Ce guide fournit des informations sur l'obtention et la gestion d'une organisation autonome dans Google Cloud.
La ressource d'organisation sert de nœud racine à votre hiérarchie de ressources Google Cloud. Dans la plupart des cas, pour créer une organisation, vous devez être un super-administrateur Cloud Identity et associer l'organisation Google Cloudà un domaine DNS.
Les organisations autonomes ne nécessitent pas Cloud Identity. Lorsque vous vous inscrivez à Google Cloud et que vous fournissez une adresse e-mail Google, l'organisation autonome est automatiquement créée pour vous. En tant que propriétaire du compte, vous obtenez également le rôle de propriétaire de l'organisation. Vous pouvez ensuite utiliser la page Informations sur l'organisation pour gérer l'accès à la propriété pour d'autres utilisateurs.
Les organisations autonomes offrent les avantages suivants :
- Possibilité d'ajouter des utilisateurs avec des identités fédérées en tant que propriétaires de l'organisation.
- Possibilité de prendre en charge plusieurs organisations pour tester différentes fonctionnalités.
- La possibilité de désigner plusieurs propriétaires de l'organisation pour éviter les points de défaillance uniques en cas de départ d'un employé.
Le tableau suivant décrit les différences entre une organisation Cloud Identity et une organisation autonome.
| Capacité | Organisation Cloud Identity | Organisation autonome |
|---|---|---|
| Élémentaire | ||
| Nécessite Cloud Identity | Oui | Non |
| S'inscrire | ||
| Identités requises pour s'inscrire | 2 | 1 |
| Nécessite la validation du domaine/DNS | Oui | Non |
| Propriété | ||
| Propriété super-administrateur irrévocable | Oui | Non |
| Cloud Identity en tant que propriétaire de l'organisation | Oui | Oui |
| Identités fédérées en tant que propriétaire de l'organisation | Impossible | Oui |
| Compte Google en tant que propriétaire de l'organisation | Impossible | Oui |
| Cycle de vie | ||
| Modifier le propriétaire de l'organisation | Impossible | Oui |
| Supprimer l'organisation | Pas de manière isolée | Oui |
| Restaurer une organisation supprimée | Impossible | Oui |
| Modifier le nom à afficher | Impossible | Oui |
| Gouvernance | ||
| Définissez des stratégies de limite d'accès des comptes principaux (PAB) pour restreindre les utilisateurs. | Oui | Oui |
Avant de commencer
Avant de commencer, vérifiez les points suivants :
- Comprendre la ressource Organisation
- Découvrez comment choisir une hiérarchie de ressources pour votre Google Cloud zone de destination.
Identifier votre organisation
Votre organisation autonome est identifiée par un nom et un ID d'organisation.
Nom de l'organisation
Le nom d'organisation par défaut est créé en combinant le nom d'utilisateur avec -org.
Tous les caractères spéciaux du nom d'utilisateur sont remplacés par un tiret. Par exemple, si le nom d'utilisateur est lara_brown, le nom de l'organisation sera lara-brown-org.
Ce nom n'est utilisé par aucune API Google. Vous pouvez modifier le nom de l'organisation à tout moment après sa création.
Assurez-vous que les noms respectent les critères suivants :
- Ils ne doivent contenir que des lettres, des chiffres et des traits d'union.
- N'utilisez pas de nom de domaine. Les noms de domaine sont réservés aux organisations Cloud Identity et Google Workspace.
- ne contiennent pas de mots courants tels queGoogle Cloud.
ID de l'organisation
L'ID d'organisation est un identifiant unique global pour votre organisation. La consoleGoogle Cloud génère ce numéro pour différencier votre organisation de toutes les autres dans Google Cloud. Les ID d'organisation sont au format nombre entier et ne peuvent pas comporter de zéros non significatifs.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom de votre organisation ou d'autres noms de ressources. L'ID d'organisation est utilisé dans le nom de nombreuses autres ressources Google Cloud . Toute référence à l'organisation ou aux ressources associées expose l'ID de l'organisation et le nom de la ressource.
Obtenir une ressource d'organisation autonome
Les organisations autonomes sont disponibles pour tous les nouveaux clients Google Cloud . Une fois votre compte Google Cloud créé, votre ressource Organisation est automatiquement créée. Cela se produit lorsque vous vous connectez à la console Google Cloud et que vous acceptez les conditions. Les organisations autonomes ne sont pas disponibles pour les comptesGoogle Cloud existants.
Un seul compte d'organisation est créé par compte utilisateur. Toutefois, vous pouvez inviter un seul utilisateur à posséder et à administrer plusieurs organisations.
Lorsque la ressource d'organisation est créée, le système attribue les rôles suivants au propriétaire du compte :
roles/cloudowner.admin(propriétaire de l'organisation)roles/resourcemanager.organizationAdmin(Administrateur de l'organisation)
Pour savoir comment ajouter des propriétaires et des administrateurs à votre organisation, consultez Configurer votre organisation autonome.
Obtenir l'ID de votre organisation
Pour obtenir l'ID de votre organisation autonome, vous pouvez utiliser la console Google Cloud , la Google Cloud CLI ou l'API Resource Manager.
Console
Dans la console Google Cloud , accédez à la page Mes organisations.
Le tableau liste vos organisations et leurs ID.
gcloud
Pour trouver l'ID de ressource de votre organisation, exécutez la commande suivante :
gcloud organizations list
Cette commande permet de répertorier toutes les ressources d'organisation dont vous faites partie, ainsi que les ID de ressources d'organisation correspondants.
API
Pour trouver l'ID de ressource de votre organisation à l'aide de l'API Cloud Resource Manager, utilisez la méthode organizations.search(), y compris une requête pour votre domaine. Exemple :
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La réponse contient les métadonnées de la ressource d'organisation appartenant à altostrat.com, y compris l'ID de la ressource d'organisation.
Configurer votre organisation autonome
Lorsque vous créez un compte Google Cloud , vous obtenez automatiquement une ressource d'organisation autonome. Dans cette section, vous découvrirez la configuration initiale, les rôles essentiels et comment gérer ces autorisations au sein de votre organisation.
Le créateur du compte est le premier utilisateur à avoir accès à la ressource Organisation. Les autres utilisateurs de l'organisation peuvent consulter la ressource, mais ne peuvent la modifier qu'une fois les autorisations appropriées définies.
Le propriétaire et l'administrateur de l'organisation sont des rôles clés pour configurer et contrôler le cycle de vie de la ressource Organisation. Ces deux rôles sont généralement attribués à différents utilisateurs ou groupes, en fonction de la structure et des besoins de votre organisation.
Responsabilités des propriétaires d'organisation
Le rôle de propriétaire de l'organisation vous permet d'effectuer les actions suivantes :
- Attribuez le rôle d'administrateur de l'organisation à d'autres utilisateurs.
- Être le point de contact en cas de problèmes de récupération
- Contrôlez le cycle de vie de la ressource Organisation autonome, comme expliqué dans Supprimer, restaurer et renommer des organisations autonomes.
Les propriétaires d'une organisation peuvent être des personnes physiques ou des comptes principaux dans un pool de personnel. Chaque organisation autonome doit toujours avoir au moins un compte Google actif en tant que propriétaire de l'organisation. Les comptes de service ne peuvent pas être invités à devenir propriétaires d'une organisation.
Responsabilités de l'administrateur de l'organisation
Le rôle d'administrateur de l'organisation vous permet d'effectuer les actions suivantes :
- Définissez des stratégies d'autorisation et de refus.
- Attribuez des rôles Identity and Access Management à d'autres utilisateurs dans Google Cloud.
- Affichez la hiérarchie des ressources.
Conformément au principe du moindre privilège, ce rôle vous empêche d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à votre compte.
Attribuer le rôle de propriétaire de l'organisation à des personnes
- Connectez-vous à la console Google Cloud en tant que propriétaire de l'organisation.
Dans la console Google Cloud , accédez à la page Informations sur l'organisation.
Sous Propriétaire de l'organisation, cliquez sur Ajouter un propriétaire de l'organisation.
Saisissez l'adresse e-mail du compte principal que vous souhaitez ajouter en tant que propriétaire. Le système envoie un e-mail au compte principal pour l'inviter à devenir propriétaire de l'organisation. Le représentant légal doit accepter l'invitation sous 30 jours pour devenir propriétaire de l'organisation.
Attribuer le rôle de propriétaire de l'organisation aux utilisateurs d'un pool d'identités de personnel
Cette étape suppose que vous avez déjà configuré la fédération des identités des employés pour votre organisation. Assurez-vous également que les contacts essentiels sont configurés dans votre compte.
- Connectez-vous à la console Google Cloud en tant que propriétaire de l'organisation.
Dans la console Google Cloud , accédez à la page Informations sur l'organisation.
Sous Propriétaire de l'organisation, cliquez sur Ajouter un propriétaire de l'organisation.
Saisissez l'identifiant principal de l'utilisateur au format
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Cliquez sur Suivant.
Saisissez l'adresse e-mail à laquelle envoyer le lien d'invitation du propriétaire. Google Cloud envoie un e-mail à l'utilisateur pour l'inviter à devenir propriétaire de l'organisation. Pour devenir propriétaire d'une organisation, l'utilisateur doit accepter l'invitation dans un délai de 30 jours. Lorsque l'utilisateur accepte l'invitation, le rôle d'administrateur de l'organisation lui est automatiquement attribué.
Supprimer un propriétaire d'organisation
Pour supprimer des utilisateurs disposant du rôle de propriétaire de l'organisation, procédez comme suit :
- Connectez-vous à la console Google Cloud en tant que propriétaire de l'organisation.
Dans la console Google Cloud , accédez à la page Informations sur l'organisation.
Sous Propriétaires de l'organisation, sélectionnez le compte principal que vous souhaitez supprimer.
Dans la dernière colonne du tableau, sous Actions, cliquez sur Autres actions à côté du principal.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer.
Supprimer un administrateur de l'organisation
Pour supprimer des utilisateurs disposant du rôle d'administrateur de l'organisation, procédez comme suit :
Dans la console Google Cloud , accédez à la page IAM.
Sous Autoriser IAM, accédez à Afficher par compte principal.
Recherchez la ligne contenant le compte principal auquel vous avez attribué des rôles, puis cliquez sur Modifier le compte principal sur cette ligne.
Dans le volet Modifier les autorisations, cliquez sur l'icône de suppression à côté du rôle "Administrateur de l'organisation".
Cliquez sur Enregistrer.