Assistant de configuration de l'organisation

L'assistant de configuration de l'organisation simplifie la préparation et la délégation de l'administration pour votre organisation. Il vous permet également de migrer des projets et des comptes de facturation existants vers la nouvelle organisation.

Pour débuter avec l'assistant de configuration de l'organisation, procédez comme suit :

  1. Acquérez une ressource Organisation. Pour obtenir des instructions détaillées, consultez la section Obtenir une ressource Organisation.

  2. Attribuez des administrateurs d'organisation, de facturation et de réseau à votre organisation Google Cloud. Pour obtenir des instructions détaillées, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Pour démarrer le processus de migration :

  1. Envoyez la demande de migration du projet et du compte de facturation aux propriétaires du projet.

  2. Attendez que les propriétaires du projet confirment la demande de migration.

  3. Approuvez la migration du projet et du compte de facturation.

Ce guide explique comment migrer des projets et des comptes de facturation à l'aide de l'assistant de configuration de Google Cloud. Pour en savoir plus sur l'utilisation de Resource Manager, consultez la page Migrer des projets existants vers l'organisation.

L'association de projets ou de comptes de facturation à une organisation permet un contrôle centralisé de toutes les ressources de l'organisation. Pour en savoir plus, découvrez les avantages de la ressource Organisation.

Les sections suivantes fournissent des instructions détaillées pour les étapes ci-dessus.

Migrer des projets et des comptes de facturation existants

Quand une ressource Organisation a été créée pour votre domaine, tous les projets créés sous l'organisation appartiennent automatiquement à cette organisation. Vous pouvez également migrer des projets existants vers l'organisation.

  • Si vous êtes le propriétaire ou l'éditeur d'un projet et que vous êtes un créateur de projet pour l'organisation, vous pouvez migrer directement des projets.

  • Si vous êtes un administrateur d'organisation, vous pouvez demander aux propriétaires de projet de vous donner le contrôle d'un projet afin de pouvoir le migrer vers votre organisation.

La migration de projet est irréversible. Une fois qu'un projet est associé à une organisation, vous ne pouvez plus le retirer de celle-ci ni le déplacer vers une autre organisation. Si vous souhaitez déplacer un projet après l'avoir associé à une organisation, vous devez contacter l'assistance Premium de Google Cloud.

Lorsqu'un projet est migré vers une organisation, l'administrateur de l'organisation obtient le contrôle administratif du projet et hérite des règles d'administration et des stratégies Identity and Access Management (IAM). Obtenez plus d'informations sur les implications de la stratégie IAM.

Lorsque vous déplacez des projets existants vers une organisation, ils continuent d'être facturés de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous déplacez le compte de facturation dans l'organisation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de l'organisation. Vous pouvez lier des projets nouvellement importés à un compte de facturation nouveau ou existant dans votre organisation à tout moment, sans interrompre le fonctionnement du projet.

Configurer l'organisation pour les super-administrateurs

Créer une organisation

Avant de déléguer des administrateurs Google Cloud et de procéder à la migration des projets et des comptes de facturation, vous devez créer une ressource Organisation. Pour obtenir une ressource "Organisation", inscrivez-vous à Google Workspace ou à Cloud Identity, validez votre domaine, puis créez un projet à l'aide de ce compte. Une ressource Organisation sera automatiquement provisionnée une fois le projet créé. Pour en savoir plus sur l'obtention d'une ressource Organisation, consultez la section Obtenir une ressource Organisation.

Déléguer des administrateurs Google Cloud

Pour déléguer des administrateurs Google Cloud :

  1. Dans l'e-mail "Bienvenue à [NOM_ORGANISATION] sur Google Cloud", cliquez sur Accéder à ma console ou accédez à la page Configuration de l'organisation dans Cloud Console.

  2. Sur la page Configuration de l'organisation, cliquez sur Déléguer la configuration.

  3. Sur la page Déléguer le rôle d'administrateur de l'organisation qui apparaît, entrez les adresses e-mail des personnes ou des groupes que vous souhaitez ajouter en tant qu'administrateurs d'organisation.

  4. Lorsque vous avez terminé d'ajouter des administrateurs d'organisation, cliquez sur Déléguer.

Les utilisateurs des adresses e-mail que vous avez saisies recevront une notification par e-mail les informant de leur nouveau rôle d' administrateur de l'organisation pour votre organisation Google Cloud.

Pour ajouter ultérieurement des administrateurs, cliquez sur Définir les autorisations dans la page Identité et organisation.

Migration pour les administrateurs Google Cloud

Lorsqu'un utilisateur de compte Google Workspace ou Cloud Identity vous délègue le rôle d'administrateur de l'organisation au cours du processus de configuration de l'organisation, vous recevez une notification par e-mail. Pendant la configuration de l'organisation, vous pourrez attribuer des autorisations à d'autres administrateurs d'organisation, de facturation et de réseau. Les personnes que vous affectez en tant qu'administrateurs ne recevront pas d'e-mail.

Vous avez besoin du rôle Créateur de projet pour demander la migration du projet et du compte de facturation. Par défaut, ce rôle est attribué à tous les utilisateurs de votre domaine. Pour en savoir plus sur la modification de ce comportement par défaut et l'attribution de ce rôle aux utilisateurs, consultez la page Gérer des rôles Organisation par défaut.

Effectuer une migration des projets et des comptes de facturation

Pour migrer des projets ou des comptes de facturation à partir d'autres comptes utilisateur, vous devez d'abord demander aux propriétaires d'approuver la migration. Les propriétaires reçoivent ensuite une notification leur permettant d'examiner votre demande et d'approuver la migration des projets ou des comptes de facturation. Les propriétaires de projet peuvent ignorer votre demande. Celle-ci expirera au bout de 30 jours. Vous pouvez demander à nouveau la migration si la demande d'origine expire ou est toujours en attente. Vous recevez une notification quand un propriétaire a approuvé la migration des projets ou des comptes de facturation pour la migration. Vous pouvez alors sélectionner les éléments que vous souhaitez migrer.

Demander la migration d'un projet ou d'un compte de facturation

  1. Accédez à la page Identity & Organization (Identité et organisation) de Google Cloud Console.

    UI de l'assistant de configuration de l'organisation

  2. Dans la fenêtre Request projects or billing accounts (Demander la migration de projets ou de comptes de facturation), ajoutez les adresses e-mail des propriétaires de compte de facturation ou de projet auxquels vous souhaitez demander des projets, puis cliquez sur Request (Demander).

    UI de demande de migration de projets

Les propriétaires de compte de facturation ou de projet recevront un e-mail avec votre demande de migration. Une fois la migration approuvée, vous recevrez un e-mail contenant un lien vous permettant de terminer la migration.

Attendre l'approbation des demandes de migration

Lorsque vous demandez la migration d'un projet ou d'un compte de facturation, les propriétaires du projet ou du compte de facturation reçoivent un e-mail avec votre demande. Ils pourront sélectionner les projets à préparer pour la migration. Votre demande reste valide pendant un maximum de 30 jours. Après 30 jours, la demande expire et vous devez envoyer une nouvelle demande de migration pour tout projet ou compte de facturation en attente.

Quand un propriétaire de projet ou de compte de facturation confirme la demande de migration, vous recevez un e-mail et une notification s'affiche dans Cloud Console. Pour approuver la migration, passez à l'étape suivante.

Approuver la migration du projet et du compte de facturation

Une fois qu'un propriétaire a approuvé votre demande de migration, vous recevez un e-mail de Platform Notifications indiquant que le propriétaire du projet a répondu à votre demande de migration. Une notification s'affiche également dans Cloud Console.

Vous devez disposer des rôles Créateur de projet, Créateur de compte de facturation et Administrateur de l'organisation dans l'organisation vers laquelle vous migrez des projets. Pour terminer la migration :

  1. Cliquez sur Effectuer la migration dans l'e-mail ou accédez à la page Effectuer la migration des projets dans Cloud Console.

    Page Effectuer la migration des projets

  2. Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer, puis cliquez sur Suivant.

  3. L'onglet Vérifier et approuver affiche la liste de tous les projets et comptes de facturation que vous avez choisi de migrer.

  4. Pour terminer la migration, cliquez sur Approuver.

Les projets ou comptes de facturation que vous avez choisi de migrer sont désormais associés à votre organisation. Les projets ou comptes de facturation que vous n'avez pas migrés restent dans la liste Aucune organisation. Vous aurez toujours le rôle IAM Déplaceur de projets pour ces projets et le rôle Administrateur de la facturation pour ces comptes de facturation. Vous pouvez revenir sur la page Effectuer la migration des projets de Cloud Console pour approuver la migration de ces projets et comptes de facturation.

Lorsque vous effectuez une migration pour un projet, celui-ci est facturé de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous terminez la migration d'un compte de facturation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de l'organisation.

Examiner des demandes de migration

Lorsqu'un administrateur d'organisation vous demande de migrer un projet ou un compte de facturation vers son organisation, vous recevez un e-mail portant l'objet "Demande de migration". Lorsque vous approuvez la migration, vous accordez à l'administrateur de l'organisation les rôles suivants :

  • Projet : role/project.mover

    • Le rôle Déplaceur de projets permet à un utilisateur d'importer des projets et de modifier les autorisations IAM sur ces projets.
  • Pour les comptes de facturation : roles/billing.admin

    • Le rôle Administrateur de la facturation permet à un utilisateur d'importer des comptes de facturation et de modifier les autorisations IAM sur ces comptes.

Quand la migration a été approuvée par l'administrateur de l'organisation, il peut modifier les rôles IAM du projet. Ce dernier hérite également des stratégies d'organisation existantes. Obtenez plus d'informations sur les implications de la stratégie IAM.

Pour examiner les demandes, suivez les étapes ci-dessous :

  1. Cliquez sur Examiner la demande dans l'e-mail pour ouvrir la page Examiner la demande de migration.

  2. Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer vers l'organisation, puis cliquez sur Suivant. La création de la liste des projets peut prendre jusqu'à cinq minutes.

  3. L'onglet Confirmer affiche les détails suivants sur la migration :

    1. Adresse e-mail de l'administrateur d'organisation auquel vous accordez les rôles Déplaceur de projets et Administrateur de la facturation.

    2. Une liste de confirmation de tous les projets et comptes de facturation que vous avez sélectionnés pour la migration.

  4. Pour terminer la migration, saisissez l'adresse e-mail de l'entité à l'origine de la demande de migration, puis cliquez sur Confirmer.

Les projets ou comptes de facturation dont vous avez validé la migration peuvent à présent être sélectionnés par l'administrateur d'organisation en vue d'une migration dans son organisation.

Si vous souhaitez arrêter le processus de migration d'un projet ou d'un compte de facturation, vous devez le faire avant que l'administrateur d'organisation ne l'importe dans son organisation. Pour arrêter la migration, accédez à la page IAM de Cloud Console pour le projet et supprimez le rôle Déplaceur de projet ou Administrateur de la facturation de l'administrateur de l'organisation.

Les projets ou comptes de facturation que vous n'avez pas migrés gardent le statut Aucune organisation. Vous avez jusqu'à 30 jours pour cliquer sur le lien dans l'e-mail "Demande de migration" et approuver la migration. Après 30 jours, la demande de migration expire et l'administrateur de l'organisation doit envoyer une nouvelle demande de migration à votre intention.

Implications de la stratégie IAM

Les stratégies Identity and Access Management déjà définies pour un projet sont migrées avec le projet. Cela signifie que les utilisateurs disposant d'autorisations sur le projet avant une migration disposeront des mêmes autorisations après la migration du projet.

Étant donné que les autorisations IAM sont héritées et additives, les rôles définis au niveau de l'organisation sont hérités par les projets lors de leur migration vers l'organisation. Par exemple, si auteurprojet@monorganisation.com a le rôle Éditeur de projet défini au niveau de l'organisation, il l'aura également pour tout projet migré dans l'organisation. Cette particularité n'a pas d'incidence sur les projets existants, mais elle a pour conséquence que davantage d'utilisateurs peuvent y accéder.

Les règles d'administration sont également héritées. Par défaut, les organisations nouvellement créées ne disposent pas de règles d'administration. Si vous définissez des règles d'administration pour votre organisation, assurez-vous que les projets que vous migrez sont cohérents avec ces règles.

Point essentiel : Il est de votre responsabilité de vous assurer de la cohérence des stratégies IAM et des règles d'administration lorsque vous déplacez un projet dans l'organisation.