La ressource Organisation établit la propriété des projets et des dossiers sous-jacents dans la hiérarchie des ressources Google Cloud Platform.
Votre compte Google Workspace ou Cloud Identity est associé à une seule ressource d'organisation. Chaque compte Google Workspace ou Cloud Identity est également associé à un domaine principal, tel que example.com
. Pour en savoir plus sur l'utilisation de plusieurs domaines, consultez Ajouter un domaine avec alias d'utilisateur ou un domaine secondaire. Pour savoir comment modifier le domaine principal d'un compte Google Workspace, consultez Changer de domaine principal pour Google Workspace.
Il est préférable d'utiliser des dossiers sous une seule ressource d'organisation dans la plupart des cas d'utilisation. Si vous souhaitez conserver des sous-organisations ou des services au sein de votre entreprise en tant qu'entités isolées sans administration centrale, vous pouvez configurer plusieurs comptes Google Workspace ou Cloud Identity. Chaque compte sera associé à une seule ressource d'organisation associée à un domaine principal.
Effets de l'utilisation de plusieurs ressources d'organisation
Utilisez plusieurs ressources d'organisation lorsque vous ne souhaitez pas que les utilisateurs d'un compte Google Workspace ou Cloud Identity accèdent aux ressources créées par les utilisateurs d'un autre compte Google Workspace ou Cloud Identity. La séparation des ressources en plusieurs ressources Organisation a plusieurs conséquences:
Par défaut, aucun utilisateur ne dispose d'une visibilité ni d'un contrôle centralisés sur l'ensemble des ressources.
Les stratégies communes aux sous-organisations doivent être répliquées sur chaque ressource d'organisation.
Le déplacement de dossiers d'une ressource d'organisation à une autre n'est pas possible. Pour déplacer des projets d'une ressource d'organisation à une autre, suivez ce guide.
Chaque ressource d'organisation nécessite un compte Google Workspace. L'exploitation de plusieurs ressources d'organisation nécessite donc plusieurs comptes Google Workspace et la possibilité de gérer les identités entre ces comptes.
Utiliser une seule ressource d'organisation
La plupart des organisations qui souhaitent conserver des sous-organisations distinctes peuvent le faire en utilisant une seule ressource d'organisation et des dossiers. Si vous possédez un seul compte Google Workspace, celui-ci est mappé à la ressource Organisation, et les sous-organisations sont mappées aux dossiers.
Choisir un administrateur de l'organisation
Choisissez un ou plusieurs utilisateurs qui agiront en tant qu'administrateur d'organisation IAM pour la ressource d'organisation.
Console
Pour ajouter un administrateur de l'organisation:
Connectez-vous à la console Google Cloud en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration:
Sélectionnez la ressource Organisation que vous souhaitez modifier:
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionner une organisation, cliquez sur la liste déroulante des organisations, puis sélectionnez la ressource d'organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir sa page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez définir comme administrateurs de l'organisation.
Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'administrateur de l'organisation peut effectuer les opérations suivantes:
Prenez le contrôle total de la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Créer des dossiers pour les sous-organisations
Créez un dossier sous la ressource Organisation pour chaque sous-organisation.
Pour créer des dossiers, vous devez bénéficier du rôle Administrateur de dossier ou Créateur de dossier au niveau du dossier parent. Par exemple, pour créer des dossiers au niveau de l'organisation, vous devez disposer de l'un de ces rôles au niveau de l'organisation.
Lorsque vous créez un dossier, vous devez lui attribuer un nom. Les noms de dossier doivent répondre aux exigences suivantes :
- Le nom peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement.
- Le nom d'affichage du dossier doit commencer et se terminer par une lettre ou un chiffre.
- Le nom doit contenir entre 3 et 30 caractères.
- Le nom ne doit pas être le même que celui d'un autre dossier possédant le même parent.
Pour créer un dossier, procédez comme suit :
Console
Vous pouvez créer des dossiers sur la page "Gérer les projets et les dossiers" de l'interface utilisateur.
Accédez à la page Gérer les ressources de la console Google Cloud:
Assurez-vous que le nom de ressource de votre organisation est sélectionné dans la liste déroulante des organisations en haut de la page.
Cliquez sur Créer un dossier, puis sélectionnez l'une des options suivantes:
- Dossier standard: ressource de dossier standard.
- Dossier Assured Workloads: dossier Assured Workloads qui fournit des contrôles réglementaires, régionaux ou souverains supplémentaires pour les ressources Google Cloud. En sélectionnant cette option, vous accédez à Assured Workloads pour créer un dossier.
Dans le champ Nom du dossier, saisissez le nom de votre nouveau dossier.
Sous Destination, cliquez sur Parcourir, puis sélectionnez la ressource ou le dossier de l'organisation sous lequel vous souhaitez créer votre dossier.
- Cliquez sur Créer.
gcloud
Les dossiers peuvent être créés de manière automatisée à l'aide de la Google Cloud CLI.
Pour créer un dossier sous la ressource Organisation à l'aide de l'outil de ligne de commande gcloud
, exécutez la commande suivante.
gcloud resource-manager folders create \
--display-name=[DISPLAY_NAME] \
--organization=[ORGANIZATION_ID]
Pour créer un dossier ayant pour parent un autre dossier, procédez comme suit :
gcloud resource-manager folders create \
--display-name=[DISPLAY_NAME] \
--folder=[FOLDER_ID]
Où :
[DISPLAY_NAME]
correspond au nom à afficher pour le dossier. Deux dossiers possédant le même parent ne peuvent pas porter le même nom à afficher. Le nom à afficher doit commencer et se terminer par une lettre ou un chiffre. Il peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement. Il ne peut pas dépasser 30 caractères.[ORGANIZATION_ID]
est l'ID de la ressource d'organisation parente si le parent est une ressource d'organisation.[FOLDER_ID]
correspond à l'identifiant du dossier parent si le parent est un dossier.
API
Les dossiers peuvent être créés avec une requête API.
Requête JSON :
request_json= '{
display_name: DISPLAY_NAME,
parent: ORGANIZATION_NAME
}'
Requête curl pour créer un dossier :
curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders
Où :
[DISPLAY_NAME]
correspond au nom à afficher pour le nouveau dossier, par exemple "Mon dossier préféré".[ORGANIZATION_NAME]
est le nom de la ressource d'organisation sous laquelle vous créez le dossier, par exempleorganizations/123
.
Réponse pour la création du dossier :
{
"name": "operations/fc.123456789",
"metadata": {
"@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
"displayName": "[DISPLAY_NAME]",
"operationType": "CREATE"
}
}
Requête curl pour l'opération Get :
curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789
Réponse pour l'opération Get :
{
"name": "operations/fc.123456789",
"metadata": {
"@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
"displayName": "[DISPLAY_NAME]",
"operationType": "CREATE"
},
"done": true,
"response": {
"@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
"name": "folders/12345",
"parent": "organizations/123",
"displayName": "[DISPLAY_NAME]",
"lifecycleState": "ACTIVE",
"createTime": "2017-07-19T23:29:26.018Z",
"updateTime": "2017-07-19T23:29:26.046Z"
}
}
Attribuer des rôles d'administrateur du dossier
Pour chaque dossier de sous-organisation que vous créez, attribuez à un ou plusieurs utilisateurs le rôle Administrateur du dossier. Ces utilisateurs pourront exercer un contrôle administratif sur le dossier et la sous-organisation qu'il représente.
Pour configurer l'accès aux dossiers, vous devez bénéficier du rôle Administrateur de dossier IAM ou Administrateur de dossier au niveau du dossier parent.
Console
Dans la console Google Cloud, ouvrez la page Gérer les ressources.
Cliquez sur la liste déroulante Organisation en haut à gauche, puis sélectionnez votre ressource d'organisation.
Cochez la case à côté du projet pour lequel vous souhaitez modifier les autorisations.
Dans le Panneau d'informations situé à droite, sous Autorisations, saisissez les adresses e-mail des membres que vous souhaitez ajouter.
Dans la liste déroulante Sélectionner un rôle, sélectionnez le rôle que vous souhaitez attribuer à ces membres.
Cliquez sur Ajouter. Une notification s'affiche pour confirmer l'ajout ou la mise à jour du nouveau rôle des membres.
gcloud
Vous pouvez configurer l'accès aux dossiers de manière automatisée à l'aide de Google Cloud CLI ou de l'API.
gcloud resource-manager folders \
add-iam-policy-binding [FOLDER_ID] \
--member=user:email1@example.com \
--role=roles/resourcemanager.folderEditor
gcloud resource-manager folders \
add-iam-policy-binding [FOLDER_ID] \
--member=user:email1@example.com \
--role=roles/resourcemanager.folderViewer
Vous pouvez également procéder comme suit :
gcloud resource-manager folders \
set-iam-policy [FOLDER_ID] [POLICY_FILE]
Où :
[FOLDER_ID]
correspond à l'identifiant du nouveau dossier.[POLICY_FILE]
correspond au chemin d'accès à un fichier de stratégie associé au dossier.
API
La méthode setIamPolicy
définit la stratégie de contrôle des accès sur un dossier et remplace toute stratégie existante. Le champ resource
doit contenir le nom de ressource du dossier, par exemple folders/1234
.
request_json= '{
policy: {
version: "1",
bindings: [
{
role: "roles/resourcemanager.folderEditor",
members: [
"user:email1@example.com",
"user:email2@example.com",
]
}
]
}
}'
Requête curl :
curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy
Où :
[FOLDER_NAME]
correspond au nom du dossier dont la stratégie IAM est définie, par exemple "folders/123".
Restreindre les rôles de sous-organisation
Chaque Administrateur de dossier peut restreindre le rôle de Créateur de projet aux membres de sa sous-organisation. Il peut également supprimer le domaine du rôle de Créateur de projet dans la stratégie IAM de la ressource Organisation.
Les super-administrateurs Google Workspace disposent de droits d'administrateur d'organisation irrévocables. Ces super-administrateurs gèrent généralement les identités et les stratégies d'authentification, plutôt que de gérer des ressources Google Cloud et des stratégies applicables à ces ressources.
Console
Pour supprimer les rôles attribués aux utilisateurs par défaut à l'aide de la console Google Cloud:
Accédez à la page Gérer les ressources de la console Google Cloud:
Cliquez sur la liste déroulante Organisation en haut de la page, puis sélectionnez votre ressource d'organisation.
Cochez la case de la ressource Organisation pour laquelle vous souhaitez modifier les autorisations. Si vous n'avez pas de ressource Dossier, la ressource Organisation ne sera pas visible. Pour continuer, consultez les instructions de révocation de rôles à la page IAM.
Dans le panneau d'informations situé à droite, sous Autorisations, cliquez pour développer le rôle dont vous souhaitez supprimer des utilisateurs.
Sous la liste de rôles développée, cliquez sur l'icône de suppression située à côté du compte principal dont vous souhaitez supprimer le rôle.
Dans la boîte de dialogue Supprimer le compte principal ? qui s'affiche, cliquez sur Supprimer pour confirmer la suppression du rôle du compte principal spécifié.
Répétez les deux étapes ci-dessus pour chaque rôle que vous souhaitez supprimer.
Exemple
Le schéma ci-dessous illustre le cas d'une organisation qui a séparé deux services à l'aide de dossiers. Les responsables des services d'ingénierie et des finances peuvent exercer un contrôle administratif, contrairement aux autres utilisateurs qui ne peuvent pas créer de projets.
Gérer plusieurs organisations sous une ressource d'organisation principale
Si votre organisation possède plusieurs comptes Google Workspace, vous disposez de plusieurs ressources d'organisation par défaut. Pour maintenir une visibilité et un contrôle centralisés, vous devez choisir une ressource d'organisation en tant que ressource d'organisation principale. Les super-administrateurs du compte Google Workspace associé à votre ressource d'organisation principale auront un contrôle administratif sur toutes les ressources, y compris celles créées par les utilisateurs des autres comptes Google Workspace. Les utilisateurs de ces comptes Google Workspace auront accès à un dossier de la ressource d'organisation principale, dans lequel ils pourront créer des projets.
Choisir un administrateur de l'organisation
Choisissez un ou plusieurs utilisateurs qui agiront en tant qu'administrateur d'organisation IAM pour la ressource d'organisation.
Console
Pour ajouter un administrateur de l'organisation:
Connectez-vous à la console Google Cloud en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration:
Sélectionnez la ressource Organisation que vous souhaitez modifier:
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionner une organisation, cliquez sur la liste déroulante des organisations, puis sélectionnez la ressource d'organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir sa page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez définir comme administrateurs de l'organisation.
Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'administrateur de l'organisation peut effectuer les opérations suivantes:
Prenez le contrôle total de la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Supprimer le rôle de créateur de projet
Supprimez le rôle Créateur de projet de la ressource Organisation pour vous assurer que ces ressources ne sont pas créées dans les autres ressources d'organisation.
Console
Pour supprimer les rôles attribués aux utilisateurs par défaut à l'aide de la console Google Cloud:
Accédez à la page Gérer les ressources de la console Google Cloud:
Cliquez sur la liste déroulante Organisation en haut de la page, puis sélectionnez votre ressource d'organisation.
Cochez la case de la ressource Organisation pour laquelle vous souhaitez modifier les autorisations. Si vous n'avez pas de ressource Dossier, la ressource Organisation ne sera pas visible. Pour continuer, consultez les instructions de révocation de rôles à la page IAM.
Dans le panneau d'informations situé à droite, sous Autorisations, cliquez pour développer le rôle dont vous souhaitez supprimer des utilisateurs.
Sous la liste de rôles développée, cliquez sur l'icône de suppression située à côté du compte principal dont vous souhaitez supprimer le rôle.
Dans la boîte de dialogue Supprimer le compte principal ? qui s'affiche, cliquez sur Supprimer pour confirmer la suppression du rôle du compte principal spécifié.
Répétez les deux étapes ci-dessus pour chaque rôle que vous souhaitez supprimer.
Créer des dossiers pour les comptes Google Workspace
Créez un dossier sous la ressource Organisation pour chaque compte Google Workspace.
Pour créer des dossiers, vous devez bénéficier du rôle Administrateur de dossier ou Créateur de dossier au niveau du dossier parent. Par exemple, pour créer des dossiers au niveau de l'organisation, vous devez disposer de l'un de ces rôles au niveau de l'organisation.
Lorsque vous créez un dossier, vous devez lui attribuer un nom. Les noms de dossier doivent répondre aux exigences suivantes :
- Le nom peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement.
- Le nom d'affichage du dossier doit commencer et se terminer par une lettre ou un chiffre.
- Le nom doit contenir entre 3 et 30 caractères.
- Le nom ne doit pas être le même que celui d'un autre dossier possédant le même parent.
Pour créer un dossier, procédez comme suit :
Console
Vous pouvez créer des dossiers sur la page "Gérer les projets et les dossiers" de l'interface utilisateur.
Accédez à la page Gérer les ressources de la console Google Cloud:
Assurez-vous que le nom de ressource de votre organisation est sélectionné dans la liste déroulante des organisations en haut de la page.
Cliquez sur Créer un dossier, puis sélectionnez l'une des options suivantes:
- Dossier standard: ressource de dossier standard.
- Dossier Assured Workloads: dossier Assured Workloads qui fournit des contrôles réglementaires, régionaux ou souverains supplémentaires pour les ressources Google Cloud. En sélectionnant cette option, vous accédez à Assured Workloads pour créer un dossier.
Dans le champ Nom du dossier, saisissez le nom de votre nouveau dossier.
Sous Destination, cliquez sur Parcourir, puis sélectionnez la ressource ou le dossier de l'organisation sous lequel vous souhaitez créer votre dossier.
- Cliquez sur Créer.
gcloud
Les dossiers peuvent être créés de manière automatisée à l'aide de la Google Cloud CLI.
Pour créer un dossier sous la ressource Organisation à l'aide de l'outil de ligne de commande gcloud
, exécutez la commande suivante.
gcloud resource-manager folders create \
--display-name=[DISPLAY_NAME] \
--organization=[ORGANIZATION_ID]
Pour créer un dossier ayant pour parent un autre dossier, procédez comme suit :
gcloud resource-manager folders create \
--display-name=[DISPLAY_NAME] \
--folder=[FOLDER_ID]
Où :
[DISPLAY_NAME]
correspond au nom à afficher pour le dossier. Deux dossiers possédant le même parent ne peuvent pas porter le même nom à afficher. Le nom à afficher doit commencer et se terminer par une lettre ou un chiffre. Il peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement. Il ne peut pas dépasser 30 caractères.[ORGANIZATION_ID]
est l'ID de la ressource d'organisation parente si le parent est une ressource d'organisation.[FOLDER_ID]
correspond à l'identifiant du dossier parent si le parent est un dossier.
API
Les dossiers peuvent être créés avec une requête API.
Requête JSON :
request_json= '{
display_name: DISPLAY_NAME,
parent: ORGANIZATION_NAME
}'
Requête curl pour créer un dossier :
curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders
Où :
[DISPLAY_NAME]
correspond au nom à afficher pour le nouveau dossier, par exemple "Mon dossier préféré".[ORGANIZATION_NAME]
est le nom de la ressource d'organisation sous laquelle vous créez le dossier, par exempleorganizations/123
.
Réponse pour la création du dossier :
{
"name": "operations/fc.123456789",
"metadata": {
"@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
"displayName": "[DISPLAY_NAME]",
"operationType": "CREATE"
}
}
Requête curl pour l'opération Get :
curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789
Réponse pour l'opération Get :
{
"name": "operations/fc.123456789",
"metadata": {
"@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
"displayName": "[DISPLAY_NAME]",
"operationType": "CREATE"
},
"done": true,
"response": {
"@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
"name": "folders/12345",
"parent": "organizations/123",
"displayName": "[DISPLAY_NAME]",
"lifecycleState": "ACTIVE",
"createTime": "2017-07-19T23:29:26.018Z",
"updateTime": "2017-07-19T23:29:26.046Z"
}
}
Attribuer des rôles d'administrateur du dossier
Pour chaque dossier créé, attribuez à un ou plusieurs utilisateurs le rôle Administrateur du dossier. Ces utilisateurs pourront exercer un contrôle administratif sur le dossier et la sous-organisation qu'il représente.
Pour configurer l'accès aux dossiers, vous devez bénéficier du rôle Administrateur de dossier IAM ou Administrateur de dossier au niveau du dossier parent.
Console
Dans la console Google Cloud, ouvrez la page Gérer les ressources.
Cliquez sur la liste déroulante Organisation en haut à gauche, puis sélectionnez votre ressource d'organisation.
Cochez la case à côté du projet pour lequel vous souhaitez modifier les autorisations.
Dans le Panneau d'informations situé à droite, sous Autorisations, saisissez les adresses e-mail des membres que vous souhaitez ajouter.
Dans la liste déroulante Sélectionner un rôle, sélectionnez le rôle que vous souhaitez attribuer à ces membres.
Cliquez sur Ajouter. Une notification s'affiche pour confirmer l'ajout ou la mise à jour du nouveau rôle des membres.
gcloud
Vous pouvez configurer l'accès aux dossiers de manière automatisée à l'aide de Google Cloud CLI ou de l'API.
gcloud resource-manager folders \
add-iam-policy-binding [FOLDER_ID] \
--member=user:email1@example.com \
--role=roles/resourcemanager.folderEditor
gcloud resource-manager folders \
add-iam-policy-binding [FOLDER_ID] \
--member=user:email1@example.com \
--role=roles/resourcemanager.folderViewer
Vous pouvez également procéder comme suit :
gcloud resource-manager folders \
set-iam-policy [FOLDER_ID] [POLICY_FILE]
Où :
[FOLDER_ID]
correspond à l'identifiant du nouveau dossier.[POLICY_FILE]
correspond au chemin d'accès à un fichier de stratégie associé au dossier.
API
La méthode setIamPolicy
définit la stratégie de contrôle des accès sur un dossier et remplace toute stratégie existante. Le champ resource
doit contenir le nom de ressource du dossier, par exemple folders/1234
.
request_json= '{
policy: {
version: "1",
bindings: [
{
role: "roles/resourcemanager.folderEditor",
members: [
"user:email1@example.com",
"user:email2@example.com",
]
}
]
}
}'
Requête curl :
curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy
Où :
[FOLDER_NAME]
correspond au nom du dossier dont la stratégie IAM est définie, par exemple "folders/123".
Chaque Administrateur de dossier peut alors attribuer aux utilisateurs du domaine associé le rôle de Créateur de projet.
Exemple
Le schéma ci-dessous illustre le cas d'une organisation disposant d'un domaine principal isolé d'un domaine secondaire qu'elle a acheté. Chacun des deux domaines possède son propre compte Google Workspace, "hypothetical.com" étant la ressource d'organisation principale.