lors de l'étape précédente.

5. Choisissez une option de trafic d'entrée. Cloud Load Balancing vous permet de contrôler la répartition des ressources de calcul dans plusieurs régions. L'équilibrage de charge vous aide à répondre aux exigences de disponibilité en termes de trafic externe entrant et de trafic au sein de votre réseau VPC. Au moment de la planification de l'architecture de votre application sur Google Cloud, consultez la page Choisir un équilibreur de charge pour déterminer les types d'équilibreurs de charge adaptés à votre utilisation.

Cette tâche vous permet de configurer les fonctionnalités de journalisation et de surveillance de base à l'aide de Cloud Logging et Cloud Monitoring.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-devops@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Configurez les fonctionnalités de journalisation et de surveillance de base à l'aide de Cloud Logging et de Cloud Monitoring.

Raisons pour lesquelles nous recommandons cette tâche

Une journalisation et une surveillance complètes sont essentielles pour la maintenance de l'observabilité dans votre environnement cloud. Bien configurer la conservation des journaux dès le départ vous permet de créer une piste d'audit et de savoir qu'elle sera conservée. La surveillance centralisée offre à votre équipe un tableau de bord centralisé afin de visualiser vos environnements.

Configurer la surveillance

Cloud Monitoring collecte des métriques, des événements et des métadonnées provenant de services Google Cloud, de vérifications du temps d'activité, de l'instrumentation d'applications et de divers composants d'application courants.

Grâce à Cloud Logging, vous pouvez stocker, rechercher, analyser et surveiller les données et les événements des journaux à partir de Google Cloud et d'Amazon Web Services (AWS), et recevoir des alertes le cas échéant. Ce service vous permet également d'ingérer des données de journaux personnalisées quelle que soit leur source, ainsi que d'exporter des journaux vers des récepteurs de données externes.

Configurer la surveillance

Cloud Monitoring collecte des métriques, des événements et des métadonnées provenant de services Google Cloud, de vérifications du temps d'activité, de l'instrumentation d'applications et de divers composants d'application courants.

1. Assurez-vous d'être connecté à Cloud Console en tant qu'utilisateur du groupe gcp-devops créé à la tâche 2.

2. Créez un espace de travail pour Stackdriver Monitoring en utilisant un projet hôte. Le premier projet Google Cloud que vous placez sous la surveillance d'un espace de travail est le projet hôte. Veillez à choisir un projet approprié pour remplir ce rôle. Lorsque vous êtes invité à choisir un projet, sélectionnez le projet de surveillance hors production (example-monitoring-nonprod) que vous avez créé lors de la tâche 5.

3. Ajoutez les autres projets que vous souhaitez surveiller depuis cet espace de travail. Par exemple, vous pouvez ajouter tous les autres projets hors production.

4. Répétez cette procédure pour vos projets de production. Définissez example-monitoring-prod en tant que projet d'espace de travail, puis ajoutez les projets de production que vous souhaitez surveiller.

Configurer la journalisation

Grâce à Cloud Logging, vous pouvez stocker, rechercher, analyser et surveiller les données et les événements des journaux à partir de Google Cloud et d'Amazon Web Services (AWS), et recevoir des alertes le cas échéant. Ce service vous permet également d'ingérer des données de journaux personnalisées quelle que soit leur source, ainsi que d'exporter des journaux vers des récepteurs de données externes.

1. Assurez-vous d'être connecté à Cloud Console en tant qu'utilisateur du groupe gcp-devops créé à la tâche 2.

2. Activez l'exportation de journaux pour BigQuery en utilisant les valeurs suivantes :

   • Sélectionnez le projet example-logging-nonprod.
   • Créez un ensemble de données BigQuery. Dans le champ ID de l'ensemble de données, saisissez un nom tel que example_logging_export_nonprod.
   • Après avoir nommé l'ensemble de données, cliquez sur Créer l'ensemble de données.

3. Répétez l'étape précédente pour le projet example-logging-prod, mais définissez l'ID de l'ensemble de données sur example_logging_export_prod.

4. Consultez les durées de conservation des journaux pour savoir si elles répondent à vos exigences de conformité. Si ce n'est pas le cas, configurez l'exportation des journaux vers Cloud Storage, ce qui peut s'avérer utile pour la conservation à long terme.

Dans cette tâche, vous allez configurer des produits Google Cloud afin de protéger votre organisation. Google Cloud propose de nombreuses solutions de sécurité.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

• Activez le tableau de bord Security Command Center
• Configurez une règle d'administration.

Raisons pour lesquelles nous recommandons cette tâche

Nous vous recommandons de configurer les deux produits suivants :

• Security Command Center Cette plate-forme complète de gestion de la sécurité et des risques liés aux données vous permet de surveiller vos ressources cloud, d'analyser les systèmes de stockage pour rechercher les données sensibles, de détecter les failles Web courantes et d'examiner les droits d'accès aux ressources critiques.

• Service de règles d'administration Grâce à ce service, vous disposez d'un contrôle centralisé et automatisé des ressources cloud de votre organisation.

Configurer les produits

1. Assurez-vous d'être connecté à Cloud Console en tant qu'utilisateur du groupe gcp-organization-admins créé à la tâche 2.

2. Activez le tableau de bord Security Command Center.

3. Pour configurer une règle d'administration, suivez la procédure décrite dans la section Personnaliser les règles pour les contraintes booléennes et indiquez les informations suivantes :

   1. Définissez la contrainte Passer la création du réseau par défaut en appliquant les modifications suivantes :
      • Lorsque vous êtes invité à sélectionner un projet, un dossier ou une organisation, choisissez votre organisation.
      • Lorsque vous êtes invité à choisir une contrainte dans la liste figurant sur la page Règles de l'organisation, sélectionnez Passer la création du réseau par défaut.
      • Lorsque vous êtes invité à choisir une option d'application, sélectionnez Activer.
   2. Configurez la contrainte de partage restreint de domaine.
   3. Désactivez l'accès aux adresses IP externes pour les instances de VM.