L'assistant de configuration de l'organisation simplifie la préparation et la délégation de l'administration pour votre ressource d'organisation. Il vous permet également de migrer des projets et des comptes de facturation existants vers la nouvelle ressource de votre organisation.
Pour débuter avec l'assistant de configuration de l'organisation, procédez comme suit :
Acquérez une ressource Organisation. Pour obtenir des instructions détaillées, consultez la section Obtenir une ressource Organisation.
Attribuez des administrateurs d'organisation, de facturation et de réseau à votre ressource d'organisation Google Cloud. Pour obtenir des instructions détaillées, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Pour démarrer le processus de migration :
Envoyez la demande de migration du projet et du compte de facturation aux propriétaires du projet.
Attendez que les propriétaires du projet confirment la demande de migration.
Approuvez la migration du projet et du compte de facturation.
Ce guide explique comment migrer des projets et des comptes de facturation à l'aide de l'assistant de configuration de Google Cloud. Pour en savoir plus sur l'utilisation de Resource Manager, consultez la section Migrer des projets.
L'association de projets ou de comptes de facturation à une ressource d'organisation permet un contrôle centralisé de toutes les ressources de la ressource d'organisation. Pour en savoir plus, consultez les avantages de la ressource Organisation.
Les sections suivantes fournissent des instructions détaillées pour les étapes ci-dessus.
Migrer des projets et des comptes de facturation existants
Une fois qu'une ressource Organisation a été créée pour votre domaine, tous les projets créés sous la ressource Organisation appartiennent automatiquement à cette ressource. Vous pouvez également migrer des projets existants vers la ressource de l'organisation.
Si vous êtes le propriétaire ou l'éditeur d'un projet et que vous êtes un créateur de projet pour la ressource de l'organisation, vous pouvez migrer directement des projets.
Si vous êtes un administrateur d'organisation, vous pouvez demander aux propriétaires de projet de vous donner le contrôle d'un projet afin de pouvoir le migrer vers votre ressource d'organisation.
La migration de projet est irréversible. Une fois qu'un projet est associé à une ressource d'organisation, vous ne pouvez plus le redéfinir sur Aucune organisation ni le déplacer vers une autre ressource d'organisation. Si vous souhaitez déplacer un projet après l'avoir associé à une ressource d'organisation, vous devez contacter l'assistance Premium de Google Cloud.
Lorsqu'un projet est migré vers une ressource d'organisation, l'administrateur de l'organisation obtient le contrôle administratif du projet et hérite des règles d'administration et des stratégies Identity and Access Management (IAM). Obtenez plus d'informations sur les implications de la stratégie IAM.
Lorsque vous déplacez des projets existants vers une ressource d'organisation, ils continuent d'être facturés de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous déplacez le compte de facturation dans une ressource d'organisation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de la ressource de l'organisation. Vous pouvez associer des projets nouvellement importés à un compte de facturation nouveau ou existant dans votre ressource d'organisation à tout moment, sans interrompre le fonctionnement du projet.
Configurer les ressources de l'organisation pour les super-administrateurs
Créer une ressource "Organisation"
Avant de déléguer des administrateurs Google Cloud et de migrer des projets et des comptes de facturation, vous devez créer une ressource Organisation. Pour obtenir une ressource "Organisation", inscrivez-vous à Google Workspace ou à Cloud Identity, validez votre domaine, puis créez un projet à l'aide de ce compte. Une ressource Organisation sera automatiquement provisionnée une fois le projet créé. Pour en savoir plus sur l'acquisition d'une ressource Organisation, consultez la section Obtenir une ressource Organisation.
Déléguer des administrateurs Google Cloud
Pour déléguer des administrateurs Google Cloud :
Dans l'e-mail "Bienvenue à [NOM_ORGANISATION] sur Google Cloud", cliquez sur Accéder à ma console ou accédez à la page Configuration de l'organisation dans la console Google Cloud.
Sur la page Configuration de l'organisation, cliquez sur Déléguer la configuration.
Sur la page Déléguer le rôle d'administrateur de l'organisation qui apparaît, entrez les adresses e-mail des personnes ou des groupes que vous souhaitez ajouter en tant qu'administrateurs d'organisation.
Lorsque vous avez terminé d'ajouter des administrateurs d'organisation, cliquez sur Déléguer.
Les utilisateurs des adresses e-mail que vous avez saisies recevront une notification par e-mail les informant de leur nouveau rôle d'administrateur de l'organisation pour votre ressource d'organisation Google Cloud.
Pour ajouter ultérieurement des administrateurs, cliquez sur Définir les autorisations dans la page Identité et organisation.
Migration pour les administrateurs Google Cloud
Lorsqu'un utilisateur de compte Google Workspace ou Cloud Identity vous délègue le rôle d'administrateur de l'organisation au cours du processus de configuration de la ressource "Organisation", vous recevez une notification par e-mail. Lors de la configuration des ressources de l'organisation, vous pourrez attribuer des autorisations à d'autres administrateurs d'organisation, de facturation et de réseau. Les personnes que vous affectez en tant qu'administrateurs ne recevront pas d'e-mail.
Vous avez besoin du rôle Créateur de projet pour demander la migration du projet et du compte de facturation. Par défaut, ce rôle est attribué à tous les utilisateurs de votre domaine. Pour en savoir plus sur la modification de ce comportement par défaut et l'attribution de ce rôle aux utilisateurs, consultez la page Gérer les rôles d'organisation par défaut.
Effectuer une migration des projets et des comptes de facturation
Pour migrer des projets ou des comptes de facturation à partir d'autres comptes utilisateur, vous devez d'abord demander aux propriétaires d'approuver la migration. Les propriétaires reçoivent ensuite une notification leur permettant d'examiner votre demande et d'approuver la migration des projets ou des comptes de facturation. Les propriétaires de projet peuvent ignorer votre demande. Celle-ci expirera au bout de 30 jours. Vous pouvez demander à nouveau la migration si la demande d'origine expire ou est toujours en attente. Vous recevez une notification quand un propriétaire a approuvé la migration des projets ou des comptes de facturation pour la migration. Vous pouvez alors sélectionner les éléments que vous souhaitez migrer.
Demander la migration d'un projet ou d'un compte de facturation
Accédez à la page Identity and Organization (Identité et organisation) de la console Google Cloud.
Dans la fenêtre Request projects or billing accounts (Demander la migration de projets ou de comptes de facturation), ajoutez les adresses e-mail des propriétaires de compte de facturation ou de projet auxquels vous souhaitez demander des projets, puis cliquez sur Request (Demander).
Les propriétaires de compte de facturation ou de projet recevront un e-mail avec votre demande de migration. Une fois la migration approuvée, vous recevrez un e-mail contenant un lien vous permettant de terminer la migration.
Attendre l'approbation des demandes de migration
Lorsque vous demandez la migration d'un projet ou d'un compte de facturation, les propriétaires du projet ou du compte de facturation reçoivent un e-mail avec votre demande. Ils pourront sélectionner les projets à préparer pour la migration. Votre demande reste valide pendant un maximum de 30 jours. Après 30 jours, la demande expire et vous devez envoyer une nouvelle demande de migration pour tout projet ou compte de facturation en attente.
Quand un propriétaire de projet ou de compte de facturation confirme la demande de migration, vous recevez un e-mail et une notification s'affiche dans la console Google Cloud. Pour approuver la migration, passez à l'étape suivante.
Approuver la migration du projet et du compte de facturation
Une fois qu'un propriétaire a approuvé votre demande de migration, vous recevez un e-mail de Platform Notifications indiquant que le propriétaire du projet a répondu à votre demande de migration. Une notification s'affiche également dans la console Google Cloud.
Vous devez disposer des rôles Créateur de projet, Créateur de compte de facturation et Administrateur de l'organisation dans la ressource d'organisation vers laquelle vous migrez des projets. Pour terminer la migration :
Cliquez sur Effectuer la migration dans l'e-mail ou accédez à la page Effectuer la migration des projets dans la console Google Cloud.
Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer, puis cliquez sur Suivant.
L'onglet Vérifier et approuver affiche la liste de tous les projets et comptes de facturation que vous avez choisi de migrer.
Pour terminer la migration, cliquez sur Approuver.
Les projets ou comptes de facturation que vous avez sélectionnés pour la migration sont désormais associés à la ressource de votre organisation. Les projets ou comptes de facturation que vous n'avez pas migrés restent dans la liste Aucune organisation. Vous aurez toujours le rôle IAM Déplaceur de projets pour ces projets et le rôle Administrateur de la facturation pour ces comptes de facturation. Vous pouvez revenir sur la page Effectuer la migration des projets de la console Google Cloud pour approuver la migration de ces projets et comptes de facturation.
Lorsque vous effectuez une migration pour un projet, celui-ci est facturé de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous terminez la migration d'un compte de facturation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de la ressource de l'organisation.
Examiner des demandes de migration
Lorsqu'un administrateur d'organisation vous demande de migrer un projet ou un compte de facturation vers la ressource de son organisation, vous recevez un e-mail portant l'objet "Demande de migration". Lorsque vous approuvez la migration, vous accordez à l'administrateur de l'organisation les rôles suivants :
Projet :
role/project.mover
- Le rôle Déplaceur de projets permet à un utilisateur d'importer des projets et de modifier les autorisations IAM sur ces projets.
Pour les comptes de facturation :
roles/billing.admin
- Le rôle Administrateur de la facturation permet à un utilisateur d'importer des comptes de facturation et de modifier les autorisations IAM sur ces comptes.
Quand la migration a été approuvée par l'administrateur de l'organisation, il peut modifier les rôles IAM du projet. Ce dernier hérite également des stratégies d'organisation existantes. Obtenez plus d'informations sur les implications de la stratégie IAM.
Pour examiner les demandes, suivez les étapes ci-dessous :
Cliquez sur Examiner la demande dans l'e-mail pour ouvrir la page Examiner la demande de migration.
Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer vers la ressource de l'organisation, puis cliquez sur Suivant. La création de la liste des projets peut prendre jusqu'à cinq minutes.
L'onglet Confirmer affiche les détails suivants sur la migration :
Adresse e-mail de l'administrateur d'organisation auquel vous accordez les rôles Déplaceur de projets et Administrateur de la facturation.
Une liste de confirmation de tous les projets et comptes de facturation que vous avez sélectionnés pour la migration.
Pour terminer la migration, saisissez l'adresse e-mail de l'entité à l'origine de la demande de migration, puis cliquez sur Confirmer.
Les projets ou comptes de facturation que vous avez sélectionnés pour la migration sont désormais disponibles pour l'administrateur de l'organisation en vue d'une migration dans sa ressource d'organisation.
Si vous souhaitez arrêter le processus de migration d'un projet ou d'un compte de facturation, vous devez le faire avant que l'administrateur d'organisation ne l'importe dans sa ressource d'organisation. Pour arrêter la migration, accédez à la page IAM de la console Google Cloud pour le projet et supprimez le rôle Déplaceur de projet ou Administrateur de la facturation de l'administrateur de l'organisation.
Les projets ou comptes de facturation que vous n'avez pas migrés gardent le statut Aucune organisation. Vous avez jusqu'à 30 jours pour cliquer sur le lien dans l'e-mail "Demande de migration" et approuver la migration. Après 30 jours, la demande de migration expire et l'administrateur de l'organisation doit envoyer une nouvelle demande de migration à votre intention.
Implications de la stratégie IAM
Les stratégies Identity and Access Management déjà définies pour un projet sont migrées avec le projet. Cela signifie que les utilisateurs disposant d'autorisations sur le projet avant une migration disposeront des mêmes autorisations après la migration du projet.
Étant donné que les autorisations IAM sont héritées et additives, les rôles définis au niveau de l'organisation sont hérités par les projets lors de leur migration vers la ressource de l'organisation. Par exemple, si auteurprojet@monorganisation.com a le rôle Éditeur de projet défini au niveau de l'organisation, il l'aura également pour tout projet migré dans la ressource de l'organisation. Cette particularité n'a pas d'incidence sur les projets existants, mais elle a pour conséquence que davantage d'utilisateurs peuvent y accéder.
Les règles d'administration sont également héritées. Par défaut, les ressources d'organisation nouvellement créées ne disposent pas de règles d'administration d'administration. Si vous définissez des règles d'administration pour votre ressource d'organisation, assurez-vous que les projets que vous migrez sont cohérents avec ces règles d'administration.