La ressource Organisation est le nœud racine de la hiérarchie des ressources Google Cloud. Il s'agit du super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource d'organisation.
Avant de commencer
Consultez la présentation de la ressource Organisation.
Obtenir une ressource Organisation
Une ressource Organisation est disponible pour les clients Google Workspace et Cloud Identity:
- Google Workspace : inscrivez-vous à Google Workspace.
- Cloud Identity : nscrivez-vous à Cloud Identity.
Une fois que vous avez créé votre compte Google Workspace ou Cloud Identity et que vous l'avez associé à un domaine, la ressource "Organisation" est automatiquement créée pour vous. La ressource sera provisionnée à différents moments en fonction de l'état de votre compte :
- Si vous débutez sur Google Cloud et que vous n'avez pas encore créé de projet, la ressource Organisation est créée pour vous lorsque vous vous connectez à la console Google Cloud et que vous acceptez les conditions d'utilisation.
-
Si vous utilisez déjà Google Cloud, la ressource Organisation est créée pour vous lorsque vous créez un projet ou un compte de facturation. Tous les projets que vous avez créés précédemment seront répertoriés sous "Aucune organisation", ce qui est normal. La ressource "Organisation" s'affiche, et le projet que vous venez de créer est automatiquement associé.
Vous devrez déplacer tous les projets que vous avez créés sous "Aucune organisation" vers votre nouvelle ressource d'organisation. Pour savoir comment déplacer vos projets, consultez Migrer des projets vers une ressource Organisation.
La ressource "Organisation" créée sera liée à votre compte Google Workspace ou Cloud Identity avec le projet ou le compte de facturation que vous avez créé et défini comme ressource enfant. Tous les projets et comptes de facturation créés dans votre domaine Google Workspace ou Cloud Identity seront des enfants de cette ressource d'organisation.
- Pour en savoir plus sur la migration de projets préexistants, consultez la page Migrer des projets existants vers l'organisation.
Chaque compte Google Workspace ou Cloud Identity est associé à une seule ressource "Organisation". Une ressource Organisation est associée à un seul domaine, défini lors de la création de la ressource Organisation.
Une fois la ressource Organisation créée, nous communiquons sa disponibilité aux super-administrateurs Google Workspace ou Cloud Identity. Ces comptes de super-administrateur doivent être utilisés avec précaution, car ils permettent de mieux contrôler les ressources de votre organisation et de toutes les ressources qu'elle contient. Pour cette raison, nous vous déconseillons d'utiliser des comptes super-administrateur Google Workspace ou Cloud Identity pour la gestion quotidienne des ressources de votre organisation. Pour en savoir plus sur l'utilisation des comptes super-administrateur Google Workspace ou Cloud Identity dans Google Cloud, consultez la page Bonnes pratiques relatives aux super-administrateurs.
Pour adopter activement la ressource "Organisation", les super-administrateurs Google Workspace ou Cloud Identity doivent attribuer le rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin
) à un utilisateur ou à un groupe. Pour savoir comment configurer votre ressource Organisation, consultez la section Configurer votre ressource Organisation.
- Lorsque la ressource Organisation est créée, les rôles IAM Créateur de projet (
roles/resourcemanager.projectCreator
) et Créateur de compte de facturation (roles/billing.creator
) sont automatiquement attribués à tous les utilisateurs de votre domaine au niveau de l'organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption. - L'administrateur de l'organisation décidera du moment où il souhaite commencer à utiliser activement la ressource Organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
- Si la ressource Organisation est disponible et que vous ne disposez pas des autorisations IAM nécessaires pour l'afficher, vous pouvez toujours créer des projets et des comptes de facturation. Elles sont automatiquement créées sous la ressource d'organisation, même si vous ne la voyez pas.
Obtenir l'ID de ressource de votre organisation
L'ID de ressource Organisation est un identifiant unique associé à une ressource Organisation. Il est généré automatiquement en même temps que votre ressource Organisation. Les ID de ressources d'organisation sont au format décimal et ne peuvent pas comporter de zéros non significatifs.
Vous pouvez obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Resource Manager.
Console
Pour obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à Google Cloud Console :
- En haut de la page, cliquez sur la liste déroulante de sélection de projets.
- Dans la fenêtre Sélectionner à partir de qui s'affiche, cliquez sur la liste déroulante des ressources d'organisation, puis sélectionnez la ressource d'organisation souhaitée.
- Sur le côté droit, cliquez sur Plus, puis sur Paramètres.
La page Paramètres affiche l'ID de ressource de votre organisation.
gcloud
Pour trouver l'ID de ressource de votre organisation, exécutez la commande suivante:
gcloud organizations list
Cette commande répertorie toutes les ressources de l'organisation auxquelles vous appartenez, ainsi que les ID de ressource d'organisation correspondants.
API
Pour trouver votre ID de ressource d'organisation à l'aide de l'API Resource Manager, appelez la méthode organizations.search()
avec le filtre domain:[company.com]
. La réponse contiendra les métadonnées de la ressource d'organisation, y compris son ID.
Configurer votre ressource d'organisation
Si vous êtes client Google Workspace ou Cloud Identity, une ressource Organisation vous est fournie automatiquement.
Les super-administrateurs Google Workspace ou Cloud Identity sont les premiers utilisateurs à pouvoir accéder à la ressource Organisation lors de sa création. Tous les autres utilisateurs ou groupes pourront utiliser Google Cloud comme auparavant. Ils pourront voir la ressource Organisation, mais ils ne pourront la modifier qu'une fois les autorisations appropriées définies.
Les super-administrateurs Google Workspace ou Cloud Identity et l'administrateur de l'organisation Google Cloud sont des rôles clés pendant le processus de configuration et pour le contrôle du cycle de vie de la ressource Organisation. Les deux rôles sont généralement attribués à différents utilisateurs ou groupes, bien que cela dépende de la structure et des besoins de l'organisation.
Dans le contexte de la configuration des ressources d'organisation Google Cloud, les responsabilités de super-administrateur Google Workspace ou Cloud Identity sont les suivantes:
- Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
- Point de contact en cas de problèmes de récupération
- Contrôler le cycle de vie du compte Google Workspace ou Cloud Identity et de la ressource Organisation, comme expliqué dans la section Supprimer une ressource Organisation
L'administrateur de l'organisation, une fois désigné, peut attribuer des rôles Identity and Access Management à d'autres utilisateurs. Les responsabilités de l'administrateur de l'organisation sont les suivantes :
- Définir des stratégies IAM et attribuer des rôles IAM à d'autres utilisateurs
- Déterminer la structure de la hiérarchie des ressources
Conformément au principe du moindre privilège, ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.
La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs Google Workspace et Cloud Identity et l'administrateur de l'organisation Google Cloud. Cette séparation est souvent nécessaire, car les deux produits Google sont généralement gérés par différents services au sein de l'organisation du client.
Pour commencer à utiliser activement la ressource Organisation, suivez les étapes ci-dessous pour ajouter un administrateur de l'organisation :
Ajouter un administrateur de l'organisation
Console
Pour ajouter un administrateur de l'organisation:
Connectez-vous à la console Google Cloud en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration:
Sélectionnez la ressource Organisation à modifier:
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionner à partir de, cliquez sur la liste déroulante Organisation, puis sélectionnez la ressource Organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir la page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez définir comme administrateurs de l'organisation.
Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'administrateur de l'organisation peut:
Prenez le contrôle total de la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Comme expliqué dans la section Acquérir une ressource "Organisation", lors de la création de cette ressource, les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine au niveau de l'organisation. Cela garantit qu'aucune interruption n'est causée aux utilisateurs Google Cloud lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Notez que dans la mesure où les stratégies IAM sont héritées dans la hiérarchie, l'attribution du rôle de créateur de projet à l'ensemble du domaine (domain:mycompany.com
) au niveau de l'organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.
Créer des projets dans votre ressource Organisation
Console
Vous pouvez créer un projet dans la ressource Organisation à l'aide de la console Google Cloud une fois la ressource Organisation activée pour votre domaine.
Pour créer un projet dans la ressource Organisation:
Pour créer un projet, procédez comme suit :
-
Accédez à la page Gérer les ressources de la console Google Cloud.
Accéder à Gérer les ressources
Les étapes restantes s'affichent automatiquement dans la console Google Cloud. - Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
- Cliquez sur Créer un projet.
- Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
- Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
- Une fois les détails du nouveau projet renseignés, cliquez sur Créer.
API
Vous pouvez créer un projet dans la ressource Organisation en créant un project
et en définissant son champ parent
sur le organizationId
de la ressource Organisation.
L'extrait de code suivant montre comment créer un projet dans une ressource Organisation:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Afficher les projets dans une ressource Organisation
Les utilisateurs ne peuvent afficher et répertorier que les projets auxquels ils ont accès par l'intermédiaire de rôles IAM. L'administrateur de l'organisation peut afficher et répertorier tous les projets de la ressource Organisation.
Console
Pour afficher tous les projets d'une ressource Organisation à l'aide de la console Google Cloud:
Accédez à Google Cloud Console :
Cliquez sur la liste déroulante Organisation en haut de la page.
Sélectionnez votre ressource d'organisation.
Cliquez sur la liste déroulante Projet en haut de la page, puis sur Afficher plus de projets. Tous les projets de la ressource Organisation sont répertoriés sur la page.
L'option Aucune organisation de la liste déroulante Organisation répertorie les types de projets suivants :
- Projets qui n'appartiennent pas encore à la ressource Organisation.
- Projets auxquels l'utilisateur a accès, mais qui se trouvent sous une ressource d'organisation à laquelle l'utilisateur n'a pas accès.
gcloud
Pour afficher tous les projets d'une ressource Organisation, exécutez la commande suivante:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Faites appel à la méthode projects.list()
pour répertorier tous les projets sous une ressource parent, comme indiqué dans l'extrait de code suivant :
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Supprimer une ressource Organisation
La ressource Organisation est liée à votre compte Google Workspace ou Cloud Identity.
Si vous préférez ne pas utiliser la ressource Organisation, nous vous recommandons de restaurer la stratégie IAM de la ressource Organisation à son état d'origine en procédant comme suit:
- Ajoutez votre domaine aux rôles
Project Creator
(créateur de projet) etBilling Account Creator
(créateur de compte de facturation). - Supprimez toutes les autres entrées de la stratégie IAM de la ressource d'organisation.
Ainsi, vos utilisateurs pourront continuer à créer des projets et des comptes de facturation. En outre, les super-administrateurs Google Workspace ou Cloud Identity seront en mesure de récupérer l'administration centrale par la suite.
Si vous supprimez votre compte Google Workspace, vous supprimerez votre ressource Organisation et toutes les ressources qui lui sont associées. Par conséquent, si vous souhaitez supprimer votre ressource d'organisation, vous pouvez supprimer votre compte Google Workspace. Si vous utilisez Cloud Identity, annulez tous les autres services Google, puis supprimez votre compte Google. Il s'agit d'une action potentiellement dommageable qui peut s'avérer totalement irréversible. Par conséquent, nous vous recommandons de ne l'effectuer que si vous êtes certain qu'aucune ressource n'est active.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit