Hiérarchie des ressources

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page décrit la hiérarchie des ressources Google Cloud et les ressources pouvant être gérées à l'aide de Resource Manager.

La hiérarchie des ressources Google Cloud à deux objectifs :

  • Fournir une hiérarchie de propriété, qui lie le cycle de vie d'une ressource à son parent immédiat dans la hiérarchie
  • Fournir des points de liaison et un héritage pour les stratégies de contrôle des accès et les règles d'administration

D'un point de vue métaphorique, la hiérarchie des ressources Google Cloud ressemble au système de fichiers des systèmes d'exploitation traditionnels : il s'agit d'un moyen d'organiser et de gérer des entités de manière hiérarchique. En règle générale, chaque ressource a exactement un parent. Cette organisation hiérarchique des ressources vous permet de définir des stratégies de contrôle d'accès et des paramètres de configuration sur une ressource parente. Les stratégies et les paramètres IAM (Identity and Access Management) sont hérités par les ressources enfants.

La hiérarchie des ressources Google Cloud en détail

Les ressources Google Cloud sont organisées de façon hiérarchique. Toutes les ressources, à l'exception de la ressource la plus élevée d'une hiérarchie, ont exactement un parent. Au niveau le plus bas, les ressources de service sont les composants fondamentaux sur lesquels reposent tous les services Google Cloud. Les machines virtuelles (VM) Compute Engine, les sujets Pub/Sub, les buckets Cloud Storage et les instances App Engine sont des exemples de ressources de service. Toutes ces ressources de niveau inférieur ont des ressources de projet parentes, ce qui représente le premier mécanisme de regroupement de la hiérarchie des ressources Google Cloud.

Tous les utilisateurs, y compris les utilisateurs de l'essai gratuit et de la version gratuite, ainsi que les clients Google Workspace et Cloud Identity, peuvent créer des ressources de projet. Les utilisateurs du programme gratuit Google Cloud peuvent uniquement créer des ressources de projet et des ressources de service au sein des projets. Les ressources d'un projet peuvent se trouver en haut de leur hiérarchie, mais uniquement si elles ont été créées par un utilisateur bénéficiant d'un essai gratuit ou d'un essai gratuit. Les clients Google Workspace et Cloud Identity ont accès à des fonctionnalités supplémentaires de la hiérarchie des ressources Google Cloud, telles que l'organisation et les ressources de dossiers. Pour en savoir plus, consultez la présentation de Cloud Identity. Les ressources de projet situées en haut de leur hiérarchie n'ont pas de ressources parentes, mais elles peuvent être migrées vers une ressource d'organisation une fois créée pour le domaine. Pour en savoir plus sur la migration des ressources du projet, consultez la page Migrer des ressources de projet.

Les clients Google Workspace et Cloud Identity peuvent créer des ressources d'organisation. Chaque compte Google Workspace ou Cloud Identity est associé à une ressource Organisation. Lorsqu'une ressource Organisation existe, elle se trouve au sommet de la hiérarchie des ressources Google Cloud, et toutes les ressources appartenant à une organisation sont regroupées sous la ressource Organisation. Vous bénéficiez ainsi d'une visibilité et d'un contrôle centralisés sur chaque ressource appartenant à une organisation.

Les ressources Dossier constituent un mécanisme de regroupement supplémentaire facultatif entre les ressources Organisation et les ressources Projet. Une ressource d'organisation est requise pour utiliser des dossiers. Les ressources de dossier et les ressources de leur projet enfant sont mappées sous la ressource d'organisation.

La hiérarchie des ressources Google Cloud, en particulier sous sa forme la plus complète, qui comprend une ressource Organisation et des dossiers, permet aux entreprises de mapper leur organisation sur Google Cloud et fournit des points de liaison logiques pour les stratégies de gestion des accès (IAM) et les règles d'administration. Les stratégies IAM et les règles d'administration sont héritées à travers la hiérarchie. La stratégie effective pour chaque ressource de la hiérarchie est une combinaison des stratégies directement appliquées à la ressource et de celles héritées de ses ancêtres.

Le schéma ci-dessous présente un exemple de hiérarchie des ressources Google Cloud sous sa forme complète:

Ressource "Organisation"

La ressource organization représente une organisation (par exemple, une entreprise) et, lorsqu'elle existe, constitue le nœud racine de la hiérarchie des ressources Google Cloud. La ressource Organisation est l'ancêtre hiérarchique des ressources de dossier et de projet. Les stratégies de contrôle des accès IAM appliquées à la ressource Organisation s'appliquent à l'ensemble de la hiérarchie sur toutes les ressources de l'organisation.

Les utilisateurs Google Cloud n'ont pas besoin de disposer d'une ressource "Organisation", mais certaines fonctionnalités de Resource Manager ne seront pas utilisables sans une telle ressource. La ressource Organisation est étroitement liée à un compte Google Workspace ou Cloud Identity. Lorsqu'un utilisateur disposant d'un compte Google Workspace ou Cloud Identity crée une ressource de projet Google Cloud, une ressource Organisation est automatiquement provisionnée.

Une seule ressource d'organisation peut être provisionnée pour un compte Google Workspace ou Cloud Identity. Une fois qu'une ressource Organisation est créée pour un domaine, toutes les nouvelles ressources de projet Google Cloud créées par les membres du domaine du compte appartiennent par défaut à la ressource Organisation. Lorsqu'un utilisateur géré crée une ressource de projet, elle doit figurer dans une ressource d'organisation. Si un utilisateur spécifie une ressource d'organisation et qu'il dispose des autorisations appropriées, le projet est attribué à cette organisation. Sinon, il utilisera par défaut la ressource Organisation à laquelle l'utilisateur est associé. Les comptes associés à une ressource Organisation ne peuvent pas créer de ressources de projet qui ne sont pas associées à une ressource Organisation.

Pour simplifier les choses, nous utilisons le terme Google Workspace pour désigner à la fois les utilisateurs de Google Workspace et de Cloud Identity.

Le compte Google Workspace ou Cloud Identity représente une entreprise et est obligatoire pour pouvoir accéder à la ressource Organisation. Dans le contexte de Google Cloud, il fournit des fonctionnalités de gestion des identités, des mécanismes de récupération, de propriété et de gestion du cycle de vie. L'image ci-dessous montre le lien entre le compte Google Workspace, Cloud Identity et la hiérarchie des ressources Google Cloud.


Le super-administrateur Google Workspace est la personne responsable de la validation de la propriété du domaine. Il est également la personne à contacter lorsqu'une récupération est nécessaire. Pour cette raison, le super-administrateur Google Workspace a la possibilité d'attribuer des rôles IAM par défaut. Le principal devoir du super-administrateur Google Workspace concernant Google Cloud est d'attribuer le rôle IAM d'administrateur de l'organisation aux utilisateurs appropriés pour le domaine concerné. Cela crée la séparation entre les responsabilités d'administration Google Workspace et Google Cloud que les utilisateurs recherchent généralement.

Avantages de la ressource Organisation

Avec une ressource "Organisation", les ressources du projet appartiennent à votre organisation et non à l'employé qui a créé le projet. Cela signifie que les ressources du projet ne sont plus supprimées lorsqu'un employé quitte l'entreprise. Elles suivent donc le cycle de vie de la ressource Organisation sur Google Cloud.

De plus, les administrateurs d'organisation disposent d'un contrôle centralisé sur toutes les ressources. Ils peuvent consulter et gérer toutes les ressources de projet de votre entreprise. Cela signifie qu'il ne peut plus y avoir de projets parallèles ni d'administrateurs peu recommandables.

Vous pouvez également attribuer des rôles au niveau de l'organisation, qui sont hérités par toutes les ressources de projet et de dossier sous la ressource d'organisation. Par exemple, vous pouvez attribuer le rôle d'administrateur réseau à votre équipe réseau au niveau de l'organisation. Cela lui permet de gérer tous les réseaux de toutes les ressources de projet de votre entreprise, plutôt que de lui attribuer le rôle pour toutes les ressources de projet individuelles.

Une ressource d'organisation exposée par l'API Resource Manager comprend les éléments suivants:

  • ID de ressource d'organisation, qui est un identifiant unique pour une organisation.
  • Un nom à afficher généré à partir du nom de domaine principal dans Google Workspace ou Cloud Identity
  • Heure de création de la ressource Organisation.
  • Heure de la dernière modification de la ressource Organisation.
  • Propriétaire de la ressource "Organisation". Le propriétaire est spécifié lors de la création de la ressource Organisation. et ne peut plus être modifié une fois défini), Il s'agit du numéro client Google Workspace spécifié dans l'API Directory.

L'extrait de code suivant montre la structure d'une ressource Organisation:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

La stratégie IAM initiale d'une ressource "Organisation" nouvellement créée accorde les rôles de créateur de projet et de créateur de compte de facturation à l'ensemble du domaine Google Workspace. Cela signifie que les utilisateurs pourront continuer à créer des ressources de projet et des comptes de facturation comme ils le faisaient avant l'existence de la ressource Organisation. Aucune autre ressource n'est créée en même temps qu'une ressource Organisation.

Ressource Dossier

Les dossiers peuvent éventuellement fournir un mécanisme de regroupement et des limites supplémentaires permettant d'isoler les projets. Ils peuvent être considérés comme des sous-organisations au sein de la ressource Organisation. Les ressources de dossiers peuvent être utilisées pour modéliser différentes entités juridiques, services et équipes au sein d'une entreprise. Par exemple, un premier niveau de ressources de dossiers pourrait être utilisé pour représenter les principaux services de votre organisation. Étant donné que les ressources de dossier peuvent contenir des ressources de projet et d'autres dossiers, chaque ressource de dossier peut inclure d'autres sous-dossiers représentant différentes équipes. En outre, chaque dossier d'équipe pourrait contenir des sous-dossiers supplémentaires pour représenter différentes applications. Pour en savoir plus sur l'utilisation des ressources de dossiers, consultez la page Créer et gérer des ressources de dossiers.

Si les ressources de dossier existent dans votre ressource Organisation et que vous disposez des autorisations appropriées, vous pouvez les consulter depuis la console Google Cloud. Pour obtenir des instructions plus détaillées, consultez la section Afficher ou répertorier des ressources de dossiers et de projets.

Les ressources de dossier permettent de déléguer des droits d'administration. Par exemple, chaque responsable de service peut obtenir la pleine propriété de toutes les ressources Google Cloud appartenant à son service. De même, l'accès aux ressources peut être limité par une ressource de dossier. Ainsi, les utilisateurs d'un service ne peuvent consulter et créer des ressources Google Cloud que dans cette ressource de dossier.

L'extrait de code suivant montre la structure d'une ressource de dossier:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

À l'instar des ressources d'organisation et de projet, les ressources de dossier servent de point d'héritage pour les stratégies IAM et les règles d'administration. Les rôles IAM attribués à une ressource de dossier sont automatiquement hérités par toutes les ressources de projet et de dossier incluses dans ce dossier.

Ressource du projet

La ressource "Projet" constitue l'entité d'organisation de base. Les ressources d'organisation et de dossier peuvent contenir plusieurs projets. Une ressource de projet est requise pour utiliser Google Cloud. Elle constitue la base pour créer, activer et utiliser tous les services Google Cloud, gérer les API, activer la facturation, ajouter et supprimer des collaborateurs, ainsi que pour gérer les autorisations.

Toutes les ressources du projet comprennent les éléments suivants:

  • Deux identifiants :
    1. ID de ressource du projet, qui est un identifiant unique pour la ressource de projet.
    2. Numéro de ressource du projet, qui est attribué automatiquement lorsque vous créez le projet. (cet identifiant est en lecture seule)
  • Un nom à afficher modifiable
  • État du cycle de vie de la ressource du projet, par exemple ACTIVE ou DELETE_REQUESTED.
  • Un ensemble de libellés, qui peuvent être utilisés pour filtrer les projets
  • Heure de création de la ressource de projet.

L'extrait de code suivant montre la structure d'une ressource de projet:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Pour interagir avec la plupart des ressources Google Cloud, vous devez fournir les informations d'identification des ressources du projet pour chaque requête. Vous pouvez identifier une ressource de projet de deux manières: un ID de ressource de projet ou un numéro de ressource de projet (projectId et projectNumber dans l'extrait de code).

Un ID de ressource de projet est le nom personnalisé que vous avez choisi lors de la création de la ressource de projet. Si vous activez une API nécessitant une ressource de projet, vous serez invité à créer une ressource de projet ou à sélectionner une ressource de projet à l'aide de son ID de ressource. (Notez que la chaîne name, qui est affichée dans l'UI, est différente de l'ID de ressource du projet.)

Un numéro de ressource de projet est automatiquement généré par Google Cloud. L'ID et le numéro de la ressource de projet se trouvent sur le tableau de bord de la ressource de projet dans la console Google Cloud. Pour en savoir plus sur l'obtention des identifiants de projet et sur les autres tâches de gestion des ressources de projet, consultez la page Créer et gérer des ressources de projets.

La stratégie IAM initiale de la ressource "Projet" nouvellement créée accorde le rôle de propriétaire au créateur du projet.

Héritage des stratégies IAM

Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. Grâce à IAM, vous pouvez contrôler qui (utilisateurs) a accès (rôles) à quelles ressources en définissant des stratégies IAM.

Vous pouvez définir une stratégie IAM au niveau d'une organisation, au niveau d'un dossier, au niveau d'un projet ou, dans certains cas, au niveau d'une ressource. Celles-ci héritent des stratégies de la ressource parente. Si vous définissez une stratégie au niveau d'une organisation, elle s'applique à toutes ses ressources de dossier enfant et de projet. Si vous définissez une stratégie au niveau d'un projet, elle s'applique à toutes ses ressources enfants.

La stratégie effective associée à une ressource combine la stratégie définie directement sur cette ressource à celle héritée de ses ancêtres. Cet héritage est transitif. En d'autres termes, les ressources héritent des stratégies du projet, qui héritent des stratégies de la ressource Organisation. Par conséquent, les stratégies au niveau de l'organisation s'appliquent également au niveau des ressources.

Par exemple, dans le diagramme de hiérarchie des ressources ci-dessus, si vous définissez une stratégie pour le dossier "Department Y" qui permet d'accorder le rôle d'éditeur de projet à bob@example.com, Bob aura le rôle d'éditeur pour les projets "Development project", "Test project" et "Production project". À l'inverse, si vous attribuez à alice@example.com le rôle d'administratrice d'instance pour le projet "Test project", elle ne pourra gérer que les instances Compute Engine incluses dans ce projet.

Les rôles sont toujours hérités, et il n'existe aucun moyen de supprimer explicitement une autorisation pour une ressource de niveau inférieur accordée à un niveau supérieur de la hiérarchie des ressources. Dans l'exemple ci-dessus, même si vous supprimiez le rôle d'éditeur de projet de Bob pour "Test project", il hériterait toujours de ce rôle à partir du dossier "Department Y". Il disposerait donc toujours des autorisations du rôle pour "Test project".

La hiérarchie des stratégies IAM suit le même chemin que la hiérarchie des ressources Google Cloud. Si vous modifiez la hiérarchie des ressources, la hiérarchie des stratégies est également modifiée. Par exemple, si vous déplacez un projet dans une ressource Organisation, la stratégie IAM du projet est mise à jour pour hériter de la stratégie IAM de la ressource Organisation. De même, le déplacement d'une ressource de projet d'une ressource de dossier à une autre modifie les autorisations héritées. Les autorisations héritées par la ressource de projet de la ressource parente d'origine sont perdues lorsque la ressource de projet est déplacée vers une nouvelle ressource de dossier. Les autorisations définies au niveau de la ressource de dossier de destination seront héritées par la ressource de projet lors de son déplacement.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essai gratuit