Lorsque vous développez vos applications et charges de travail sur Google Cloud, vous créez les types de ressources suivants :
- Les ressources de conteneur vous aident à organiser et à contrôler l'accès. Ces ressources incluent des organisations, des dossiers et des projets.
- Les ressources de service sont des composants fondamentaux qui constituent les produits et services Google Cloud. Ces ressources incluent les machines virtuelles (VM) Compute Engine et les clusters Google Kubernetes Engine.
Les ressources de conteneur vous permettent d'organiser les ressources de service dans une hiérarchie. Cette structure vous aide à établir la propriété et à contrôler l'accès.
Organiser et gérer de manière hiérarchique
Pour isoler les ressources les unes des autres et limiter l'accès aux utilisateurs, vous pouvez regrouper et gérer les ressources comme une seule unité. Pour ce faire, utilisez la structure suivante, appelée hiérarchie des ressources :
- Organisation : représente votre entreprise et sert de racine à votre hiérarchie de ressources.
- Dossiers : mécanisme de regroupement facultatif que vous pouvez utiliser pour isoler des groupes de projets. Par exemple, vous pouvez créer des dossiers pour des entités juridiques, des services ou des équipes.
- Projets : entité organisatrice de base contenant vos ressources de service.
Pour obtenir une présentation détaillée de la hiérarchie des ressources, consultez la section Hiérarchie des ressources.
Pour savoir comment gérer les accès à l'aide de la hiérarchie des ressources, consultez la page Utiliser la hiérarchie des ressources pour le contrôle des accès.
Organisation : créez la racine de votre hiérarchie
Une organisation est le nœud racine de la hiérarchie, sous lequel vous créez toutes les autres ressources. Les règles d'accès que vous appliquez à votre organisation s'appliquent à toutes les autres ressources. Cela signifie que vous pouvez appliquer un contrôle des accès au niveau de l'organisation au lieu de dupliquer et de gérer le même contrôle dans tous les projets.
Lorsque vous créez une ressource d'organisation, les projets sous-jacents appartiennent à l'organisation, et non aux utilisateurs qui créent des projets. Cela signifie que les projets et leurs ressources sous-jacentes peuvent continuer d'exister, même si un utilisateur est supprimé.
Dossiers : pour isoler des groupes de projets
Vous pouvez utiliser des dossiers pour créer des limites d'isolation entre les projets. Par exemple, vous pouvez avoir des collections de projets distinctes pour chaque service ou équipe. Les dossiers peuvent contenir des projets et des sous-dossiers. Vous pouvez appliquer des contrôles d'accès pour vous assurer que les utilisateurs d'une équipe ne peuvent pas accéder aux ressources des dossiers attribués à une autre équipe.
Projets : isoler les ressources
Les ressources Google Cloud doivent appartenir à un projet, qui est une entité organisatrice qui vous aide à isoler et à contrôler l'accès aux ressources. Par exemple, vous pouvez créer des projets distincts pour les environnements de développement et de production.
Un projet contient des paramètres, des autorisations et d'autres métadonnées qui décrivent vos applications. Les ressources d'un même projet peuvent fonctionner ensemble en communiquant via un réseau interne, conformément aux règles applicables aux régions et aux zones. Un projet ne peut accéder aux ressources d'un autre projet que si vous utilisez un VPC partagé ou un appairage de réseau VPC.
Nommer et référencer vos projets
Les identifiants vous permettent de référencer vos projets dans les commandes et les appels d'API. Chaque projet Google Cloud comporte les identifiants suivants :
- Nom du projet : un nom que vous indiquez.
- ID de projet : identifiant que vous pouvez fournir ou que Google Cloud peut vous fournir. Chaque ID de projet est unique sur Google Cloud. Une fois qu'un projet est supprimé, son ID ne peut plus jamais être utilisé.
- Numéro du projet : fourni par Google Cloud.
Pour en savoir plus, consultez la section Créer et gérer des projets.