Hiérarchie des ressources

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page décrit la hiérarchie des ressources Google Cloud et les ressources pouvant être gérées à l'aide de Resource Manager.

La hiérarchie des ressources Google Cloud à deux objectifs :

  • Fournir une hiérarchie de propriété, qui lie le cycle de vie d'une ressource à son parent immédiat dans la hiérarchie
  • Fournir des points de liaison et un héritage pour les stratégies de contrôle des accès et les règles d'administration

D'un point de vue métaphorique, la hiérarchie des ressources Google Cloud ressemble au système de fichiers des systèmes d'exploitation traditionnels : il s'agit d'un moyen d'organiser et de gérer des entités de manière hiérarchique. En général, chaque ressource a exactement un parent. Cette organisation hiérarchique des ressources vous permet de définir des stratégies de contrôle d'accès et des paramètres de configuration sur une ressource parente, tandis que les stratégies et les paramètres IAM (Identity and Access Management) sont hérités par les ressources enfants.

La hiérarchie des ressources Google Cloud en détail

Les ressources Google Cloud sont organisées de façon hiérarchique. Toutes les ressources, à l'exception de la ressource la plus élevée d'une hiérarchie, ont exactement un parent. Au niveau le plus bas, les ressources de service sont les composants fondamentaux qui composent tous les services Google Cloud. Les ressources de service incluent les machines virtuelles (VM) Compute Engine, les sujets Pub/Sub, les buckets Cloud Storage et les instances App Engine. Toutes ces ressources de niveau inférieur ont des ressources de projet comme parents, ce qui représente le premier mécanisme de regroupement de la hiérarchie des ressources Google Cloud.

Tous les utilisateurs (y compris les utilisateurs de la version d'essai gratuite ou de la version gratuite) et les clients Google Workspace et Cloud Identity peuvent créer des ressources de projet. Les utilisateurs du programme gratuit Google Cloud ne peuvent créer des ressources de service et des ressources de service qu'au sein de projets. Les ressources du projet peuvent se trouver en haut de leur hiérarchie, mais uniquement si elles sont créées par un utilisateur de la version d'essai gratuite ou de la version gratuite. Les clients Google Workspace et Cloud Identity ont accès à des fonctionnalités supplémentaires de la hiérarchie des ressources Google Cloud, comme les ressources d'organisation et de dossier. Pour en savoir plus, consultez la présentation de Cloud Identity. Les ressources de projet situées en haut de leur hiérarchie n'ont pas de ressources parentes, mais elles peuvent être migrées vers une ressource d'organisation après sa création pour le domaine. Pour en savoir plus sur la migration des ressources d'un projet, consultez la page Migrer des ressources de projet.

Les clients Google Workspace et Cloud Identity peuvent créer des ressources d'organisation. Chaque compte Google Workspace ou Cloud Identity est associé à une ressource d'organisation. Lorsqu'une ressource "Organisation" existe, elle se trouve en haut de la hiérarchie des ressources Google Cloud. Toutes les ressources appartenant à une organisation sont regroupées sous la ressource "Organisation". Vous bénéficiez ainsi d'une visibilité et d'un contrôle centralisés sur chaque ressource appartenant à une organisation.

Les ressources de dossier constituent un mécanisme de regroupement supplémentaire facultatif entre les ressources d'organisation et les ressources du projet. Une ressource d'organisation est requise pour utiliser les dossiers. Les ressources de dossier et les ressources de leur projet enfant sont mappées sous la ressource d'organisation.

La hiérarchie des ressources Google Cloud, en particulier sous sa forme la plus complète, qui inclut une ressource d'organisation et des ressources de dossier, permet aux entreprises de mapper leur organisation sur Google Cloud et fournit des points de rattachement logiques pour les stratégies de gestion des accès (IAM) et les règles d'administration. Les stratégies IAM et les règles d'administration sont héritées via la hiérarchie. La stratégie applicable à chaque ressource de la hiérarchie est le résultat des stratégies appliquées directement à la ressource et des stratégies héritées de ses ancêtres.

Le schéma ci-dessous présente un exemple de hiérarchie des ressources Google Cloud sous sa forme complète:

La ressource "Organisation"

La ressource organization représente une organisation (par exemple, une entreprise) et, si elle est présente, constitue le nœud racine de la hiérarchie des ressources Google Cloud. La ressource d'organisation est l'ancêtre hiérarchique des ressources de dossier et de projet. Les stratégies de contrôle des accès IAM appliquées à la ressource "Organisation" s'appliquent à l'ensemble de la hiérarchie sur toutes les ressources de l'organisation.

Les utilisateurs de Google Cloud ne sont pas tenus de disposer d'une ressource d'organisation, mais certaines fonctionnalités de Resource Manager ne pourront pas être utilisées sans une ressource. La ressource d'organisation est étroitement liée à un compte Google Workspace ou Cloud Identity. Lorsqu'un utilisateur disposant d'un compte Google Workspace ou Cloud Identity crée une ressource de projet Google Cloud, une ressource d'organisation est automatiquement provisionnée pour elle.

Une ressource d'organisation ne peut être provisionnée qu'avec un compte Google Workspace ou Cloud Identity. Une fois qu'une ressource d'organisation est créée pour un domaine, toutes les nouvelles ressources de projet Google Cloud créées par les membres du domaine du compte appartiennent par défaut à l'organisation. Lorsqu'un utilisateur géré crée une ressource de projet, elle doit figurer dans une ressource d'organisation. Si un utilisateur spécifie une ressource d'organisation et qu'il dispose des autorisations appropriées, le projet est attribué à cette organisation. Sinon, il sera défini par défaut sur la ressource d'organisation à laquelle l'utilisateur est associé. Il est impossible pour les comptes associés à une ressource d'organisation de créer des ressources de projet qui ne sont pas associées à une ressource d'organisation.

Pour simplifier les choses, nous utilisons le terme Google Workspace pour désigner à la fois les utilisateurs de Google Workspace et de Cloud Identity.

Le compte Google Workspace ou Cloud Identity représente une entreprise. Il est nécessaire pour pouvoir accéder à la ressource d'organisation. Dans le contexte de Google Cloud, ce service fournit des fonctionnalités de gestion des identités, des mécanismes de récupération, de propriété et de gestion du cycle de vie. L'image ci-dessous montre le lien entre le compte Google Workspace, Cloud Identity et la hiérarchie des ressources Google Cloud.


Le super-administrateur Google Workspace est la personne responsable de la validation de la propriété du domaine. Il est également la personne à contacter lorsqu'une récupération est nécessaire. Pour cette raison, le super-administrateur Google Workspace a la possibilité d'attribuer des rôles IAM par défaut. Le super-administrateur Google Workspace doit principalement attribuer le rôle IAM d'administrateur de l'organisation aux utilisateurs appropriés pour son domaine. Cela crée la séparation entre les responsabilités d'administration Google Workspace et Google Cloud que les utilisateurs recherchent généralement.

Avantages de la ressource "Organisation"

Avec une ressource d'organisation, les ressources du projet appartiennent à votre organisation, et non à l'employé qui a créé le projet. Cela signifie que les ressources du projet ne sont plus supprimées lorsqu'un employé quitte l'entreprise. Au lieu de cela, elles suivent le cycle de vie des ressources de l'organisation sur Google Cloud.

De plus, les administrateurs de l'organisation disposent d'un contrôle central sur toutes les ressources. Ils peuvent afficher et gérer toutes les ressources du projet de votre entreprise. Ainsi, il ne peut plus s'agir de projets parallèles ou d'administrateurs malveillants.

Vous pouvez également attribuer des rôles au niveau de l'organisation, qui sont hérités par toutes les ressources de projet et de dossier sous la ressource d'organisation. Par exemple, vous pouvez attribuer le rôle d'administrateur réseau à l'équipe réseau au niveau de l'organisation, afin de lui permettre de gérer tous les réseaux de toutes les ressources de projet de votre entreprise.

Une ressource d'organisation exposée par l'API Resource Manager comprend les éléments suivants:

  • Un ID de ressource d'organisation, qui est un identifiant unique pour une organisation.
  • Un nom à afficher généré à partir du nom de domaine principal dans Google Workspace ou Cloud Identity
  • Heure de création de la ressource d'organisation.
  • Heure de la dernière modification de la ressource d'organisation.
  • Propriétaire de la ressource d'organisation. Le propriétaire est spécifié lors de la création de la ressource d'organisation. et ne peut plus être modifié une fois défini), Il s'agit du numéro client Google Workspace spécifié dans l'API Directory.

L'extrait de code suivant montre la structure d'une ressource d'organisation:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

La stratégie IAM initiale d'une ressource d'organisation que vous venez de créer attribue les rôles Créateur de projet et Créateur de compte de facturation à l'ensemble du domaine Google Workspace. Les utilisateurs peuvent donc continuer à créer des ressources de projet et des comptes de facturation comme ils le faisaient avant l'existence de la ressource d'organisation. Aucune autre ressource n'est créée en même temps qu'une ressource d'organisation.

Ressource du dossier

Les ressources de dossier fournissent éventuellement un mécanisme de regroupement et des limites supplémentaires permettant d'isoler les projets. Elles peuvent être considérées comme des sous-organisations dans la ressource d'organisation. Les ressources de dossier peuvent être utilisées pour modéliser différentes entités juridiques, services et équipes au sein d'une entreprise. Par exemple, un premier niveau de ressources peut être utilisé pour représenter les principaux services de votre organisation. Les ressources de dossier peuvent contenir des ressources de projet et d'autres dossiers. Par conséquent, chaque ressource de dossier peut inclure d'autres sous-dossiers représentant différentes équipes. En outre, chaque dossier d'équipe pourrait contenir des sous-dossiers supplémentaires pour représenter différentes applications. Pour en savoir plus sur l'utilisation des ressources de dossiers, consultez la page Créer et gérer des ressources de dossiers.

Si les ressources de dossier existent dans votre ressource d'organisation et que vous disposez des autorisations d'affichage appropriées, vous pouvez les consulter dans Google Cloud Console. Pour obtenir des instructions détaillées, consultez la page Afficher ou répertorier des ressources pour un dossier et un projet.

Les ressources de dossier permettent de déléguer les droits d'administration. Par exemple, chaque responsable d'un service peut disposer de l'ensemble des droits de propriété sur toutes les ressources Google Cloud appartenant à ses services. De même, l'accès aux ressources peut être limité par une ressource de dossier, afin que les utilisateurs d'un service ne puissent accéder et créer que des ressources Google Cloud dans cette ressource de dossier.

L'extrait de code suivant montre la structure d'une ressource de dossier:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Comme les ressources d'organisations et de projets, les ressources de dossier servent de point d'héritage pour les stratégies IAM et d'organisation. Les rôles IAM accordés sur une ressource de dossier sont automatiquement hérités par toutes les ressources de projet et de dossier incluses dans ce dossier.

La ressource de projet

La ressource "Projet" constitue l'entité d'organisation de base. Les ressources d'organisations et de dossiers peuvent contenir plusieurs projets. Une ressource de projet est nécessaire pour utiliser Google Cloud. Elle constitue la base pour créer, activer et utiliser tous les services Google Cloud, gérer les API, activer la facturation, ajouter et supprimer des collaborateurs, ainsi que pour gérer les autorisations.

Toutes les ressources du projet comprennent les éléments suivants:

  • Deux identifiants :
    1. ID de ressource du projet, qui est un identifiant unique pour la ressource du projet
    2. Le numéro de ressource du projet, qui est attribué automatiquement lorsque vous créez le projet (cet identifiant est en lecture seule)
  • Un nom à afficher modifiable
  • L'état du cycle de vie de la ressource du projet (par exemple, "ACTIVE" [actif] ou "DELETE_REQUESTED" [suppression_demandée])
  • Un ensemble de libellés, qui peuvent être utilisés pour filtrer les projets
  • Heure à laquelle la ressource de projet a été créée.

L'extrait de code suivant montre la structure d'une ressource de projet:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Afin d'interagir avec la plupart des ressources Google Cloud, vous devez fournir les informations d'identification de ressource de projet pour chaque requête. Vous pouvez identifier une ressource de projet de deux manières: par un ID de ressource ou par un numéro de ressource de projet (projectId et projectNumber dans l'extrait de code).

Un ID de ressource de projet est le nom personnalisé que vous avez choisi lors de la création de la ressource de projet. Si vous activez une API nécessitant une ressource de projet, vous serez invité à en créer une ou à en sélectionner une à l'aide de son ID de ressource. Notez que la chaîne name, qui est affichée dans l'interface utilisateur, est différente de l'ID de ressource du projet.

Un numéro de ressource de projet est automatiquement généré par Google Cloud. L'ID et le numéro de ressource du projet sont visibles dans le tableau de bord de la ressource de projet dans Google Cloud Console. Pour savoir comment obtenir des identifiants de projet et obtenir d'autres tâches de gestion pour les ressources d'un projet, consultez la page Créer et gérer des ressources d'un projet.

La stratégie IAM initiale de la ressource "Projet" nouvellement créée accorde le rôle de propriétaire au créateur du projet.

Héritage des stratégies IAM

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. Grâce à IAM, vous pouvez contrôler qui (utilisateurs) a accès (rôles) à quelles ressources en définissant des stratégies IAM.

Vous pouvez définir une stratégie IAM au niveau d'une organisation, au niveau d'un dossier, au niveau d'un projet ou, dans certains cas, au niveau d'une ressource. Les ressources héritent des stratégies de la ressource parente. Si vous définissez une stratégie au niveau de l'organisation, elle est héritée par toutes les ressources du dossier et du projet enfant. Si vous définissez une stratégie au niveau du projet, elle s'applique à toutes les ressources enfants.

La stratégie effective associée à une ressource combine la stratégie définie directement sur cette ressource à celle héritée de ses ancêtres. Cet héritage est transitif. En d'autres termes, les ressources héritent des stratégies du projet, qui héritent des stratégies de la ressource d'organisation. Par conséquent, les règles au niveau de l'organisation s'appliquent également au niveau des ressources.

Par exemple, dans le diagramme de hiérarchie des ressources ci-dessus, si vous définissez une stratégie pour le dossier "Department Y" qui permet d'accorder le rôle d'éditeur de projet à bob@example.com, Bob aura le rôle d'éditeur pour les projets "Development project", "Test project" et "Production project". À l'inverse, si vous attribuez à alice@example.com le rôle d'administratrice d'instance pour le projet "Test project", elle ne pourra gérer que les instances Compute Engine incluses dans ce projet.

Les rôles sont toujours hérités, et il n'existe aucun moyen de supprimer explicitement une autorisation pour une ressource de niveau inférieur accordée à un niveau supérieur de la hiérarchie des ressources. Dans l'exemple ci-dessus, même si vous supprimiez le rôle d'éditeur de projet de Bob pour "Test project", il hériterait toujours de ce rôle à partir du dossier "Department Y". Il disposerait donc toujours des autorisations du rôle pour "Test project".

La hiérarchie des stratégies IAM suit le même chemin que la hiérarchie des ressources Google Cloud. Si vous modifiez la hiérarchie des ressources, la hiérarchie des stratégies est également modifiée. Par exemple, si vous déplacez un projet vers une ressource d'organisation, la stratégie IAM du projet est héritée de celle de la ressource d'organisation. De même, le déplacement d'une ressource de projet d'une ressource de dossier à une autre modifie les autorisations héritées. Les autorisations héritées par la ressource de projet de la ressource parente d'origine sont perdues lorsque la ressource de projet est déplacée vers une nouvelle ressource de dossier. Les autorisations définies dans la ressource de dossier de destination seront héritées par la ressource du projet lors de son déplacement.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essai gratuit