La ressource Organisation est le nœud racine de la hiérarchie des ressources Google Cloud. Elle constitue le super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource Organisation.
Avant de commencer
Lisez la présentation de la ressource Organisation.
Obtenir une ressource Organisation
Une ressource Organisation est disponible pour les clients Google Workspace et Cloud Identity:
- Google Workspace : inscrivez-vous à Google Workspace.
- Cloud Identity : inscrivez-vous à Cloud Identity.
Une fois que vous avez créé votre compte Google Workspace ou Cloud Identity et que vous l'avez associé à un domaine, la ressource "Organisation" est automatiquement créée pour vous. La ressource sera provisionnée à différents moments en fonction de l'état de votre compte :
- Si vous débutez sur Google Cloud et que vous n'avez pas encore créé de projet, la ressource Organisation est créée pour vous lorsque vous vous connectez à la console Google Cloud et que vous acceptez les conditions d'utilisation.
-
Si vous utilisez déjà Google Cloud, la ressource Organisation est créée pour vous lorsque vous créez un projet ou un compte de facturation. Tous les projets que vous avez créés précédemment apparaîtront sous "Aucune organisation", ce qui est normal. La ressource Organisation s'affiche, et le nouveau projet que vous avez créé y est automatiquement associé.
Vous devez déplacer tous les projets que vous avez créés sous "Aucune organisation" vers la nouvelle ressource Organisation. Pour savoir comment déplacer vos projets, consultez Migrer des projets vers une ressource Organisation.
La ressource "Organisation" créée sera liée à votre compte Google Workspace ou Cloud Identity avec le projet ou le compte de facturation que vous avez créé et défini comme ressource enfant. Tous les projets et comptes de facturation créés dans votre domaine Google Workspace ou Cloud Identity seront des enfants de cette ressource d'organisation.
- Pour en savoir plus sur la migration de projets préexistants, consultez la page Migrer des projets existants vers l'organisation.
Chaque compte Google Workspace ou Cloud Identity est associé à une seule ressource d'organisation. Une ressource Organisation est associée à un seul domaine, qui est défini lors de la création de la ressource Organisation.
Une fois la ressource Organisation créée, nous communiquons sa disponibilité aux super-administrateurs Google Workspace ou Cloud Identity. Ces comptes de super-administrateur doivent être utilisés avec précaution, car ils permettent d'exercer un contrôle important sur les ressources de votre organisation et sur toutes celles qui sont sous-jacentes. C'est pourquoi nous vous déconseillons d'utiliser des comptes super-administrateur Google Workspace ou Cloud Identity pour gérer les ressources de votre organisation au quotidien. Pour en savoir plus sur l'utilisation des comptes super-administrateur Google Workspace ou Cloud Identity dans Google Cloud, consultez la page Bonnes pratiques relatives aux super-administrateurs.
Pour adopter activement la ressource Organisation, les super-administrateurs Google Workspace ou Cloud Identity doivent attribuer le rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) à un utilisateur ou à un groupe. Pour savoir comment configurer votre ressource Organisation, consultez la page Configurer votre ressource Organisation.
- Une fois la ressource Organisation créée, tous les utilisateurs de votre domaine se voient automatiquement attribuer les rôles IAM Créateur de projet (
roles/resourcemanager.projectCreator) et Créateur de compte de facturation (roles/billing.creator) au niveau de la ressource Organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption. - L'administrateur de l'organisation décidera du moment où il souhaite commencer à utiliser activement la ressource Organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
- Si la ressource Organisation est disponible et que vous ne disposez pas des autorisations IAM pour l'afficher, vous pouvez toujours créer des projets et des comptes de facturation. Ils sont automatiquement créés sous la ressource Organisation, même si vous ne les voyez pas.
Obtenir l'ID de ressource de votre organisation
L'ID de ressource Organisation est un identifiant unique attribué à une ressource Organisation. Il est généré automatiquement en même temps que votre ressource Organisation. Les ID de ressources de l'organisation utilisent des nombres décimaux et ne peuvent pas commencer par des zéros.
Vous pouvez obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Resource Manager.
Console
Pour obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à Google Cloud Console :
- Dans le sélecteur de projet en haut de la page, sélectionnez votre ressource d'organisation.
- À droite, cliquez sur Plus, puis sur Paramètres.
La page Paramètres affiche l'ID de ressource de votre organisation.
gcloud
Pour trouver l'ID de ressource de votre organisation, exécutez la commande suivante:
gcloud organizations list
Cette commande répertorie toutes les ressources d'organisation auxquelles vous appartenez, ainsi que les ID de ressources d'organisation correspondants.
API
Pour trouver l'ID de ressource de votre organisation à l'aide de l'API Resource Manager, utilisez la méthode organizations.search(), y compris une requête pour votre domaine. Exemple :
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La réponse contient les métadonnées de la ressource Organisation appartenant à altostrat.com, y compris l'ID de la ressource Organisation.
Configurer votre ressource Organisation
Si vous êtes un client Google Workspace ou Cloud Identity, une ressource Organisation vous est fournie automatiquement.
Les super-administrateurs Google Workspace ou Cloud Identity sont les premiers utilisateurs à accéder à la ressource Organisation lors de la création. Tous les autres utilisateurs ou groupes pourront utiliser Google Cloud comme auparavant. Ils pourront voir la ressource Organisation, mais ne pourront la modifier qu'une fois les autorisations appropriées définies.
Les super-administrateurs Google Workspace ou Cloud Identity et l'administrateur de l'organisation Google Cloud sont des rôles clés lors du processus de configuration et du contrôle du cycle de vie de la ressource Organisation. Les deux rôles sont généralement attribués à différents utilisateurs ou groupes, bien que cela dépende de la structure et des besoins de la ressource Organisation.
Dans le contexte de la configuration des ressources d'organisation Google Cloud, les responsabilités de super-administrateur Google Workspace ou Cloud Identity sont les suivantes:
- Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
- Point de contact en cas de problèmes de récupération
- Contrôler le cycle de vie du compte Google Workspace ou Cloud Identity, et la ressource Organisation, comme expliqué dans la section Supprimer une ressource Organisation
L'administrateur de l'organisation, une fois désigné, peut attribuer des rôles Identity and Access Management à d'autres utilisateurs. Les responsabilités de l'administrateur de l'organisation sont les suivantes :
- Définir des stratégies IAM et attribuer des rôles IAM à d'autres utilisateurs
- Déterminer la structure de la hiérarchie des ressources
Conformément au principe du moindre privilège, ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.
La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs Google Workspace et Cloud Identity et l'administrateur de l'organisation Google Cloud. Cette séparation est souvent nécessaire, car les deux produits Google sont généralement gérés par différents services au sein de l'organisation du client.
Pour commencer à utiliser activement la ressource Organisation, suivez les étapes ci-dessous pour ajouter un administrateur de l'organisation :
Ajouter un administrateur de l'organisation
Console
Pour ajouter un administrateur de l'organisation:
Connectez-vous à la console Google Cloud en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration:
Sélectionnez la ressource Organisation que vous souhaitez modifier:
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionner à partir de, cliquez sur la liste déroulante de l'organisation, puis sélectionnez la ressource Organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir la page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez définir comme administrateurs de l'organisation.
Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'administrateur de l'organisation peut effectuer les opérations suivantes:
Prenez le contrôle total de la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Comme expliqué dans la section Acquérir une ressource Organisation, lors de la création de cette ressource, les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine au niveau des ressources de l'organisation. Cela garantit qu'aucune interruption n'est causée aux utilisateurs Google Cloud lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Étant donné que les stratégies IAM sont héritées dans la hiérarchie, le fait que le rôle de créateur de projet soit attribué à l'ensemble du domaine (domain:mycompany.com) au niveau des ressources de l'organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.
Créer des projets dans votre ressource Organisation
Console
Vous pouvez créer un projet dans la ressource Organisation à l'aide de la console Google Cloud une fois que la ressource Organisation est activée pour votre domaine.
Pour créer un projet dans la ressource Organisation:
Pour créer un projet, procédez comme suit :
-
Accédez à la page Gérer les ressources de la console Google Cloud.
Accéder à la page Gérer les ressources
Les étapes restantes apparaîtront automatiquement dans la console Google Cloud.
- Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
- Cliquez sur Créer un projet.
- Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
- Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
- Une fois les détails du nouveau projet renseignés, cliquez sur Créer.
API
Vous pouvez créer un projet dans la ressource Organisation en créant un objet project et en définissant son champ parent sur le organizationId de la ressource Organisation.
L'extrait de code suivant montre comment créer un projet dans une ressource d'organisation:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Afficher des projets dans une ressource d'organisation
Les utilisateurs ne peuvent afficher et répertorier que les projets auxquels ils ont accès par l'intermédiaire de rôles IAM. L'administrateur de l'organisation peut afficher et répertorier tous les projets dans la ressource de l'organisation.
Console
Pour afficher tous les projets d'une ressource Organisation à l'aide de la console Google Cloud:
Accédez à Google Cloud Console :
Cliquez sur la liste déroulante Organisation en haut de la page.
Sélectionnez votre ressource Organisation.
Cliquez sur la liste déroulante Projet en haut de la page, puis cliquez sur Afficher plus de projets. Tous les projets de la ressource Organisation sont listés sur cette page.
L'option Aucune organisation de la liste déroulante Organisation répertorie les types de projets suivants :
- Projets qui n'appartiennent pas encore à la ressource Organisation
- Projets auxquels l'utilisateur a accès, mais qui se trouvent dans une ressource d'organisation à laquelle il n'a pas accès.
gcloud
Pour afficher tous les projets d'une ressource d'organisation, exécutez la commande suivante:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Faites appel à la méthode projects.list() pour répertorier tous les projets sous une ressource parent, comme indiqué dans l'extrait de code suivant :
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Supprimer une ressource Organisation
La ressource Organisation est liée à votre compte Google Workspace ou Cloud Identity.
Si vous préférez ne pas utiliser la ressource d'organisation, nous vous recommandons de restaurer la stratégie IAM de la ressource d'organisation à l'état d'origine comme suit:
- Ajoutez votre domaine aux rôles
Project Creator(créateur de projet) etBilling Account Creator(créateur de compte de facturation). - Supprimez toutes les autres entrées de la stratégie IAM de la ressource d'organisation.
Ainsi, vos utilisateurs pourront continuer à créer des projets et des comptes de facturation. En outre, les super-administrateurs Google Workspace ou Cloud Identity seront en mesure de récupérer l'administration centrale par la suite.
La suppression de votre compte Google Workspace entraîne la suppression des ressources de votre organisation et de toutes les ressources associées. Par conséquent, si vous souhaitez supprimer une ressource Organisation, vous devez le faire en supprimant votre compte Google Workspace. Si vous utilisez Cloud Identity, annulez tous les autres services Google, puis supprimez votre compte Google. Il s'agit d'une action potentiellement dommageable qui peut s'avérer totalement irréversible. Par conséquent, nous vous recommandons de ne l'effectuer que si vous êtes certain qu'aucune ressource n'est active.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit