Gérer plusieurs organisations

Le nœud d'organisation définit la propriété des projets et des dossiers sous-jacents dans l'arborescence des ressources de Google Cloud Platform. Votre compte G Suite ou Cloud Identity est associé à un seul nœud d'organisation. Chaque compte G Suite ou Cloud Identity est associé à un seul domaine, tel que example.com.

Dans la plupart des cas, il est préférable d'utiliser des dossiers sous un seul nœud d'organisation. Si vous souhaitez maintenir des sous-organisations ou des services au sein de votre entreprise en tant qu'entités isolées sans administration centrale, vous pouvez configurer plusieurs comptes G Suite ou Cloud Identity. Chaque compte sera rattaché à un seul nœud d'organisation associé à un domaine.

Effets de l'utilisation de plusieurs nœuds d'organisation

Utilisez plusieurs nœuds d'organisation lorsque vous ne souhaitez pas que les utilisateurs d'un compte G Suite ou Cloud Identity accèdent aux ressources créées par les utilisateurs d'un autre compte G Suite ou Cloud Identity. La séparation des ressources en plusieurs nœuds d'organisation a toutefois plusieurs conséquences :

  • Par défaut, aucun utilisateur ne dispose d'une visibilité ni d'un contrôle centralisés sur l'ensemble des ressources.

  • Les stratégies communes aux sous-organisations doivent être répliquées sur chaque nœud d'organisation.

  • Le transfert de projets et de dossiers d'un nœud d'organisation à un autre ne constitue pas une opération en libre-service et nécessite une demande de support.

  • Chaque nœud d'organisation nécessite un compte G Suite. L'exploitation de plusieurs nœuds d'organisation nécessite donc plusieurs comptes G Suite et la possibilité de gérer les identités entre ces derniers.

Utiliser un seul nœud d'organisation

La plupart des organisations qui souhaitent gérer des sous-organisations distinctes peuvent le faire en utilisant un seul nœud d'organisation ainsi que des dossiers. Si vous disposez d'un seul compte G Suite, celui-ci est mappé au nœud d'organisation et les sous-organisations sont mappées aux dossiers.

Choisir un administrateur de l'organisation

Choisissez un ou plusieurs utilisateurs qui agiront en tant qu'administrateurs de l'organisation Cloud IAM pour le nœud d'organisation.

Console

Pour ajouter un administrateur de l'organisation, suivez les étapes ci-dessous :

  1. Connectez-vous à la console Google Cloud Platform en tant que super-administrateur G Suite ou Cloud Identity, puis accédez à la page IAM et administration :

    Ouvrir la page IAM et administration

  2. Sélectionnez l'organisation que vous souhaitez modifier :

    1. Cliquez sur la liste déroulante Sélectionner un projet située en haut de la page.

    2. Dans la boîte de dialogue Sélectionner qui s'affiche, cliquez sur la liste déroulante Organisation, puis sélectionnez celle à laquelle vous souhaitez ajouter un administrateur de l'organisation.

    3. Dans la liste qui s'affiche, cliquez sur l'organisation souhaitée pour ouvrir sa page Autorisations IAM.

  3. Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou plusieurs des utilisateurs que vous souhaitez définir en tant qu'administrateurs de l'organisation.

  4. Dans la liste déroulante Sélectionner un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Ajouter.

  5. L'administrateur de l'organisation peut exercer un contrôle complet sur l'organisation. Les responsabilités sont partagées entre le super-administrateur G Suite ou Cloud Identity et l'administrateur de l'organisation GCP.

  6. L'administrateur de l'organisation peut déléguer la responsabilité des fonctions essentielles en attribuant les rôles Cloud IAM appropriés.

Créer des dossiers pour les sous-organisations

Créez un dossier sous le nœud d'organisation pour chaque sous-organisation.

Pour créer des dossiers, vous devez bénéficier du rôle Administrateur de dossier ou Créateur de dossier au niveau du dossier parent. Par exemple, pour créer des dossiers au niveau de l'organisation, vous devez bénéficier de l'un de ces rôles au niveau de l'organisation.

Lorsque vous créez un dossier, vous devez lui attribuer un nom. Les noms de dossier doivent répondre aux exigences suivantes :

  • Le nom peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement.
  • Le nom d'affichage du dossier doit commencer et se terminer par une lettre ou un chiffre.
  • Le nom ne doit pas comporter plus de 30 caractères
  • Le nom ne doit pas être le même que celui d'un autre dossier possédant le même parent.

Pour créer un dossier, procédez comme suit :

Console

Les dossiers peuvent être créés dans l'interface utilisateur sur la page "Gérer les projets et les dossiers".

  1. Accédez à la page Gérer les ressources dans la console GCP :

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur Créer un dossier.

  3. Dans le champ Nom du dossier, saisissez le nom de votre nouveau dossier.

  4. Sous Destination, cliquez sur Parcourir, puis sélectionnez le nœud ou le dossier de l'organisation sous lequel vous souhaitez créer votre dossier.

    1. Cliquez sur Créer.

gcloud

Les dossiers peuvent être créés de façon automatisée à l'aide de l'outil de ligne de commande gcloud.

Pour créer un dossier sous la ressource Organisation à l'aide de l'outil de ligne de commande gcloud, exécutez la commande suivante :

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Pour créer un dossier dont le parent est un autre dossier :

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Où :

  • [DISPLAY_NAME] correspond au nom d'affichage du dossier. Deux dossiers possédant le même parent ne peuvent pas porter le même nom à afficher. Le nom à afficher doit commencer et se terminer par une lettre ou un chiffre. Il peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement. Il ne peut pas dépasser 30 caractères.
  • [ORGANIZATION_ID] correspond à l'identifiant de l'organisation parente si le parent est une organisation.
  • [FOLDER_ID] correspond à l'identifiant du dossier parent si le parent est un dossier.

API

Les dossiers peuvent être créés avec une requête API.

Requête JSON :

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Requête curl pour créer un dossier :

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Où :

  • [DISPLAY_NAME] correspond au nom à afficher pour le nouveau dossier, par exemple "Mon dossier préféré".
  • [ORGANIZATION_NAME] correspond au nom de l'organisation sous laquelle vous créez le dossier, par exemple organizations/123.

Réponse pour la création du dossier :

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Requête curl pour l'opération Get :

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

Réponse pour l'opération Get :

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Attribuer des rôles d'administrateur du dossier

Pour chaque dossier de sous-organisation que vous créez, attribuez à un ou plusieurs utilisateurs le rôle Administrateur du dossier. Ces utilisateurs pourront exercer un contrôle administratif sur le dossier et la sous-organisation qu'il représente.

Pour configurer l'accès aux dossiers, vous devez bénéficier du rôle Administrateur de dossier IAM ou Administrateur de dossier au niveau du dossier parent.

Console

  1. Dans la console Google Cloud Platform, ouvrez la page Gérer les ressources.

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur la liste déroulante Organisation en haut à gauche, puis sélectionnez votre organisation.

  3. Cochez la case située à côté du projet dont vous souhaitez modifier les autorisations.

  4. Dans le Panneau d'informations situé à droite, sous Autorisations, saisissez les adresses e-mail des membres que vous souhaitez ajouter.

  5. Dans la liste déroulante Sélectionner un rôle, sélectionnez le rôle que vous souhaitez attribuer à ces membres.

    Capture d'écran de l'interface utilisateur

  6. Cliquez sur Ajouter. Une notification s'affiche confirmant l'ajout ou la mise à jour des rôles des membres.

gcloud

Vous pouvez configurer l'accès aux dossiers par programmation à l'aide de l'outil de ligne de commande gcloud ou de l'API.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Vous pouvez également procéder comme suit :

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Où :

  • [FOLDER_ID] correspond à l'identifiant du nouveau dossier.
  • [POLICY_FILE] correspond au chemin d'accès à un fichier de stratégie pour le dossier.

API

SetsIamPolicy définit la stratégie de contrôle d'accès pour un dossier et remplace toute stratégie existante. Le champ resource doit correspondre au nom de la ressource du dossier, par exemple folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Requête curl :

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Où :

  • [FOLDER_NAME] correspond au nom du dossier dont la stratégie IAM est définie, par exemple "folders/123".

Restreindre les rôles de sous-organisation

Chaque Administrateur de dossier peut restreindre le rôle de Créateur de projet aux membres de sa sous-organisation. Les utilisateurs bénéficiant de ce rôle peuvent également supprimer le domaine du rôle de Créateur de projet dans la stratégie IAM du nœud d'organisation.

Les super-administrateurs G Suite disposent de droits d'administrateur d'organisation irrévocables. Ces super-administrateurs gèrent généralement les identités et les règles d'identité, plutôt que de gérer les ressources GCP et les règles relatives aux ressources.

Console

Pour supprimer les rôles attribués aux utilisateurs par défaut à l'aide de la console Google Cloud Platform :

  1. Accédez à la page Gérer les ressources dans la console GCP :

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur la liste déroulante Organisation en haut de la page, puis sélectionnez votre organisation.

  3. Cochez la case correspondant à la ressource Organisation pour laquelle vous souhaitez modifier les autorisations. Si vous n'avez pas de ressource Dossier, la ressource Organisation n'est pas visible. Pour continuer, consultez les instructions de révocation de rôles à la page Cloud IAM.

  4. Dans le panneau de droite, sous Autorisations, cliquez pour développer le rôle dont vous souhaitez supprimer des utilisateurs.

  5. Sous la liste des rôles développée, cliquez sur l'icône de suppression située à côté du membre pour lequel vous souhaitez que le rôle soit supprimé. Capture d'écran de l'interface utilisateur

  6. La boîte de dialogue Supprimer le rôle pour ce membre ? s'affiche. Cliquez sur Supprimer pour confirmer la suppression du rôle pour le membre spécifié.

  7. Répétez les deux étapes ci-dessus pour chaque rôle que vous souhaitez supprimer.

Exemple

Le schéma ci-dessous illustre le cas d'une organisation qui a séparé deux services à l'aide de dossiers. Les responsables des services d'ingénierie et des finances peuvent exercer un contrôle administratif, contrairement aux autres utilisateurs qui ne peuvent pas créer de projets.

Schéma de l'arborescence

Utiliser plusieurs nœuds d'organisation

Si votre organisation possède plusieurs comptes G Suite, vous disposez par défaut de plusieurs nœuds d'organisation. Pour maintenir une visibilité et un contrôle centralisés, vous devez choisir un nœud d'organisation comme nœud principal. Les super-administrateurs du compte G Suite associé à votre nœud d'organisation principal pourront exercer un contrôle administratif sur toutes les ressources, y compris celles créées par les utilisateurs des autres comptes G Suite. Ces derniers auront accès à un dossier sous le nœud d'organisation principal dans lequel ils pourront créer des projets.

Choisir un administrateur de l'organisation

Choisissez un ou plusieurs utilisateurs qui agiront en tant qu'administrateurs de l'organisation Cloud IAM pour le nœud d'organisation.

Console

Pour ajouter un administrateur de l'organisation, suivez les étapes ci-dessous :

  1. Connectez-vous à la console Google Cloud Platform en tant que super-administrateur G Suite ou Cloud Identity, puis accédez à la page IAM et administration :

    Ouvrir la page IAM et administration

  2. Sélectionnez l'organisation que vous souhaitez modifier :

    1. Cliquez sur la liste déroulante Sélectionner un projet située en haut de la page.

    2. Dans la boîte de dialogue Sélectionner qui s'affiche, cliquez sur la liste déroulante Organisation, puis sélectionnez celle à laquelle vous souhaitez ajouter un administrateur de l'organisation.

    3. Dans la liste qui s'affiche, cliquez sur l'organisation souhaitée pour ouvrir sa page Autorisations IAM.

  3. Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou plusieurs des utilisateurs que vous souhaitez définir en tant qu'administrateurs de l'organisation.

  4. Dans la liste déroulante Sélectionner un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Ajouter.

  5. L'administrateur de l'organisation peut exercer un contrôle complet sur l'organisation. Les responsabilités sont partagées entre le super-administrateur G Suite ou Cloud Identity et l'administrateur de l'organisation GCP.

  6. L'administrateur de l'organisation peut déléguer la responsabilité des fonctions essentielles en attribuant les rôles Cloud IAM appropriés.

Supprimer le rôle de créateur de projet

Supprimez le rôle de Créateur de projet du nœud d'organisation pour vous assurer que des ressources ne sont pas créées dans les autres nœuds d'organisation.

Console

Pour supprimer les rôles attribués aux utilisateurs par défaut à l'aide de la console Google Cloud Platform :

  1. Accédez à la page Gérer les ressources dans la console GCP :

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur la liste déroulante Organisation en haut de la page, puis sélectionnez votre organisation.

  3. Cochez la case correspondant à la ressource Organisation pour laquelle vous souhaitez modifier les autorisations. Si vous n'avez pas de ressource Dossier, la ressource Organisation n'est pas visible. Pour continuer, consultez les instructions de révocation de rôles à la page Cloud IAM.

  4. Dans le panneau de droite, sous Autorisations, cliquez pour développer le rôle dont vous souhaitez supprimer des utilisateurs.

  5. Sous la liste des rôles développée, cliquez sur l'icône de suppression située à côté du membre pour lequel vous souhaitez que le rôle soit supprimé. Capture d'écran de l'interface utilisateur

  6. La boîte de dialogue Supprimer le rôle pour ce membre ? s'affiche. Cliquez sur Supprimer pour confirmer la suppression du rôle pour le membre spécifié.

  7. Répétez les deux étapes ci-dessus pour chaque rôle que vous souhaitez supprimer.

Créer des dossiers pour les comptes G Suite

Créez un dossier sous le nœud d'organisation pour chaque sous-organisation.

Pour créer des dossiers, vous devez bénéficier du rôle Administrateur de dossier ou Créateur de dossier au niveau du dossier parent. Par exemple, pour créer des dossiers au niveau de l'organisation, vous devez bénéficier de l'un de ces rôles au niveau de l'organisation.

Lorsque vous créez un dossier, vous devez lui attribuer un nom. Les noms de dossier doivent répondre aux exigences suivantes :

  • Le nom peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement.
  • Le nom d'affichage du dossier doit commencer et se terminer par une lettre ou un chiffre.
  • Le nom ne doit pas comporter plus de 30 caractères
  • Le nom ne doit pas être le même que celui d'un autre dossier possédant le même parent.

Pour créer un dossier, procédez comme suit :

Console

Les dossiers peuvent être créés dans l'interface utilisateur sur la page "Gérer les projets et les dossiers".

  1. Accédez à la page Gérer les ressources dans la console GCP :

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur Créer un dossier.

  3. Dans le champ Nom du dossier, saisissez le nom de votre nouveau dossier.

  4. Sous Destination, cliquez sur Parcourir, puis sélectionnez le nœud ou le dossier de l'organisation sous lequel vous souhaitez créer votre dossier.

    1. Cliquez sur Créer.

gcloud

Les dossiers peuvent être créés de façon automatisée à l'aide de l'outil de ligne de commande gcloud.

Pour créer un dossier sous la ressource Organisation à l'aide de l'outil de ligne de commande gcloud, exécutez la commande suivante :

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Pour créer un dossier dont le parent est un autre dossier :

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Où :

  • [DISPLAY_NAME] correspond au nom d'affichage du dossier. Deux dossiers possédant le même parent ne peuvent pas porter le même nom à afficher. Le nom à afficher doit commencer et se terminer par une lettre ou un chiffre. Il peut contenir des lettres, des chiffres, des espaces, des traits d'union et des traits de soulignement. Il ne peut pas dépasser 30 caractères.
  • [ORGANIZATION_ID] correspond à l'identifiant de l'organisation parente si le parent est une organisation.
  • [FOLDER_ID] correspond à l'identifiant du dossier parent si le parent est un dossier.

API

Les dossiers peuvent être créés avec une requête API.

Requête JSON :

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Requête curl pour créer un dossier :

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Où :

  • [DISPLAY_NAME] correspond au nom à afficher pour le nouveau dossier, par exemple "Mon dossier préféré".
  • [ORGANIZATION_NAME] correspond au nom de l'organisation sous laquelle vous créez le dossier, par exemple organizations/123.

Réponse pour la création du dossier :

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Requête curl pour l'opération Get :

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

Réponse pour l'opération Get :

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Attribuer des rôles d'administrateur du dossier

Pour chaque dossier créé, attribuez à un ou plusieurs utilisateurs le rôle Administrateur du dossier. Ces utilisateurs pourront exercer un contrôle administratif sur le dossier et la sous-organisation qu'il représente.

Pour configurer l'accès aux dossiers, vous devez bénéficier du rôle Administrateur de dossier IAM ou Administrateur de dossier au niveau du dossier parent.

Console

  1. Dans la console Google Cloud Platform, ouvrez la page Gérer les ressources.

    Ouvrir la page "Gérer les ressources"

  2. Cliquez sur la liste déroulante Organisation en haut à gauche, puis sélectionnez votre organisation.

  3. Cochez la case située à côté du projet dont vous souhaitez modifier les autorisations.

  4. Dans le Panneau d'informations situé à droite, sous Autorisations, saisissez les adresses e-mail des membres que vous souhaitez ajouter.

  5. Dans la liste déroulante Sélectionner un rôle, sélectionnez le rôle que vous souhaitez attribuer à ces membres.

    Capture d'écran de l'interface utilisateur

  6. Cliquez sur Ajouter. Une notification s'affiche confirmant l'ajout ou la mise à jour des rôles des membres.

gcloud

Vous pouvez configurer l'accès aux dossiers par programmation à l'aide de l'outil de ligne de commande gcloud ou de l'API.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Vous pouvez également procéder comme suit :

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Où :

  • [FOLDER_ID] correspond à l'identifiant du nouveau dossier.
  • [POLICY_FILE] correspond au chemin d'accès à un fichier de stratégie pour le dossier.

API

SetsIamPolicy définit la stratégie de contrôle d'accès pour un dossier et remplace toute stratégie existante. Le champ resource doit correspondre au nom de la ressource du dossier, par exemple folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Requête curl :

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Où :

  • [FOLDER_NAME] correspond au nom du dossier dont la stratégie IAM est définie, par exemple "folders/123".

Chaque Administrateur de dossier peut alors attribuer aux utilisateurs du domaine associé le rôle de Créateur de projet.

Exemple

Le schéma ci-dessous illustre le cas d'une organisation disposant d'un domaine principal isolé d'un domaine secondaire qu'elle a acheté. Chacun des deux domaines possède ses propres comptes G Suite, "hypothetical.com" correspondant au nœud d'organisation principal.

Schéma de l'arborescence

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation relative à Resource Manager