Hiérarchie des ressources

Cette page décrit la hiérarchie des ressources Google Cloud Platform (GCP) et les ressources pouvant être gérées à l'aide de Resource Manager.

La hiérarchie des ressources GCP à deux objectifs :

  • Fournir une hiérarchie de propriété, qui lie le cycle de vie d'une ressource à son parent immédiat dans la hiérarchie.
  • Fournir des points de liaison et un héritage pour les stratégies de contrôle des accès et les règles d'administration.

D'un point de vue métaphorique, la hiérarchie des ressources GCP ressemble au système de fichiers des systèmes d'exploitation traditionnels : il s'agit d'un moyen d'organiser et de gérer des entités de manière hiérarchique. Chaque ressource a précisément un seul parent. Cette organisation hiérarchique des ressources vous permet de définir des stratégies de contrôle des accès ainsi que des paramètres de configuration sur une ressource parente. Ces stratégies et ces paramètres Cloud Identity and Access Management (Cloud IAM) sont hérités par les ressources enfants.

Informations détaillées sur la hiérarchie des ressources GCP

Au niveau le plus bas de la hiérarchie, les ressources sont les composants fondamentaux sur lesquels reposent tous les services GCP. Les machines virtuelles (VM) Compute Engine, les sujets Cloud Pub/Sub, les buckets Cloud Storage et les instances App Engine sont des exemples de ressources. Toutes ces ressources de niveau inférieur ne peuvent être apparentées qu'à des projets, qui représentent le premier mécanisme de regroupement de la hiérarchie des ressources GCP.

Les clients G Suite et Cloud Identity ont accès à des fonctionnalités supplémentaires de la hiérarchie des ressources GCP. Celles-ci offrent des avantages comme la visibilité et le contrôle centralisés, ainsi que d'autres mécanismes de regroupement, tels que les dossiers. Nous avons lancé l'outil de gestion Cloud Identity. Pour en savoir plus sur l'utilisation de Cloud Identity, consultez la page Effectuer la migration vers Cloud Identity.

Les ressources GCP sont organisées de manière hiérarchique. En partant du bas de la hiérarchie, les projets constituent le premier niveau et contiennent d'autres ressources. Toutes les ressources, sauf les organisations, disposent d'un seul parent. L'organisation est au sommet de la hiérarchie et n'a pas de parent.

La ressource "Organisation" est le nœud racine de la hiérarchie des ressources GCP. Toutes les ressources appartenant à une organisation sont regroupées dans le nœud "Organisation". Cela permet de centraliser la visibilité et le contrôle sur l'ensemble des ressources appartenant à une organisation.

Les projets ne sont pas l'unique mécanisme de regroupement des ressources, il est également possible de les intégrer à des dossiers (et d'intégrer les projets dans des dossiers). Vous devez obligatoirement disposer d'une ressource "Organisation" pour pouvoir utiliser les dossiers. Les dossiers et les projets sont tous mappés sous la ressource "Organisation".

La hiérarchie des ressources GCP, en particulier dans sa forme la plus complète, comprenant des dossiers et une ressource "Organisation", permet aux entreprises de mapper leur organisation sur GCP et fournit des points d'attache logiques pour les stratégies de gestion des accès (Cloud IAM) et les règles d'administration. Les stratégies Cloud IAM et les règles d'administration sont héritées à travers la hiérarchie. La stratégie effective au niveau de chaque nœud de la hiérarchie est une combinaison des règles et stratégies directement appliquées au nœud et de celles héritées de ses ancêtres.

Le diagramme ci-dessous présente un exemple de hiérarchie des ressources GCP sous forme complète :

Hiérarchie des ressources

La ressource "Organisation"

La ressource Organisation représente une organisation (comme une entreprise) et constitue le nœud racine de la hiérarchie des ressources GCP. La ressource "Organisation" est l'ancêtre hiérarchique des ressources et dossiers du projet. Les stratégies de contrôle des accès Cloud IAM associées à la ressource "Organisation" s'appliquent à l'ensemble de la hiérarchie sur toutes les ressources de l'organisation.

Les utilisateurs GCP n'ont pas besoin de disposer d'une ressource "Organisation", mais certaines fonctionnalités de Resource Manager ne seront pas utilisables sans une telle ressource. La ressource "Organisation" est étroitement liée à un compte G Suite ou Cloud Identity. Lorsqu'un utilisateur disposant d'un compte G Suite ou d'un compte Cloud Identity crée un projet GCP, une ressource "Organisation" lui est automatiquement affectée.

Une seule organisation peut être configurée pour un compte G Suite ou Cloud Identity. Dès lors qu'une ressource "Organisation" est créée pour un domaine, tous les projets GCP créés par les membres du domaine du compte appartiennent par défaut à la ressource "Organisation".

Pour simplifier les choses, nous utilisons le terme G Suite pour désigner à la fois les utilisateurs de G Suite et de Cloud Identity.

Le compte G Suite ou Cloud Identity représente une entreprise et est obligatoire pour pouvoir accéder à la ressource "Organisation". Dans le contexte de GCP, il fournit des fonctions de gestion des identités, un mécanisme de récupération, la propriété et la gestion du cycle de vie. L'image ci-dessous montre le lien entre le compte G Suite, Cloud Identity et la hiérarchie des ressources GCP.

Organisation G Suite


Le super-administrateur G Suite est la personne responsable de la validation de la propriété du domaine. Il est également la personne à contacter lorsqu'une récupération est nécessaire. Pour cette raison, le super-administrateur G Suite a la possibilité d'attribuer des rôles Cloud IAM par défaut. Le principal devoir du super-administrateur G Suite dans le cadre de GCP est d'attribuer le rôle Cloud IAM d'administrateur de l'organisation aux utilisateurs appropriés pour le domaine concerné. Cette opération permet de dissocier les responsabilités d'administration de G Suite et de GCP, ce que les utilisateurs recherchent généralement.

Avantages de la ressource "Organisation"

Avec une ressource "Organisation", les projets appartiennent à votre organisation et non à l'employé qui a créé le projet. En d'autres termes, les projets ne sont plus supprimés lorsqu'un employé quitte l'entreprise. Les projets suivent donc le cycle de vie de l'organisation sur Google Cloud Platform.

De plus, les administrateurs d'organisation disposent d'un contrôle central de toutes les ressources. Ils peuvent consulter et gérer tous les projets de votre entreprise. Cela signifie qu'il ne peut plus y avoir de projets fantômes ou d'administrateurs non autorisés.

En outre, vous pouvez attribuer des rôles au niveau de l'organisation, lesquels s'appliquent à tous les projets et dossiers de la ressource "Organisation". Par exemple, vous pouvez attribuer le rôle d'administrateur réseau aux membres de votre équipe de gestion du réseau au niveau de l'organisation plutôt qu'au niveau des projets. Ainsi, ils pourront gérer tous les réseaux de tous les projets de votre entreprise.

Une ressource "Organisation" créée à l'aide de l'API Resource Manager inclut les éléments suivants :

  • Un ID d'organisation, qui est l'identifiant unique d'une organisation
  • Un nom complet généré à partir du nom de domaine principal dans G Suite ou Cloud Identity
  • L'heure de création de l'organisation
  • L'heure de la dernière modification apportée à l'organisation
  • Le propriétaire de l'organisation (le propriétaire est spécifié lors de la création de la ressource "Organisation" et ne peut plus être modifié une fois défini), qui correspond à l'identifiant client G Suite spécifié dans l'API Directory

L'extrait de code suivant montre la structure d'une ressource "Organisation" :

{
  "displayName": "myorganization",
  "organizationId":"34739118321",
  "createTime": "2016-01-07T21:59:43.314Z"
  "owner": {
    "directoryCustomerId": "C012BA234"
   }
}

La stratégie Cloud IAM initiale d'une ressource "Organisation" nouvellement créée accorde les rôles de créateur de projet et de créateur de compte de facturation à l'ensemble du domaine G Suite. Ainsi, les utilisateurs peuvent continuer à créer des projets et des comptes de facturation comme ils le faisaient avant la création de l'organisation. Aucune autre ressource n'est créée en même temps qu'une ressource "Organisation".

La ressource "Dossier"

Les ressources "Dossier" fournissent un mécanisme de regroupement et des limites supplémentaires permettant d'isoler les projets. Elles peuvent être considérées comme des sous-organisations au sein de l'organisation. Les dossiers peuvent être utilisés pour modéliser différentes entités juridiques, services et équipes au sein d'une entreprise. Par exemple, un premier niveau de dossiers pourrait être utilisé pour représenter les principaux services de votre organisation. Comme les dossiers peuvent contenir des projets et d'autres dossiers, chaque dossier pourrait inclure d'autres sous-dossiers, pour représenter différentes équipes. En outre, chaque dossier d'équipe pourrait contenir des sous-dossiers supplémentaires pour représenter différentes applications. Pour en savoir plus sur l'utilisation des dossiers, consultez la page Créer et gérer des dossiers.

Si des ressources "Dossier" existent dans votre organisation et que vous disposez des autorisations appropriées, vous pouvez les consulter depuis la console Google Cloud Platform. Pour obtenir des instructions plus détaillées, consultez la section Afficher ou répertorier des dossiers et des projets.

Les dossiers permettent de déléguer des droits d'administration. Par exemple, chaque responsable de service peut obtenir la pleine propriété de toutes les ressources GCP appartenant à son service. De même, l'accès aux ressources peut être limité par dossier, de sorte que les utilisateurs d'un service ne puissent consulter et créer des ressources Cloud que dans le dossier concerné.

L'extrait de code suivant montre la structure d'un dossier :

{
 "name" : "folders/my-folder",
 "parent" : "organizations/my-organization",
 "displayName" : "Engineering",
 "lifecycleState" : "ACTIVE",
 "createTime": "2016-01-07T21:59:43.314Z"
}

De la même façon que pour les organisations et les projets, les dossiers agissent comme un point d'héritage pour les stratégies Cloud IAM et les règles d'administration. Les rôles Cloud IAM accordés sur un dossier s'appliquent automatiquement à tous les projets et dossiers inclus dans ce dossier.

La ressource "Projet"

La ressource "Projet" constitue l'entité d'organisation de base. Les organisations et les dossiers peuvent contenir plusieurs projets. La sélection d'un projet est obligatoire pour l'utilisation de Google Cloud Platform et constitue la base pour la création, l'activation et l'utilisation de tous les services GCP, la gestion des API, l'activation de la facturation, l'ajout et la suppression de collaborateurs et la gestion des autorisations.

Tous les projets incluent les éléments suivants :

  • Deux identifiants :
    1. L'ID de projet, qui est un identifiant unique pour le projet
    2. Le numéro de projet, qui est attribué automatiquement lorsque vous créez le projet (cet identifiant est en lecture seule)
  • Un nom à afficher modifiable
  • L'état du cycle de vie du projet (par exemple, "ACTIVE" [actif] ou "DELETE_REQUESTED" [suppression_demandée])
  • Un ensemble de libellés, qui peuvent être utilisés pour filtrer les projets
  • L'heure à laquelle le projet a été créé

L'extrait de code suivant montre la structure d'un projet :

{
  "name": "myproject",
  "projectId": "my-project-123",
  "labels":
   {
     "my-label": "prod"
   },
   "projectNumber": "464036093014",
   "lifecycleState": "ACTIVE",
   "createTime": "2016-01-07T21:59:43.314Z"
}

Pour interagir avec la plupart des ressources GCP, vous devez fournir les informations d'identification du projet pour chaque requête. Vous pouvez identifier un projet de deux manières : un ID de projet ou un numéro de projet (projectId et projectNumber dans l'extrait de code).

L'ID de projet est le nom personnalisé que vous avez choisi lors de la création du projet. Si vous activez une API nécessitant un projet, vous serez invité à créer un projet ou à sélectionner un projet à l'aide de son ID de projet. (Notez que la chaîne name, qui est affichée dans l'interface utilisateur, est différente de l'ID de projet.)

Un numéro de projet est généré automatiquement par GCP. L'ID et le numéro de projet se trouvent sur le tableau de bord du projet, dans la console Google Cloud Platform. Pour en savoir plus sur l'obtention des identifiants de projet et sur les autres tâches de gestion relatives aux projets, consultez la page Créer et gérer des projets.

La stratégie Cloud IAM initiale de la ressource "Projet" nouvellement créée accorde le rôle de propriétaire au créateur du projet.

Héritage de stratégie IAM Cloud

Google Cloud Platform propose Cloud IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud Platform et empêche tout accès non souhaité à d'autres ressources. Grâce à Cloud IAM, vous pouvez contrôler qui (utilisateurs) dispose de quelles autorisations d'accès (rôles) à quelles ressources en définissant des stratégies Cloud IAM sur les ressources.

Vous pouvez définir une stratégie Cloud IAM au niveau de l'organisation, au niveau d'un dossier, au niveau d'un projet ou (dans certains cas) au niveau d'une ressource. Les ressources héritent des stratégies du nœud parent. Si vous définissez une stratégie au niveau d'une organisation, elle s'applique à tous ses dossiers et projets enfants. Si vous définissez une stratégie au niveau d'un projet, elle s'applique à toutes ses ressources enfants.

La stratégie effective associée à une ressource combine la stratégie définie directement sur cette ressource à celle héritée de ses ancêtres. Cet héritage est transitif. En d'autres termes, les ressources héritent des stratégies du projet, lequel hérite des stratégies de l'organisation. Par conséquent, les stratégies au niveau d'une organisation s'appliquent également au niveau des ressources.

Hiérarchie des ressources


Par exemple, dans le diagramme de hiérarchie des ressources ci-dessus, si vous définissez une stratégie pour le dossier "Dept Y" qui permet d'accorder le rôle d'éditeur de projet à bob@exemple.com, Bob aura le rôle d'éditeur pour les projets "Dev GCP", "Test GCP," et "Production". À l'inverse, si vous attribuez à alice@exemple.com le rôle d'administratrice d'instance pour le projet "Test GCP", elle ne pourra gérer que les instances de Compute Engine dans ce projet.

La hiérarchie des stratégies Cloud IAM suit le même chemin que la hiérarchie des ressources GCP. Si vous modifiez la hiérarchie des ressources, la hiérarchie des stratégies est également modifiée. Par exemple, si vous déplacez un projet au sein d'une entreprise, la stratégie Cloud IAM du projet est mise à jour pour hériter de la stratégie Cloud IAM de l'entreprise. De même, si vous déplacez un projet d'un dossier vers un autre, cela modifiera les autorisations héritées. Les autorisations qui ont été héritées par le projet à partir du parent d'origine seront perdues une fois que le projet aura été déplacé vers un nouveau dossier. Les autorisations définies dans le dossier de destination seront héritées par le projet au moment de son déplacement.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation relative à Resource Manager