L'assistant de configuration de l'organisation vous permet d'établir et de déléguer facilement l'administration de votre ressource d'organisation. Elle vous permet également de migrer des projets et des comptes de facturation existants vers votre nouvelle ressource d'organisation.
Pour débuter avec l'assistant de configuration de l'organisation, procédez comme suit :
Procurez-vous une ressource Organisation. Pour obtenir des instructions détaillées, consultez la section Obtenir une ressource d'organisation.
Attribuez des administrateurs d'organisation, de facturation et de réseau à votre ressource d'organisation Google Cloud. Pour obtenir des instructions détaillées, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Pour démarrer le processus de migration :
Envoyez la demande de migration du projet et du compte de facturation aux propriétaires du projet.
Attendez que les propriétaires du projet confirment la demande de migration.
Approuvez la migration du projet et du compte de facturation.
Ce guide explique comment migrer des projets et des comptes de facturation à l'aide de l'assistant de configuration de Google Cloud. Pour en savoir plus sur l'utilisation de Resource Manager, consultez la page Migrer des projets.
L'association de projets ou de comptes de facturation à une ressource Organisation permet un contrôle central de toutes les ressources de la ressource Organisation. Pour en savoir plus, consultez la section Avantages de la ressource Organisation.
Les sections suivantes fournissent des instructions détaillées pour les étapes ci-dessus.
Migrer des projets et des comptes de facturation existants
Une fois qu'une ressource Organisation est créée pour votre domaine, tous les projets créés sous cette ressource appartiennent automatiquement à cette ressource. Vous pouvez également migrer des projets existants vers la ressource Organisation.
Si vous êtes le propriétaire ou l'éditeur d'un projet, et que vous êtes un créateur de projet pour la ressource Organisation, vous pouvez migrer directement des projets.
Si vous êtes administrateur de l'organisation, vous pouvez demander aux propriétaires de projet de vous donner le contrôle d'un projet afin que vous puissiez le migrer vers votre ressource d'organisation.
La migration de projet est irréversible. Une fois qu'un projet est associé à une ressource d'organisation, vous ne pouvez plus le redéfinir sur Aucune organisation ni le déplacer vers une autre ressource d'organisation. Si vous devez déplacer un projet après l'avoir associé à une ressource Organisation, vous devez contacter l'assistance Google Cloud Premium.
Lorsqu'un projet est migré vers une ressource Organisation, l'administrateur de l'organisation obtient le contrôle administratif du projet. Il hérite également des règles d'administration et de gestion de l'authentification et des accès (IAM). Obtenez plus d'informations sur les implications de la stratégie IAM.
Lorsque vous déplacez des projets existants vers une ressource d'organisation, ils sont facturés comme avant la migration, même si le compte de facturation du projet n'a pas encore été migré. De même, si vous déplacez le compte de facturation dans une ressource d'organisation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils ne font pas partie de la ressource d'organisation. Vous pouvez associer des projets nouvellement importés à un compte de facturation nouveau ou existant dans votre ressource d'organisation à tout moment, sans interrompre le fonctionnement du projet.
Configuration des ressources de l'organisation pour les super-administrateurs
Créer une ressource Organisation
Avant de déléguer des administrateurs Google Cloud et de migrer des projets et des comptes de facturation, vous devez disposer d'une ressource d'organisation. Pour acquérir une ressource d'organisation, inscrivez-vous à Google Workspace ou à Cloud Identity, validez votre domaine, puis créez un projet à l'aide de ce compte. Une ressource d'organisation sera automatiquement provisionnée une fois le projet créé. Pour en savoir plus sur l'acquisition d'une ressource d'organisation, consultez la section Obtenir une ressource d'organisation.
Déléguer des administrateurs Google Cloud
Pour déléguer des administrateurs Google Cloud :
Dans l'e-mail "Bienvenue dans [NOM_ORGANISATION] sur Google Cloud", cliquez sur Accéder à ma console ou accédez à la page Configuration de l'organisation dans la console Google Cloud.
Sur la page Configuration de l'organisation, cliquez sur Déléguer la configuration.
Sur la page Déléguer le rôle d'administrateur de l'organisation qui apparaît, entrez les adresses e-mail des personnes ou des groupes que vous souhaitez ajouter en tant qu'administrateurs d'organisation.
Lorsque vous avez terminé d'ajouter des administrateurs d'organisation, cliquez sur Déléguer.
Les adresses e-mail que vous avez saisies recevront une notification par e-mail indiquant qu'elles sont désormais administrateur de l'organisation pour votre ressource d'organisation Google Cloud.
Pour ajouter ultérieurement des administrateurs, cliquez sur Définir les autorisations dans la page Identité et organisation.
Migration pour les administrateurs Google Cloud
Lorsqu'un utilisateur d'un compte Google Workspace ou Cloud Identity vous délègue le rôle Administrateur de l'organisation au cours du processus de configuration des ressources d'organisation, vous recevez une notification par e-mail. Lors de la configuration des ressources d'organisation, vous pourrez attribuer des autorisations à d'autres administrateurs d'organisation, de facturation et de réseau. Les personnes que vous affectez en tant qu'administrateurs ne recevront pas d'e-mail.
Vous avez besoin du rôle Créateur de projet pour demander la migration du projet et du compte de facturation. Par défaut, ce rôle est attribué à tous les utilisateurs de votre domaine. Pour savoir comment modifier ce comportement par défaut et attribuer ce rôle aux utilisateurs, consultez la page Gérer les rôles d'organisation par défaut.
Effectuer une migration de projets et de comptes de facturation
Pour migrer des projets ou des comptes de facturation à partir d'autres comptes utilisateur, vous devez d'abord demander aux propriétaires d'approuver la migration. Les propriétaires reçoivent ensuite une notification leur permettant d'examiner votre demande et d'approuver la migration des projets ou des comptes de facturation. Les propriétaires de projet peuvent ignorer votre demande. Celle-ci expirera au bout de 30 jours. Vous pouvez demander à nouveau la migration si la demande d'origine expire ou est toujours en attente. Vous recevez une notification quand un propriétaire a approuvé la migration des projets ou des comptes de facturation pour la migration. Vous pouvez alors sélectionner les éléments que vous souhaitez migrer.
Demander la migration d'un projet ou d'un compte de facturation
Accédez à la page Identité et organisation de la console Google Cloud.
Dans la fenêtre Request projects or billing accounts (Demander la migration de projets ou de comptes de facturation), ajoutez les adresses e-mail des propriétaires de compte de facturation ou de projet auxquels vous souhaitez demander des projets, puis cliquez sur Request (Demander).
Les propriétaires de compte de facturation ou de projet recevront un e-mail avec votre demande de migration. Une fois la migration approuvée, vous recevrez un e-mail contenant un lien vous permettant de terminer la migration.
Attendre l'approbation des demandes de migration
Lorsque vous demandez la migration d'un projet ou d'un compte de facturation, les propriétaires du projet ou du compte de facturation reçoivent un e-mail avec votre demande. Ils pourront sélectionner les projets à préparer pour la migration. Votre demande reste valide pendant un maximum de 30 jours. Après 30 jours, la demande expire et vous devez envoyer une nouvelle demande de migration pour tout projet ou compte de facturation en attente.
Lorsqu'un propriétaire de projet ou de compte de facturation confirme la demande de migration, vous recevez un e-mail et une notification s'affiche dans votre console Google Cloud. Pour approuver la migration, passez à l'étape suivante.
Approuver une migration de projet et de compte de facturation
Une fois qu'un propriétaire a approuvé votre demande de migration, vous recevez un e-mail de Platform Notifications indiquant que le propriétaire du projet a répondu à votre demande de migration. Une notification s'affiche également dans votre console Google Cloud.
Vous devez disposer des rôles Créateur de projet, Créateur de compte de facturation et Administrateur de l'organisation sur la ressource d'organisation vers laquelle vous migrez des projets. Pour terminer la migration :
Cliquez sur Migrer dans l'e-mail ou accédez à la page Migrer des projets dans la console Google Cloud.
Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer, puis cliquez sur Suivant.
L'onglet Vérifier et approuver affiche la liste de tous les projets et comptes de facturation que vous avez choisi de migrer.
Pour terminer la migration, cliquez sur Approuver.
Les projets ou comptes de facturation que vous avez choisi de migrer sont désormais associés à votre ressource d'organisation. Les projets ou comptes de facturation que vous n'avez pas migrés restent dans la liste Aucune organisation. Vous aurez toujours le rôle IAM Déplaceur de projets pour ces projets et le rôle Administrateur de la facturation pour ces comptes de facturation. Vous pouvez revenir sur la page Migrer des projets de la console Google Cloud pour approuver la migration de ces projets et comptes de facturation.
Lorsque vous effectuez une migration pour un projet, celui-ci est facturé de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, lorsque vous terminez la migration d'un compte de facturation, tous les projets qui lui sont associés continuent de fonctionner, même s'ils sont encore en dehors de la ressource d'organisation.
Examiner des demandes de migration
Lorsqu'un administrateur de l'organisation vous demande de migrer un projet ou un compte de facturation vers sa ressource d'organisation, vous recevez un e-mail "Demande de migration". Lorsque vous approuvez la migration, vous accordez à l'administrateur de l'organisation les rôles suivants :
Projet :
role/project.mover- Le rôle Déplaceur de projets permet à un utilisateur d'importer des projets et de modifier les autorisations IAM sur ces projets.
Pour les comptes de facturation :
roles/billing.admin- Le rôle Administrateur de la facturation permet à un utilisateur d'importer des comptes de facturation et de modifier les autorisations IAM sur ces comptes.
Quand la migration a été approuvée par l'administrateur de l'organisation, il peut modifier les rôles IAM du projet. Ce dernier hérite également des stratégies d'organisation existantes. Obtenez plus d'informations sur les implications de la stratégie IAM.
Pour examiner les demandes, suivez les étapes ci-dessous :
Cliquez sur Examiner la demande dans l'e-mail pour ouvrir la page Examiner la demande de migration.
Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer vers la ressource Organisation, puis cliquez sur Suivant. La création de la liste des projets peut prendre jusqu'à cinq minutes.
L'onglet Confirmer affiche les détails suivants sur la migration :
Adresse e-mail de l'administrateur d'organisation auquel vous accordez les rôles Déplaceur de projets et Administrateur de la facturation.
Une liste de confirmation de tous les projets et comptes de facturation que vous avez sélectionnés pour la migration.
Pour terminer la migration, saisissez l'adresse e-mail de l'entité à l'origine de la demande de migration, puis cliquez sur Confirmer.
Les projets ou comptes de facturation que vous avez choisi de migrer peuvent désormais être migrés par l'administrateur de l'organisation vers sa ressource d'organisation.
Si vous souhaitez arrêter le processus de migration d'un projet ou d'un compte de facturation, vous devez le faire avant que l'administrateur de l'organisation ne l'importe dans sa ressource d'organisation. Pour arrêter la migration, accédez à la page IAM de la console Google Cloud pour le projet et supprimez le rôle Déplaceur de projets ou Administrateur de la facturation de l'administrateur de l'organisation.
Les projets ou comptes de facturation que vous n'avez pas migrés gardent le statut Aucune organisation. Vous avez jusqu'à 30 jours pour cliquer sur le lien dans l'e-mail "Demande de migration" et approuver la migration. Après 30 jours, la demande de migration expire et l'administrateur de l'organisation doit envoyer une nouvelle demande de migration à votre intention.
Implications de la stratégie IAM
Les stratégies Identity and Access Management déjà définies pour un projet sont migrées avec le projet. Cela signifie que les utilisateurs disposant d'autorisations sur le projet avant une migration disposeront des mêmes autorisations après la migration du projet.
Étant donné que les autorisations IAM sont héritées et additives, les rôles définis au niveau de l'organisation sont hérités par les projets lors de leur migration vers la ressource Organisation. Par exemple, si projectAuthor@myorganization.com dispose du rôle Éditeur de projet défini au niveau de l'organisation, il se verra également attribuer ce rôle pour tout projet migré vers la ressource Organisation. Cette particularité n'a pas d'incidence sur les projets existants, mais elle a pour conséquence que davantage d'utilisateurs peuvent y accéder.
Les règles d'administration sont également héritées. Par défaut, les nouvelles ressources d'organisation ne disposent pas de règles d'administration. Si vous définissez des règles d'administration pour votre ressource d'organisation, assurez-vous que les projets que vous migrez sont cohérents avec vos règles d'administration d'administration.