La ressource Organisation est le nœud racine de la hiérarchie des ressources Google Cloud et constitue le super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource Organisation.
Avant de commencer
Lisez une présentation de la ressource Organisation.
Obtenir une ressource Organisation
Une ressource Organisation est disponible pour les clients Google Workspace et Cloud Identity:
- Google Workspace : inscrivez-vous à Google Workspace.
- Cloud Identity : nscrivez-vous à Cloud Identity.
Une fois que vous avez créé votre compte Google Workspace ou Cloud Identity et que vous l'avez associé à un domaine, la ressource "Organisation" est automatiquement créée pour vous. La ressource sera provisionnée à différents moments en fonction de l'état de votre compte :
- Si vous débutez sur Google Cloud et que vous n'avez pas encore créé de projet, la ressource d'organisation sera créée automatiquement lorsque vous vous connecterez à la console Google Cloud et que vous accepterez les conditions d'utilisation.
-
Si vous êtes un utilisateur Google Cloud existant, la ressource d'organisation sera créée pour vous lorsque vous créerez un projet ou un compte de facturation. Tous les projets que vous avez créés précédemment sont répertoriés sous "Aucune organisation", ce qui est normal. La ressource Organisation s'affiche et le projet que vous avez créé y est automatiquement associé.
Vous devrez déplacer tous les projets que vous avez créés sous "Aucune organisation" vers votre nouvelle ressource Organisation. Pour savoir comment déplacer vos projets, consultez la section Migrer des projets vers une ressource d'organisation.
La ressource "Organisation" créée sera liée à votre compte Google Workspace ou Cloud Identity avec le projet ou le compte de facturation que vous avez créé et défini comme ressource enfant. Tous les projets et comptes de facturation créés dans votre domaine Google Workspace ou Cloud Identity sont des enfants de cette ressource d'organisation.
- Pour en savoir plus sur la migration de projets préexistants, consultez la page Migrer des projets existants vers l'organisation.
Chaque compte Google Workspace ou Cloud Identity est associé à une seule ressource d'organisation. Une ressource d'organisation est associée à un seul domaine, qui est défini lors de la création de la ressource d'organisation.
Une fois la ressource Organisation créée, nous communiquons sa disponibilité aux super-administrateurs Google Workspace ou Cloud Identity. Ces comptes super-administrateur doivent être utilisés avec précaution, car ils permettent d'exercer un contrôle important sur votre ressource d'organisation et sur toutes les ressources qu'elle contient. C'est pourquoi nous vous déconseillons d'utiliser des comptes super-administrateur Google Workspace ou Cloud Identity pour la gestion quotidienne de votre ressource d'organisation. Pour en savoir plus sur l'utilisation des comptes super-administrateur Google Workspace ou Cloud Identity dans Google Cloud, consultez la page Bonnes pratiques relatives aux super-administrateurs.
Pour adopter activement la ressource Organisation, les super-administrateurs Google Workspace ou Cloud Identity doivent attribuer le rôle Identity and Access Management (IAM) Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) à un utilisateur ou à un groupe. Pour savoir comment configurer votre ressource d'organisation, consultez la page Configurer votre ressource d'organisation.
- Une fois la ressource Organisation créée, les rôles IAM de créateur de projet (
roles/resourcemanager.projectCreator) et de créateur de compte de facturation (roles/billing.creator) sont automatiquement attribués à tous les utilisateurs de votre domaine au niveau de la ressource d'organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption. - L'administrateur de l'organisation décide à quel moment il souhaite commencer à utiliser activement la ressource d'organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
- Si la ressource Organisation est disponible et que vous ne disposez pas des autorisations IAM nécessaires pour l'afficher, vous pouvez toujours créer des projets et des comptes de facturation. Ceux-ci sont automatiquement créés sous la ressource Organisation, même si vous ne les voyez pas.
Obtenir l'ID de ressource de votre organisation
L'ID de ressource d'organisation est un identifiant unique associé à une ressource d'organisation. Il est automatiquement créé lors de la création de votre ressource d'organisation. Les ID de ressource Organisation sont au format décimal et ne peuvent pas comporter de zéros non significatifs.
Vous pouvez obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Cloud Resource Manager.
Console
Pour obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à Google Cloud Console :
- Dans le sélecteur de projet en haut de la page, sélectionnez votre ressource d'organisation.
- Sur la droite, cliquez sur Plus, puis sur Paramètres.
La page Paramètres affiche l'ID de ressource de votre organisation.
gcloud
Pour trouver l'ID de ressource de votre organisation, exécutez la commande suivante:
gcloud organizations list
Cette commande répertorie toutes les ressources d'organisation auxquelles vous appartenez et les ID de ressource d'organisation correspondants.
API
Pour trouver l'ID de ressource de votre organisation à l'aide de l'API Cloud Resource Manager, utilisez la méthode organizations.search() en incluant une requête pour votre domaine. Exemple :
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La réponse contient les métadonnées de la ressource d'organisation appartenant à altostrat.com, qui incluent l'ID de ressource d'organisation.
Configurer votre ressource Organisation
Si vous êtes un client Google Workspace ou Cloud Identity, une ressource Organisation vous est fournie automatiquement.
Les super-administrateurs Google Workspace ou Cloud Identity sont les premiers utilisateurs à pouvoir accéder à la ressource Organisation lors de sa création. Tous les autres utilisateurs ou groupes pourront utiliser Google Cloud comme auparavant. Ils pourront voir la ressource Organisation, mais ils ne pourront la modifier qu'une fois les autorisations appropriées définies.
Les super-administrateurs Google Workspace ou Cloud Identity et l'administrateur de l'organisation Google Cloud sont des rôles clés lors du processus de configuration et pour le contrôle du cycle de vie de la ressource Organisation. Les deux rôles sont généralement attribués à différents utilisateurs ou groupes, bien que cela dépende de la structure et des besoins de la ressource Organisation.
Dans le contexte de la configuration des ressources de l'organisation Google Cloud, les responsabilités des super-administrateurs Google Workspace ou Cloud Identity sont les suivantes:
- Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
- Point de contact en cas de problèmes de récupération
- en contrôlant le cycle de vie du compte Google Workspace ou Cloud Identity et de la ressource d'organisation, comme expliqué dans la section Supprimer une ressource d'organisation ;
L'administrateur de l'organisation, une fois désigné, peut attribuer des rôles Identity and Access Management à d'autres utilisateurs. Les responsabilités de l'administrateur de l'organisation sont les suivantes :
- Définir des stratégies IAM et attribuer des rôles IAM à d'autres utilisateurs
- Déterminer la structure de la hiérarchie des ressources
Conformément au principe du moindre privilège, ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.
La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs Google Workspace et Cloud Identity et l'administrateur de l'organisation Google Cloud. Cette séparation est souvent nécessaire, car les deux produits Google sont généralement gérés par différents services au sein de l'organisation du client.
Pour commencer à utiliser activement la ressource Organisation, suivez les étapes ci-dessous pour ajouter un administrateur de l'organisation :
Ajouter un administrateur de l'organisation
Console
Pour ajouter un administrateur de l'organisation:
Connectez-vous à la console Google Cloud en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration:
Sélectionnez la ressource d'organisation que vous souhaitez modifier:
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionner à partir de, cliquez sur la liste déroulante Organisation, puis sélectionnez la ressource d'organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir sa page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez définir en tant qu'administrateurs de l'organisation.
Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'Administrateur de l'organisation peut effectuer les opérations suivantes:
Prenez le contrôle total de la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Comme expliqué dans la section Acquérir une ressource d'organisation, lors de la création, les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine au niveau de la ressource Organisation. Ainsi, les utilisateurs de Google Cloud ne subiront aucune interruption lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Étant donné que les stratégies IAM sont héritées dans la hiérarchie, le fait d'attribuer le rôle de créateur de projet à l'ensemble du domaine (domain:mycompany.com) au niveau de la ressource Organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.
Créer des projets dans votre ressource Organisation
Console
Une fois cette ressource activée pour votre domaine, vous pouvez créer un projet dans la ressource Organisation à l'aide de la console Google Cloud.
Pour créer un projet dans la ressource Organisation:
Pour créer un projet, procédez comme suit :
-
Accédez à la page Gérer les ressources de la console Google Cloud.
Accéder à la page Gérer les ressources
Les étapes restantes apparaissent dans la console Google Cloud.
- Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
- Cliquez sur Créer un projet.
- Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
- Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
- Une fois les détails du nouveau projet renseignés, cliquez sur Créer.
API
Pour créer un projet dans la ressource Organisation, créez un élément project et définissez son champ parent sur le organizationId de la ressource.
L'extrait de code suivant montre comment créer un projet dans une ressource "Organisation" :
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Afficher les projets d'une ressource Organisation
Les utilisateurs ne peuvent afficher et répertorier que les projets auxquels ils ont accès par l'intermédiaire de rôles IAM. L'administrateur de l'organisation peut afficher et répertorier tous les projets de la ressource Organisation.
Console
Pour afficher tous les projets d'une ressource Organisation à l'aide de la console Google Cloud:
Accédez à Google Cloud Console :
Cliquez sur la liste déroulante Organisation en haut de la page.
Sélectionnez votre ressource d'organisation.
Cliquez sur la liste déroulante Projet en haut de la page, puis sur Afficher plus de projets. Tous les projets de la ressource Organisation sont répertoriés sur cette page.
L'option Aucune organisation de la liste déroulante Organisation répertorie les types de projets suivants :
- Les projets qui n'appartiennent pas encore à la ressource Organisation.
- Projets auxquels l'utilisateur a accès, mais qui se trouvent sous une ressource d'organisation à laquelle l'utilisateur n'a pas accès.
gcloud
Pour afficher tous les projets d'une ressource Organisation, exécutez la commande suivante:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Faites appel à la méthode projects.list() pour répertorier tous les projets sous une ressource parent, comme indiqué dans l'extrait de code suivant :
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Supprimer une ressource Organisation
La ressource Organisation est liée à votre compte Google Workspace ou Cloud Identity.
Si vous préférez ne pas utiliser la ressource Organisation, nous vous recommandons de restaurer la stratégie IAM de la ressource d'organisation à son état d'origine en procédant comme suit:
- Ajoutez votre domaine aux rôles
Project Creator(créateur de projet) etBilling Account Creator(créateur de compte de facturation). - Supprimez toutes les autres entrées de la stratégie IAM de la ressource Organisation.
Ainsi, vos utilisateurs pourront continuer à créer des projets et des comptes de facturation. En outre, les super-administrateurs Google Workspace ou Cloud Identity seront en mesure de récupérer l'administration centrale par la suite.
Si vous supprimez votre compte Google Workspace, votre ressource d'organisation et toutes les ressources associées seront supprimées. Par conséquent, si vous souhaitez supprimer votre ressource d'organisation, vous pouvez supprimer votre compte Google Workspace. Si vous utilisez Cloud Identity, annulez tous les autres services Google, puis supprimez votre compte Google. Il s'agit d'une action potentiellement dommageable qui peut s'avérer totalement irréversible. Par conséquent, nous vous recommandons de ne l'effectuer que si vous êtes certain qu'aucune ressource n'est active.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit