Cette page décrit la hiérarchie des ressources Google Cloud et les ressources pouvant être gérées à l'aide de Resource Manager.
La hiérarchie des ressources Google Cloud à deux objectifs :
- Fournir une hiérarchie de propriété, qui lie le cycle de vie d'une ressource à son parent immédiat dans la hiérarchie
- Fournir des points de liaison et un héritage pour les stratégies de contrôle des accès et les règles d'administration
D'un point de vue métaphorique, la hiérarchie des ressources Google Cloud ressemble au système de fichiers des systèmes d'exploitation traditionnels : il s'agit d'un moyen d'organiser et de gérer des entités de manière hiérarchique. En général, chaque ressource possède exactement un parent. Cette organisation hiérarchique des ressources vous permet de définir l'accès de contrôler les stratégies et les paramètres de configuration d'une ressource parente et les paramètres IAM (Identity and Access Management) sont hérités par l'enfant ressources.
La hiérarchie des ressources Google Cloud en détail
Les ressources Google Cloud sont organisées de façon hiérarchique. Toutes les ressources, à l'exception de la ressource la plus élevée d'une hiérarchie, ont un seul parent. Au niveau le plus bas de la hiérarchie, les ressources de service sont les composants fondamentaux sur lesquels reposent tous les services Google Cloud. Les machines virtuelles (VM) Compute Engine, les sujets Pub/Sub, les buckets Cloud Storage et les instances App Engine sont des exemples de ressources de service. Toutes ces ressources de niveau inférieur ont des autorisations ressources en tant que parents, ce qui représente le premier groupe de la hiérarchie des ressources Google Cloud.
Tous les utilisateurs, y compris les utilisateurs bénéficiant d'un essai gratuit, du niveau gratuit et de Google Workspace et Les clients Cloud Identity peuvent créer des ressources de projet. Les utilisateurs du programme gratuit Google Cloud peuvent uniquement créer des ressources de projet et des ressources de service au sein des projets. Les ressources d’un projet peuvent être au sommet de leur hiérarchie, mais uniquement en cas de création par un utilisateur ayant bénéficié d'un essai gratuit ou utilisateur de niveau supérieur. Clients Google Workspace et Cloud Identity ont accès à des fonctionnalités supplémentaires de la hiérarchie des ressources Google Cloud, telles que les ressources d'organisation et de dossier. Pour en savoir plus, consultez la présentation de Cloud Identity. Les ressources de projet situées au sommet de leur hiérarchie n'ont pas de parent des ressources, mais vous pouvez les migrer vers une ressource Organisation créé pour le domaine. Pour en savoir plus sur la migration des ressources de projet, consultez la section Migrer les ressources de projet.
Les clients Google Workspace et Cloud Identity peuvent créer des ressources d'organisation. Chaque compte Google Workspace ou Cloud Identity est associé à une ressource Organisation. Lorsqu'une ressource d'organisation existe, elle se trouve au sommet de la hiérarchie des ressources Google Cloud. Toutes les ressources appartenant à une organisation sont regroupées sous la ressource d'organisation. Cela permet de centraliser la visibilité et le contrôle sur l'ensemble des ressources appartenant à une organisation.
Les ressources Dossier constituent un mécanisme de regroupement facultatif supplémentaire les ressources de l'organisation et les ressources du projet. Une ressource Organisation est comme condition préalable pour utiliser les dossiers. Les ressources de dossier et leurs ressources de projet enfants sont mappées sous la ressource d'organisation.
La hiérarchie des ressources Google Cloud, en particulier sous sa forme la plus complète qui comprend une ressource "Organisation" et des ressources de dossier, permet aux entreprises de mapper leur ressource d'organisation sur Google Cloud. Cette hiérarchie fournit des points de liaison logiques pour les stratégies de gestion des accès (IAM) et les règles d'administration. Les deux rôles IAM et les règles d'administration sont héritées par la hiérarchie, et l'effet pour chaque ressource de la hiérarchie est le résultat de stratégies à la ressource et aux stratégies héritées de ses ancêtres.
Le diagramme ci-dessous présente un exemple de hiérarchie des ressources Google Cloud sous forme complète :
Ressource "Organisation"
La ressource organization représente une organisation (par exemple, une entreprise) et constitue le nœud racine du Hiérarchie des ressources Google Cloud, le cas échéant. La ressource "Organisation" est l'ancêtre hiérarchique des ressources de dossier et de projet. Les stratégies de contrôle des accès IAM appliquées à la ressource "Organisation" s'appliquent à l'ensemble de la hiérarchie sur toutes les ressources de l'organisation.
Les utilisateurs Google Cloud n'ont pas besoin de disposer d'une ressource Organisation, mais certaines fonctionnalités de Resource Manager ne seront pas utilisables sans cet outil. L’organisation ressource est étroitement liée à Google Workspace ou Cloud Identity Google Cloud. Lorsqu'un utilisateur disposant d'un compte Google Workspace ou Cloud Identity crée une ressource de projet Google Cloud, une ressource Organisation est automatiquement provisionné pour eux.
Une seule ressource Organisation peut être configurée pour un compte Google Workspace ou Cloud Identity. Une fois qu'une ressource "Organisation" est créée pour un domaine, toutes les nouvelles ressources de projet Google Cloud créées par les membres du domaine du compte appartiennent par défaut à la ressource "Organisation". Lorsqu'un utilisateur géré crée une ressource de projet, l'exigence est qu'elle doit se trouver dans une ressource d'organisation. Si un utilisateur spécifie une ressource d'organisation et qu'il dispose des autorisations appropriées, le projet est attribué à cette organisation. Sinon, il utilise par défaut l'organisation ressource à laquelle l'utilisateur est associé. Les comptes associés à une ressource "Organisation" pour créer des ressources de projet qui ne sont pas associées avec une ressource Organisation.
Associer à des comptes Google Workspace ou Cloud Identity
Pour simplifier les choses, nous utilisons le terme Google Workspace pour désigner à la fois les utilisateurs de Google Workspace et de Cloud Identity.
Le compte Google Workspace ou Cloud Identity représente une entreprise et est obligatoire pour pouvoir accéder à la ressource "Organisation". Dans le contexte de Google Cloud, il fournit des fonctions de gestion des identités, de la propriété et du cycle de vie, ainsi qu'un mécanisme de récupération. L'image ci-dessous montre le lien entre le compte Google Workspace, Cloud Identity et la hiérarchie des ressources Google Cloud.
Le super-administrateur Google Workspace est la personne responsable de la validation de la propriété du domaine. Il est également la personne à contacter lorsqu'une récupération est nécessaire. Pour cette raison, le super-administrateur Google Workspace a la possibilité d'attribuer des rôles IAM par défaut. La principale responsabilité du super-administrateur Google Workspace pour Google Cloud est d'attribuer le rôle IAM administrateur de l'organisation aux utilisateurs appropriés pour le domaine concerné. Cela crée la séparation entre les responsabilités d'administration Google Workspace et Google Cloud que les utilisateurs recherchent généralement.
Avantages de la ressource Organisation
Avec une ressource "Organisation", les ressources de projet appartiennent à votre organisation et non à l'employé qui a créé le projet. En d'autres termes, les ressources de projet ne sont plus supprimées lorsqu'un employé quitte l'entreprise. Elles suivent plutôt le cycle de vie de la ressource de l'organisation sur Google Cloud.
De plus, les administrateurs d'organisation disposent d'un contrôle centralisé sur toutes les ressources. Ils peuvent consulter et gérer toutes les ressources de projet de votre entreprise. Ce signifie qu'il ne peut plus y avoir de projets fantômes ou d'administrateurs frauduleux.
En outre, vous pouvez attribuer des rôles au niveau de l'organisation, lesquels s'appliquent à tous les projets et dossiers de la ressource "Organisation". Par exemple : peut attribuer le rôle d'administrateur réseau à l'équipe de mise en réseau au sein de l'organisation ce qui lui permet de gérer tous les réseaux de toutes les ressources de projet entreprise, au lieu de leur accorder le rôle pour toutes les ressources individuelles du projet.
Une ressource "Organisation" exposée par l'API Cloud Resource Manager comprend le suivantes:
- ID de ressource d'organisation, qui est l'identifiant unique d'une organisation
- Un nom à afficher généré à partir du nom de domaine principal dans Google Workspace ou Cloud Identity
- Heure de création de la ressource Organisation.
- Heure de la dernière modification de la ressource "organisation".
- Propriétaire de la ressource Organisation. Le propriétaire est spécifié lors de la création de la ressource Organisation. et ne peut plus être modifié une fois défini), Il s'agit du numéro client Google Workspace spécifié dans l'API Directory.
L'extrait de code suivant montre la structure d'une ressource "Organisation" :
{
"creationTime": "2020-01-07T21:59:43.314Z",
"displayName": "my-organization",
"lifecycleState": "ACTIVE",
"name": "organizations/34739118321",
"owner": {
"directoryCustomerId": "C012ba234"
}
}
La stratégie IAM initiale d'une ressource "Organisation" nouvellement créée accorde les rôles de créateur de projet et de créateur de compte de facturation à l'ensemble du domaine Google Workspace. Cela signifie que les utilisateurs pourront continuer en créant des ressources de projet et des comptes de facturation, comme avant ressource d'organisation existante. Aucune autre ressource n'est créée ressource "Organisation" est créée.
La ressource de dossier
Les ressources Dossier fournissent éventuellement un mécanisme de regroupement supplémentaire et les limites d'isolation entre les projets. Elles peuvent être considérées comme des sous-organisations au sein de la ressource Organisation. Les ressources de dossier peuvent être utilisées pour modéliser différentes entités juridiques, services et équipes au sein d'une entreprise. Par exemple : un premier niveau de ressources de dossier peut être utilisé pour représenter de votre ressource Organisation. Comme les ressources de dossier peuvent contenir des ressources de projet et d'autres dossiers, chaque ressource de dossier peut inclure d'autres sous-dossiers pour représenter différentes équipes. En outre, chaque dossier d'équipe pourrait contenir des sous-dossiers supplémentaires pour représenter différentes applications. Pour en savoir plus sur l'utilisation des ressources de dossier, consultez la section Créer et gérer des ressources de dossier.
Si votre ressource d'organisation contient des ressources de dossier et que vous disposez d'affichage des autorisations, vous pouvez les consulter dans la console Google Cloud. Pour plus des instructions détaillées, consultez Afficher ou répertorier les ressources de dossiers et de projets
Les ressources de dossier permettent de déléguer des droits d'administration. Par exemple, chaque responsable de service peut obtenir la pleine propriété de toutes les ressources Google Cloud appartenant à son service. De même, l'accès aux ressources être limité par ressource de dossier, de sorte que les utilisateurs d'un service ne puissent accéder créer des ressources Google Cloud dans cette ressource de dossier.
L'extrait de code suivant montre la structure d'une ressource de dossier:
{
"createTime": "2030-01-07T21:59:43.314Z",
"displayName": "Engineering",
"lifecycleState": "ACTIVE",
"name": "folders/634792535758",
"parent": "organizations/34739118321"
}
Comme les ressources d'organisation et de projet, les ressources de dossier agissent comme un point d'héritage pour les stratégies IAM et les règles d'administration. Les rôles IAM accordés sur une ressource de dossier sont automatiquement hérités par toutes les ressources de projet et de dossier incluses dans ce dossier.
La ressource du projet
La ressource "Projet" constitue l'entité d'organisation de base. Organisation et les ressources d'un dossier peuvent contenir plusieurs projets. Veuillez indiquer une ressource de projet à utiliser Google Cloud, et constitue la base pour créer, activer et utiliser toutes les services Google Cloud, la gestion des API, l'activation de la facturation, l'ajout et supprimer des collaborateurs et gérer les autorisations.
Toutes les ressources de projet se composent des éléments suivants :
- Deux identifiants :
- ID de ressource de projet, qui est un identifiant unique pour la ressource de projet.
- Numéro de la ressource de projet, qui est attribué automatiquement lorsque vous créez le projet. (cet identifiant est en lecture seule)
- Un nom à afficher modifiable
- État du cycle de vie de la ressource de projet (par exemple, ACTIVE ou DELETE_REQUESTED)
- Un ensemble de libellés, qui peuvent être utilisés pour filtrer les projets
- Heure à laquelle la ressource du projet a été créée.
L'extrait de code suivant montre la structure d'une ressource de projet :
{
"createTime": "2020-01-07T21:59:43.314Z",
"lifecycleState": "ACTIVE",
"name": "my-project",
"parent": {
"id": "634792535758",
"type": "folder"
},
"projectId": "my-project",
"labels": {
"my-label": "prod"
},
"projectNumber": "464036093014"
}
Pour interagir avec la plupart des ressources Google Cloud, vous devez fournir les informations permettant d'identifier la ressource de projet pour chaque requête. Vous pouvez identifier une ressource de projet de deux manières : par son ID de ressource de projet ou par son numéro de ressource de projet (projectId
et projectNumber
dans l'extrait de code).
L'ID de ressource de projet est le nom personnalisé que vous avez choisi lors de la création de la ressource de projet. Si vous activez une API qui nécessite une ressource de projet, vous
est invité à créer une ressource de projet ou à en sélectionner une à l'aide de
l'ID de ressource de son projet. Notez que la chaîne name
, qui est affichée dans l'interface utilisateur, est différente de l'ID de la ressource du projet.
Une ressource de projet est généré automatiquement par Google Cloud. L'ID et le numéro de la ressource de projet se trouvent sur le tableau de bord de la ressource de projet dans la console Google Cloud. Pour en savoir plus sur l'obtention de gestion des identifiants et d'autres tâches de gestion pour les ressources du projet, Créer et gérer les ressources d'un projet
La stratégie IAM initiale de la ressource "Projet" nouvellement créée accorde le rôle de propriétaire au créateur du projet.
Héritage des stratégies IAM
Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources. Grâce à IAM, vous pouvez contrôler qui (utilisateurs) a accès (rôles) à quelles ressources en définissant des stratégies IAM.
Vous pouvez définir une stratégie IAM au niveau d'une organisation, au niveau d'un dossier, au niveau d'un projet ou, dans certains cas, au niveau d'une ressource. Les ressources héritent des stratégies de la ressource parente. Si vous définissez une stratégie au niveau de l'organisation, elle s'applique à tous ses dossiers et ressources de projet enfants. Si vous définissez une stratégie au niveau du projet, elle s'applique à toutes ses ressources enfants.
La stratégie effective associée à une ressource combine la stratégie définie directement sur cette ressource à celle héritée de ses ancêtres. Cet héritage est transitif. En d'autres termes, les ressources héritent des stratégies du projet, lequel hérite des stratégies de la ressource de l'organisation. Par conséquent, les stratégies au niveau des ressources de l'organisation s'appliquent également au niveau des ressources.
Par exemple, dans le diagramme de hiérarchie des ressources ci-dessus, si vous définissez une stratégie pour le dossier "Department Y" qui permet d'accorder le rôle d'éditeur de projet à bob@example.com, Bob aura le rôle d'éditeur pour les projets "Development project", "Test project" et "Production project". À l'inverse, si vous attribuez à alice@example.com le rôle d'administratrice d'instance pour le projet "Test project", elle ne pourra gérer que les instances Compute Engine incluses dans ce projet.
Les rôles sont toujours hérités, et il n'existe aucun moyen de supprimer explicitement une autorisation pour une ressource de niveau inférieur accordée à un niveau supérieur de la hiérarchie des ressources. Dans l'exemple ci-dessus, même si vous supprimiez le rôle d'éditeur de projet de Bob pour "Test project", il hériterait toujours de ce rôle à partir du dossier "Department Y". Il disposerait donc toujours des autorisations du rôle pour "Test project".
La hiérarchie des stratégies IAM suit le même chemin que la hiérarchie des ressources Google Cloud. Si vous modifiez la hiérarchie des ressources, la hiérarchie des stratégies est également modifiée. Par exemple, si vous déplacez un projet dans un ressource Organisation met à jour la stratégie IAM du projet pour qu'elle héritent de la stratégie IAM de la ressource Organisation. De même, le déplacement d'une ressource de projet d'une ressource de dossier à un autre modifie la autorisations héritées. Les autorisations qui ont été héritées par la ressource de projet à partir de la ressource parente d'origine seront perdues une fois que la ressource de projet aura été déplacée vers une nouvelle ressource de dossier. Autorisations définies dans le dossier de destination est héritée par la ressource de projet lors de son déplacement.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit