Création et gestion d'organisations

La ressource Organisation est le nœud racine de la hiérarchie des ressources Google Cloud et constitue le super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource d'organisation.

Avant de commencer

Lisez une présentation de la ressource Organisation.

Obtenir une ressource Organisation

Une ressource d'organisation est disponible pour les clients Google Workspace et Cloud Identity:

Une fois que vous avez créé votre compte Google Workspace ou Cloud Identity et que vous l'avez associé à un domaine, la ressource "Organisation" est automatiquement créée pour vous. La ressource sera provisionnée à différents moments en fonction de l'état de votre compte :

  • Si vous débutez sur Google Cloud et que vous n'avez pas encore créé de projet, la ressource Organisation est créée pour vous lorsque vous vous connectez à Google Cloud Console et acceptez les conditions d'utilisation.
  • Si vous utilisez déjà Google Cloud, la ressource Organisation est créée pour vous lorsque vous créez un projet ou un compte de facturation. Tous les projets que vous avez créés précédemment s'affichent sous "Aucune organisation", ce qui est normal. La ressource Organisation s'affiche, et le projet que vous avez créé y est automatiquement associé.

    Vous devrez déplacer les projets que vous avez créés sous "Aucune organisation" vers la nouvelle ressource "Organisation". Pour savoir comment déplacer vos projets, consultez Migrer des projets vers une ressource Organisation.

La ressource "Organisation" créée sera liée à votre compte Google Workspace ou Cloud Identity avec le projet ou le compte de facturation que vous avez créé et défini comme ressource enfant. Tous les projets et comptes de facturation créés dans votre domaine Google Workspace ou Cloud Identity seront des enfants de cette ressource Organisation.

Chaque compte Google Workspace ou Cloud Identity est associé à une seule ressource d'organisation. Une ressource Organisation est associée à un seul domaine, défini lors de la création de la ressource Organisation.

Une fois la ressource Organisation créée, nous communiquons sa disponibilité aux super-administrateurs Google Workspace ou Cloud Identity. Ces comptes de super-administrateur doivent être utilisés avec précaution, car ils permettent de contrôler bien la ressource Organisation et toutes les ressources qu'elle contient. C'est pourquoi nous vous déconseillons d'utiliser des comptes super-administrateur Google Workspace ou Cloud Identity pour gérer les ressources de votre organisation au quotidien. Pour en savoir plus sur l'utilisation des comptes super-administrateur Google Workspace ou Cloud Identity dans Google Cloud, consultez la page Bonnes pratiques relatives aux super-administrateurs.

Pour adopter activement la ressource Organisation, les super-administrateurs Google Workspace ou Cloud Identity doivent attribuer le rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) à un utilisateur ou à un groupe. Pour savoir comment configurer votre ressource Organisation, consultez Configurer votre ressource Organisation.

  • Une fois la ressource d'organisation créée, les rôles IAM de créateur de projet (roles/resourcemanager.projectCreator) et de créateur de compte de facturation (roles/billing.creator) sont automatiquement attribués à tous les utilisateurs de votre domaine au niveau de l'organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption.
  • L'administrateur de l'organisation décide du moment où il souhaite commencer à utiliser activement la ressource d'organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
  • Si la ressource Organisation est disponible et que vous ne disposez pas des autorisations IAM nécessaires pour l'afficher, vous pouvez toujours créer des projets et des comptes de facturation. Ils sont automatiquement créés dans la ressource Organisation, même s'ils ne s'affichent pas.

Obtenir l'ID de ressource de votre organisation

L'ID de ressource Organisation est un identifiant unique attribué à une ressource Organisation. Il est créé automatiquement en même temps que votre ressource Organisation. Les ID de ressources d'organisation sont au format décimal et ne peuvent pas commencer par des zéros.

Vous pouvez obtenir l'ID de ressource de votre organisation à l'aide de la console, de la CLI gcloud ou de l'API Resource Manager.

console


Pour obtenir l'ID de ressource de votre organisation à l'aide de la console:

  1. Accédez à la console:

    Accéder à la console

  2. En haut de la page, cliquez sur la liste déroulante de sélection de projets.
  3. Dans la fenêtre Sélectionner à partir de qui s'affiche, cliquez sur la liste déroulante des ressources d'organisation, puis sélectionnez la ressource d'organisation souhaitée.
  4. Sur le côté droit, cliquez sur Plus, puis sur Paramètres.

La page Paramètres affiche l'ID de ressource de votre organisation.

gcloud


Pour trouver l'ID de ressource de votre organisation, exécutez la commande suivante:

gcloud organizations list

Cette commande répertorie toutes les ressources d'organisation auxquelles vous appartenez, ainsi que les ID de ressources d'organisation correspondants.

API


Pour trouver votre ID de ressource d'organisation à l'aide de l'API Resource Manager, appelez la méthode organizations.search() avec le filtre domain:[company.com]. La réponse contiendra les métadonnées de la ressource d'organisation, y compris l'ID de ressource d'organisation.

Configurer la ressource Organisation

Si vous êtes un client Google Workspace ou Cloud Identity, une ressource Organisation vous est fournie automatiquement.

Les super-administrateurs Google Workspace ou Cloud Identity sont les premiers utilisateurs à pouvoir accéder à la ressource d'organisation lors de sa création. Tous les autres utilisateurs ou groupes pourront utiliser Google Cloud comme auparavant. Ils pourront voir la ressource Organisation, mais ils ne pourront la modifier qu'une fois les autorisations appropriées définies.

Les super-administrateurs Google Workspace ou Cloud Identity et l'administrateur de l'organisation Google Cloud sont des rôles clés pendant le processus de configuration et pour le contrôle du cycle de vie de la ressource d'organisation. Les deux rôles sont généralement attribués à différents utilisateurs ou groupes, bien que cela dépende de la structure et des besoins de l'organisation.

Voici les responsabilités de super-administrateur Google Workspace ou Cloud Identity:

  • Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
  • Point de contact en cas de problèmes de récupération
  • Contrôler le cycle de vie du compte Google Workspace ou Cloud Identity et de la ressource Organisation, comme expliqué dans la section Supprimer une ressource Organisation

L'administrateur de l'organisation, une fois désigné, peut attribuer des rôles Identity and Access Management à d'autres utilisateurs. Les responsabilités de l'administrateur de l'organisation sont les suivantes :

  • Définir des stratégies IAM et attribuer des rôles IAM à d'autres utilisateurs
  • Déterminer la structure de la hiérarchie des ressources

Conformément au principe du moindre privilège, ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.

La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs Google Workspace et Cloud Identity et l'administrateur de l'organisation Google Cloud. Cette séparation est souvent nécessaire, car les deux produits Google sont généralement gérés par différents services au sein de l'organisation du client.

Pour commencer à utiliser activement la ressource Organisation, suivez les étapes ci-dessous pour ajouter un administrateur de l'organisation :

Ajouter un administrateur de l'organisation

Console

Pour ajouter un administrateur de l'organisation:

  1. Connectez-vous à Google Cloud Console en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration:

    Ouvrir la page "IAM et administration"

  2. Sélectionnez la ressource d'organisation que vous souhaitez modifier:

    1. Cliquez sur la liste déroulante des projets en haut de la page.

    2. Dans la boîte de dialogue Sélectionner à partir de, cliquez sur la liste déroulante Organisation, puis sélectionnez la ressource Organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.

    3. Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir la page Autorisations IAM.

  3. Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez définir comme administrateurs de l'organisation.

  4. Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.

    L'administrateur de l'organisation peut effectuer les opérations suivantes:

    • Contrôlez entièrement la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.

    • Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.

Comme expliqué dans la section Acquérir une ressource Organisation, lors de la création de cette ressource, les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine au niveau de l'organisation. Cela garantit qu'aucune interruption n'est causée aux utilisateurs Google Cloud lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Notez que dans la mesure où les stratégies IAM sont héritées dans la hiérarchie, l'attribution du rôle de créateur de projet à l'ensemble du domaine (domain:mycompany.com) au niveau de l'organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.

Créer des projets dans votre ressource Organisation

Console


Une fois la ressource d'organisation activée pour votre domaine, vous pouvez créer un projet dans la ressource d'organisation à l'aide de la console.

Pour créer un projet dans la ressource Organisation:

Pour créer un projet, procédez comme suit :

  1. Accédez à la page Gérer les ressources dans la console.
  2. Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
  3. Cliquez sur Créer un projet.
  4. Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
  5. Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
  6. Une fois les détails du nouveau projet renseignés, cliquez sur Créer.

API


Vous pouvez créer un projet dans la ressource d'organisation en créant un project et en définissant son champ parent sur le organizationId de la ressource d'organisation.

L'extrait de code suivant montre comment créer un projet dans une ressource d'organisation:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Afficher les projets dans une ressource d'organisation

Les utilisateurs ne peuvent afficher et répertorier que les projets auxquels ils ont accès par l'intermédiaire de rôles IAM. L'administrateur de l'organisation peut afficher et répertorier tous les projets de la ressource Organisation.

Console


Pour afficher tous les projets d'une ressource d'organisation à l'aide de la console:

  1. Accédez à Google Cloud Console :

    Accéder à Google Cloud Console

  2. Cliquez sur la liste déroulante Organisation en haut de la page.

  3. Sélectionnez la ressource de votre organisation.

  4. Cliquez sur la liste déroulante Projet en haut de la page, puis sur Afficher plus de projets. Tous les projets de la ressource Organisation sont répertoriés sur la page.

L'option Aucune organisation de la liste déroulante Organisation répertorie les types de projets suivants :

  • Projets qui n'appartiennent pas encore à la ressource Organisation.
  • Projets auxquels l'utilisateur a accès, mais qui se trouvent sous une ressource d'organisation à laquelle il n'a pas accès.

gcloud


Pour afficher tous les projets d'une ressource d'organisation, exécutez la commande suivante:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Faites appel à la méthode projects.list() pour répertorier tous les projets sous une ressource parent, comme indiqué dans l'extrait de code suivant :

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Supprimer une ressource d'organisation

La ressource Organisation est liée à votre compte Google Workspace ou Cloud Identity.

Si vous préférez ne pas utiliser la ressource d'organisation, nous vous recommandons de restaurer la stratégie IAM de la ressource d'organisation à l'état d'origine en procédant comme suit:

  1. Ajoutez votre domaine aux rôles Project Creator (créateur de projet) et Billing Account Creator (créateur de compte de facturation).
  2. Supprimez toutes les autres entrées de la stratégie IAM de la ressource Organisation.

Ainsi, vos utilisateurs pourront continuer à créer des projets et des comptes de facturation. En outre, les super-administrateurs Google Workspace ou Cloud Identity seront en mesure de récupérer l'administration centrale par la suite.

Si vous supprimez votre compte Google Workspace, vous supprimerez toutes les ressources de votre organisation et toutes les ressources associées. Par conséquent, si vous souhaitez supprimer votre ressource Organisation, vous pouvez le faire en supprimant votre compte Google Workspace. Si vous utilisez Cloud Identity, annulez tous les autres services Google, puis supprimez votre compte Google. Il s'agit d'une action potentiellement dommageable qui peut s'avérer totalement irréversible. Par conséquent, nous vous recommandons de ne l'effectuer que si vous êtes certain qu'aucune ressource n'est active.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essai gratuit