Créer et gérer des organisations

La ressource Organisation est le nœud racine de la hiérarchie des ressources Google Cloud Platform et constitue le super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource Organisation.

Avant de commencer

Lisez cette présentation de la ressource Organisation.

Obtenir une ressource Organisation

Cette ressource est disponible pour les clients G Suite et Cloud Identity.

Une ressource Organisation est automatiquement créée la première fois qu'un utilisateur associé à un domaine G Suite ou à un domaine Cloud Identity crée un projet ou un compte de facturation. L'organisation est liée à votre compte, avec le projet ou le compte de facturation défini en tant que ressource enfant. Tous les projets et les comptes de facturation créés dans votre domaine G Suite ou Cloud Identity sont des enfants de cette organisation.

Chaque compte G Suite ou Cloud Identity est associé à une seule organisation. Une organisation est associée à un seul domaine. Ce dernier est défini lors de la création de la ressource Organisation.

Une fois la ressource Organisation créée, nous communiquons sa disponibilité aux super-administrateurs G Suite ou Cloud Identity. Ces comptes de super-administrateur doivent être utilisés avec précaution, car ils permettent d'exercer un contrôle important sur votre organisation et sur toutes les ressources qu'elle contient. Pour cette raison, nous ne recommandons pas l'utilisation de comptes de super-administrateurs G Suite ou Cloud Identity pour la gestion des affaires courantes de votre organisation. Pour plus d'informations sur l'utilisation de comptes de super-administrateurs G Suite ou Cloud Identity dans GCP, consultez la page Meilleures pratiques relatives aux super-administrateurs.

Pour adopter activement la ressource Organisation, les super-administrateurs G Suite ou Cloud Identity doivent attribuer le rôle Cloud IAM d'administrateur de l'organisation à un utilisateur ou à un groupe. Pour découvrir les étapes à suivre pour configurer votre organisation, consultez la page Configurer votre organisation.

  • Lorsque l'organisation est créée, les rôles IAM de créateur de projet et de créateur de compte de facturation sont automatiquement attribués à tous les utilisateurs de votre domaine au niveau de l'organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption.
  • L'administrateur de l'organisation décide du moment où il souhaite commencer à utiliser activement l'organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
  • Une fois que l'organisation est disponible, vous pouvez créer des projets et des comptes de facturation, même si vous ne disposez pas des autorisations Cloud IAM nécessaires pour afficher la ressource Organisation. Même si vous ne pouvez pas les visualiser, ils sont automatiquement créés dans la ressource Organisation.

Obtenir l'ID de votre organisation

L'ID d'organisation est l'identifiant unique d'une organisation, créé automatiquement et en même temps que votre ressource Organisation. Les ID d'organisation sont au format décimal et ne peuvent pas comporter de zéros non significatifs.

Vous pouvez obtenir votre ID d'organisation en utilisant la console GCP, l'outil gcloud ou l'API Resource Manager.

Console


Pour obtenir votre ID d'organisation à l'aide de la console GCP :

  1. Accédez à la console GCP.

    Accéder à la console GCP

  2. En haut de la page, cliquez sur la liste déroulante de sélection de projets.
  3. Dans la fenêtre Sélectionner à partir de qui apparaît, cliquez sur la liste déroulante Organisation, puis sélectionnez l'organisation souhaitée.
  4. Sur le côté droit, cliquez sur Plus, puis sur Paramètres.

La page Paramètres affiche l'ID de votre organisation.

gcloud


Pour trouver l'ID de votre organisation à l'aide de gcloud, exécutez la commande suivante :

gcloud organizations list

Cette commande permet de répertorier toutes les organisations dont vous faites partie, ainsi que les ID d'organisation correspondants.

API


Pour trouver l'ID de votre organisation à l'aide de l'API Resource Manager, appelez la méthode organizations.search() avec le filtre domain:[company.com]. La réponse contiendra les métadonnées de la ressource Organisation, incluant l'ID de votre organisation.

Configurer votre organisation

Si vous êtes client G Suite ou Cloud Identity, vous avez automatiquement accès à une ressource Organisation.

Les super-administrateurs G Suite ou Cloud Identity sont les premiers utilisateurs à pouvoir accéder à l'organisation lors de sa création. Tous les autres utilisateurs ou groupes pourront utiliser GCP comme auparavant. Ils pourront consulter la ressource Organisation, mais ils ne pourront la modifier qu'une fois les autorisations appropriées définies.

Les super-administrateurs G Suite ou Cloud Identity et l'administrateur de l'organisation GCP jouent des rôles essentiels dans le processus d'installation et le contrôle du cycle de vie de la ressource Organisation. Ces deux rôles sont généralement attribués à différents utilisateurs ou groupes, bien que cela dépende de la structure et des besoins de l'organisation.

Dans le contexte de la configuration de l'organisation GCP, le super-administrateur G Suite ou Cloud Identity doit assumer les responsabilités suivantes :

  • Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
  • Faire office de point de contact en cas de problèmes de récupération
  • Contrôler le cycle de vie du compte G Suite ou Cloud Identity et de la ressource Organisation, comme expliqué dans la section Supprimer une ressource Organisation

Une fois désigné, l'administrateur de l'organisation peut attribuer des rôles IAM à d'autres utilisateurs. L'administrateur de l'organisation doit assumer les responsabilités suivantes :

  • Définir des stratégies IAM
  • Déterminer la structure de la hiérarchie des ressources
  • Déléguer d'autres responsabilités liées à des composants critiques, tels que la mise en réseau, la facturation et la hiérarchie des ressources par l'intermédiaire des rôles IAM.

Conformément au principe du "privilège minimum", ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.

La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs G Suite ou Cloud Identity et l'administrateur de l'organisation GCP. Cette séparation est souvent nécessaire, car les deux produits Google sont généralement gérés par différents services au sein de l'organisation du client.

Pour commencer à utiliser activement la ressource Organisation, suivez les étapes ci-dessous pour ajouter un administrateur de l'organisation :

Ajouter un administrateur de l'organisation

Console

Pour ajouter un administrateur de l'organisation, suivez les étapes ci-dessous :

  1. Connectez-vous à la console Google Cloud Platform en tant que super-administrateur G Suite ou Cloud Identity, puis accédez à la page IAM et administration :

    Ouvrir la page IAM et administration

  2. Sélectionnez l'organisation que vous souhaitez modifier :

    1. Cliquez sur la liste déroulante Sélectionner un projet située en haut de la page.

    2. Dans la boîte de dialogue Sélectionner qui s'affiche, cliquez sur la liste déroulante Organisation, puis sélectionnez celle à laquelle vous souhaitez ajouter un administrateur de l'organisation.

    3. Dans la liste qui s'affiche, cliquez sur l'organisation souhaitée pour ouvrir sa page Autorisations IAM.

  3. Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou plusieurs des utilisateurs que vous souhaitez définir en tant qu'administrateurs de l'organisation.

  4. Dans la liste déroulante Sélectionner un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Ajouter.

  5. L'administrateur de l'organisation peut exercer un contrôle complet sur l'organisation. Les responsabilités sont partagées entre le super-administrateur G Suite ou Cloud Identity et l'administrateur de l'organisation GCP.

  6. L'administrateur de l'organisation peut déléguer ses responsabilités vis-à-vis de fonctions essentielles en attribuant les rôles Cloud IAM appropriés.

Comme cela est expliqué dans la section Acquérir une ressource Organisation, lors de la création de cette ressource, les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine au niveau de l'organisation. Ainsi, les utilisateurs GCP ne subissent aucune interruption d'activité lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation en prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Notez que dans la mesure où les stratégies IAM sont héritées dans la hiérarchie, l'attribution du rôle de créateur de projet à l'ensemble du domaine (filtre "domain:mycompany.com") au niveau de l'organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.

Créer des projets dans votre organisation

Console


Vous pouvez créer un projet dans l'organisation à l'aide de la console GCP, après activation de la ressource Organisation pour votre domaine.

Pour créer un projet dans l'organisation :

  1. Accédez à la page Gérer les ressources dans la console GCP.
    ACCÉDER À LA PAGE "GÉRER LES RESSOURCES"
  2. Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez l'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de l'essai gratuit, ignorez cette étape, car cette liste n'apparaît pas.
  3. Cliquez sur Créer un projet.
  4. Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom pour le projet, puis sélectionnez un compte de facturation si nécessaire.
  5. Si vous souhaitez ajouter le projet à un dossier, saisissez le nom du dossier dans la case Emplacement.
  6. Lorsque vous avez terminé de saisir les détails du projet, cliquez sur Créer.

API


Pour créer un projet dans l'organisation, vous devez créer un projet (project) et définir son champ parent sur l'ID de l'organisation (organizationId).

L'extrait de code suivant montre comment créer un projet dans une organisation :

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Afficher des projets dans une organisation

Les utilisateurs ne peuvent afficher et répertorier que les projets auxquels ils ont accès par l'intermédiaire de rôles IAM. L'administrateur de l'organisation peut afficher et répertorier tous les projets de l'organisation.

Console


Pour afficher tous les projets d'une organisation à l'aide de la console GCP :

  1. Accédez à la console Google Cloud Platform :

    Accéder à la console Google Cloud Platform

  2. Cliquez sur la liste déroulante Organisation située en haut de la page.

  3. Sélectionnez votre organisation.

  4. Cliquez sur la liste déroulante Projet située en haut de la page, puis sur Afficher plus de projets. Tous les projets de l'organisation sont répertoriés sur la page qui s'affiche.

L'option Aucune organisation de la liste déroulante Organisation répertorie les types de projets suivants :

  • Les projets qui n'appartiennent pas encore à l'organisation
  • Les projets auxquels l'utilisateur a accès, mais qui appartiennent à une organisation à laquelle l'utilisateur n'a pas accès

gcloud


Pour afficher tous les projets d'une organisation, exécutez la commande suivante :

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Utilisez la méthode projects.list() pour répertorier tous les projets d'une organisation, comme indiqué dans l'extrait de code suivant :

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Supprimer une ressource Organisation

La ressource Organisation est liée à votre compte G Suite ou Cloud Identity.

Si vous préférez ne pas utiliser la ressource Organisation, nous vous recommandons de restaurer la stratégie IAM de l'organisation à son état d'origine en suivant les étapes ci-dessous :

  1. Ajoutez votre domaine aux rôles Project Creator (créateur de projet) et Billing Account Creator (créateur de compte de facturation).
  2. Supprimez toutes les autres entrées de la stratégie IAM de l'organisation.

Ainsi, vos utilisateurs pourront continuer à créer des projets et des comptes de facturation. En outre, les super-administrateurs G Suite ou Cloud Identity seront en mesure de récupérer l'administration centrale par la suite.

Si vous souhaitez supprimer votre organisation et toutes les ressources associées, supprimez votre compte G Suite. Si vous utilisez Cloud Identity, annulez tous les autres services Google, puis supprimez votre compte Google.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation relative à Resource Manager