La ressource Organisation est le nœud racine de la Google Cloud hiérarchie des ressources et constitue le super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource Organisation.
Avant de commencer
Lisez cette présentation de la ressource Organisation.
Obtenir une ressource Organisation
Une ressource Organisation est disponible pour les clients Google Workspace et Cloud Identity :
- Google Workspace : inscrivez-vous à Google Workspace.
- Cloud Identity : nscrivez-vous à Cloud Identity.
Une fois que vous avez créé votre compte Google Workspace ou Cloud Identity et que vous l'avez associé à un domaine, la ressource "Organisation" est automatiquement créée pour vous. La ressource sera provisionnée à différents moments en fonction de l'état de votre compte :
- Si vous débutez avec Google Cloud et si vous n'avez pas encore créé de projet, la ressource Organisation est créée pour vous lorsque vous vous connectez à la Google Cloud console et que vous acceptez les conditions d'utilisation.
-
Si vous êtes déjà un Google Cloud utilisateur, la ressource Organisation sera créée pour vous lorsque vous créez un projet ou un compte de facturation. Tous les projets que vous avez créés précédemment sont répertoriés sous "Aucune organisation". La ressource "Organisation" s'affiche et le projet que vous avez créé y est automatiquement associé.
Vous devez déplacer tous les projets que vous avez créés sous "Aucune organisation" dans votre nouvelle ressource d'organisation. Pour découvrir comment déplacer vos projets, consultez la page Migrer des projets dans une ressource Organisation.
La ressource "Organisation" créée sera liée à votre compte Google Workspace ou Cloud Identity avec le projet ou le compte de facturation que vous avez créé et défini comme ressource enfant. Tous les projets et les comptes de facturation créés dans votre domaine Google Workspace ou Cloud Identity sont des enfants de cette ressource d'organisation.
- Pour en savoir plus sur la migration de projets préexistants, consultez la page Migrer des projets existants vers l'organisation.
Chaque compte Google Workspace ou Cloud Identity est associé à exactement une seule ressource Organisation. Une ressource Organisation est associée à un seul domaine, défini lors de sa création.
Pour adopter activement la ressource Organisation, les super-administrateurs Google Workspace ou
Cloud Identity doivent attribuer le rôle IAM (roles/resourcemanager.organizationAdmin) Identity and Access Management
Administrateur de l'organisation
à un
utilisateur ou à un groupe. Pour découvrir les étapes à suivre pour configurer votre ressource Organisation, consultez la page
Configurer votre ressource Organisation.
- Lorsque la ressource Organisation est créée, les rôles IAM de créateur de projet (
roles/resourcemanager.projectCreator) et de créateur de compte de facturation (roles/billing.creator) sont automatiquement attribués à tous les utilisateurs de votre domaine au niveau de la ressource Organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption. - L'administrateur de l'organisation décide du moment où il souhaite commencer à utiliser activement la ressource Organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
- Une fois que la ressource Organisation est disponible, vous pouvez créer des projets et des comptes de facturation, même si vous ne disposez pas des autorisations IAM nécessaires pour afficher la ressource Organisation. Ces éléments sont créés automatiquement sous la ressource Organisation, même si vous ne pouvez pas la voir.
Google Cloud Référence de sécurité
Google Cloud La référence de sécurité permet de résoudre les problèmes de sécurité en appliquant un ensemble de règles d'administration lors de la création d'une ressource Organisation. Ces contraintes sont créées et appliquées automatiquement à votre organisation lors de sa création. Pour savoir comment afficher et gérer ces contraintes, consultez la section Google Cloud Contraintes de la référence de sécurité.
Obtenir l'ID de votre ressource Organisation
L'ID de la ressource Organisation est l'identifiant unique d'une ressource Organisation, créé automatiquement et en même temps que votre ressource Organisation. Les ID des ressources d'organisation doivent être au format décimal et non précédés de zéros.
Vous pouvez obtenir l'ID de votre ressource Organisation à l'aide de la Google Cloud console, gcloud CLI ou de l'API Resource Manager.
Console
Pour obtenir l'ID de votre ressource Organisation à l'aide de la Google Cloud console, procédez comme suit :
- Accédez à la Google Cloud console :
- Dans le sélecteur de projets situé en haut de la page, sélectionnez votre ressource Organisation.
- Sur la droite, cliquez sur Plus, puis sur Paramètres.
La page Paramètres affiche l'ID de votre ressource Organisation.
gcloud
Pour trouver l'ID de votre ressource Organisation à l'aide de gcloud, exécutez la commande suivante :
gcloud organizations list
Cette commande permet de répertorier toutes les ressources Organisation dont vous faites partie, ainsi que les ID de ressource Organisation correspondants.
API
Pour trouver l'ID de votre ressource Organisation à l'aide de l'API Resource Manager, utilisez la
organizations.search()
méthode, en incluant une requête pour votre domaine. Exemple :
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La réponse contient les métadonnées de la ressource Organisation appartenant à altostrat.com, y compris l'ID de la ressource Organisation.
Configurer la ressource "Organisation"
Si vous êtes un client Google Workspace ou Cloud Identity, une ressource Organisation vous est automatiquement fournie.
Les super-administrateurs Google Workspace ou Cloud Identity sont les premiers utilisateurs à pouvoir accéder à la ressource Organisation lors de sa création. Tous les autres utilisateurs ou groupes pourront utiliser Google Cloud comme avant. Ils pourront voir la ressource Organisation, mais ne pourront la modifier qu'une fois les autorisations appropriées définies.
Les super-administrateurs Google Workspace ou Cloud Identity et l' Google Cloud administrateur de l'organisation jouent des rôles essentiels dans le processus de configuration et le contrôle du cycle de vie de la ressource Organisation. Les deux rôles sont généralement attribués à des utilisateurs ou à des groupes différents, bien que cela dépende de la structure et des besoins de la ressource Organisation.
Dans le contexte de Google Cloud la configuration de la ressource Organisation, les responsabilités du super-administrateur Google Workspace ou Cloud Identity sont les suivantes :
- Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
- Point de contact en cas de problèmes de récupération
- Contrôler le cycle de vie du compte Google Workspace ou Cloud Identity et de la ressource Organisation, comme expliqué dans la section Supprimer une organisation
L'administrateur de l'organisation, une fois désigné, peut attribuer des rôles Identity and Access Management à d'autres utilisateurs. Les responsabilités de l'administrateur de l'organisation sont les suivantes :
- Définir des règles d'autorisation et de refus, et attribuer des rôles à d'autres utilisateurs
- Déterminer la structure de la hiérarchie des ressources
Conformément au principe du moindre privilège, ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.
La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs Google Workspace et Cloud Identity et l' Google Cloud administrateur de l'organisation. Il s'agit souvent d'une exigence, car les deux produits Google sont généralement gérés par des services différents dans l'organisation du client.
Pour utiliser activement la ressource Organisation, suivez ces étapes pour ajouter un administrateur de l'organisation :
Ajouter un administrateur de l'organisation
Console
Pour ajouter un administrateur de l'organisation, procédez comme suit :
Connectez-vous à la Google Cloud console en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration :
Sélectionnez la ressource Organisation que vous souhaitez modifier :
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionnez une organisation, cliquez sur la liste déroulante des organisations, puis sélectionnez la ressource Organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource Organisation pour ouvrir sa page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez désigner comme administrateurs de l'organisation.
Dans la liste déroulante Sélectionner un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'administrateur de l'organisation peut effectuer les actions suivantes :
Exercer un contrôle complet sur la ressource Organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur est établie. Google Cloud
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Comme expliqué dans la section Obtenir une ressource Organisation, lors de la création de cette ressource,
les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine
au niveau de la ressource Organisation. Ainsi, aucune interruption n'est
causée aux Google Cloud utilisateurs lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Notez que dans la mesure où les règles d'autorisation et de refus sont héritées dans la hiérarchie, l'attribution du rôle de créateur de projet à l'ensemble du domaine (domain:mycompany.com) au niveau de la ressource Organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.