La ressource Organisation est le nœud racine de la hiérarchie des ressourcesGoogle Cloud et constitue le super-nœud hiérarchique des projets. Cette page explique comment acquérir et gérer une ressource Organisation.
Avant de commencer
Lisez cette présentation de la ressource Organisation.
Obtenir une ressource Organisation
Une ressource "Organisation" est disponible pour les clients Google Workspace et Cloud Identity :
- Google Workspace : inscrivez-vous à Google Workspace.
- Cloud Identity : nscrivez-vous à Cloud Identity.
Une fois que vous avez créé votre compte Google Workspace ou Cloud Identity et que vous l'avez associé à un domaine, la ressource "Organisation" est automatiquement créée pour vous. La ressource sera provisionnée à différents moments en fonction de l'état de votre compte :
- Si vous débutez avec Google Cloud et que vous n'avez pas encore créé de projet, la ressource Organisation est créée pour vous lorsque vous vous connectez à la console Google Cloud et que vous acceptez les conditions d'utilisation.
-
Si vous êtes déjà un utilisateur Google Cloud , la ressource Organisation est créée pour vous lorsque vous créez un projet ou un compte de facturation. Tous les projets que vous avez créés précédemment sont répertoriés sous "Aucune organisation". La ressource Organisation s'affiche et le projet que vous avez créé y est automatiquement associé.
Vous devez déplacer tous les projets que vous avez créés sous "Aucune organisation" dans votre nouvelle ressource d'organisation. Pour découvrir comment déplacer vos projets, consultez la page Migrer des projets dans une ressource d'organisation.
La ressource "Organisation" créée sera liée à votre compte Google Workspace ou Cloud Identity avec le projet ou le compte de facturation que vous avez créé et défini comme ressource enfant. Tous les projets et les comptes de facturation créés dans votre domaine Google Workspace ou Cloud Identity sont des enfants de cette ressource d'organisation.
- Pour en savoir plus sur la migration de projets préexistants, consultez la page Migrer des projets existants vers l'organisation.
Chaque compte Google Workspace ou Cloud Identity est associé à une seule ressource d'organisation. Une ressource d'organisation est associée à un seul domaine, défini lors de la création de la ressource d'organisation.
Pour adopter activement la ressource Organisation, les super-administrateurs Google Workspace ou Cloud Identity doivent attribuer le rôle IAM (Identity and Access Management) Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) à un utilisateur ou à un groupe. Pour découvrir comment configurer la ressource de votre organisation, consultez Configurer la ressource de votre organisation.
- Lorsque la ressource Organisation est créée, les rôles IAM de créateur de projet (
roles/resourcemanager.projectCreator) et de créateur de compte de facturation (roles/billing.creator) sont automatiquement attribués à tous les utilisateurs de votre domaine au niveau de la ressource Organisation. Ainsi, les utilisateurs de votre domaine peuvent continuer à créer des projets, sans aucune interruption. - L'administrateur de l'organisation décide du moment où il souhaite commencer à utiliser activement la ressource Organisation. Il peut ensuite modifier les autorisations par défaut et appliquer des règles plus restrictives si nécessaire.
- Une fois que la ressource Organisation est disponible, vous pouvez créer des projets et des comptes de facturation, même si vous ne disposez pas des autorisations IAM nécessaires pour afficher la ressource Organisation. Même si vous ne pouvez pas les visualiser, ils sont automatiquement créés dans la ressource Organisation.
Google Cloud référence de sécurité
La référence de sécuritéGoogle Cloud traite les stratégies de sécurité non sécurisées avec un ensemble de règles d'administration appliquées lorsqu'une ressource d'organisation est créée. Ces contraintes sont créées et appliquées automatiquement à votre organisation lors de sa création. Pour savoir comment afficher et gérer ces contraintes, consultez Contraintes de référence de sécuritéGoogle Cloud .
Obtenir l'ID de ressource de votre organisation
L'ID de ressource d'organisation est l'identifiant unique d'une ressource d'organisation, créé automatiquement et en même temps que votre ressource d'organisation. Les ID des ressources d'organisation doivent être au format décimal et non précédés de zéros.
Vous pouvez obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud , de gcloud CLI ou de l'API Cloud Resource Manager.
Console
Pour obtenir l'ID de ressource de votre organisation à l'aide de la console Google Cloud , procédez comme suit :
- Accédez à la console Google Cloud :
- Dans le sélecteur de projets situé en haut de la page, sélectionnez la ressource de votre organisation.
- Sur le côté droit, cliquez sur Plus, puis sur Paramètres.
La page Paramètres affiche l'ID de ressource de votre organisation.
gcloud
Pour trouver l'ID de ressource de votre organisation, exécutez la commande suivante :
gcloud organizations list
Cette commande permet de répertorier toutes les ressources d'organisation dont vous faites partie, ainsi que les ID de ressources d'organisation correspondants.
API
Pour trouver l'ID de ressource de votre organisation à l'aide de l'API Cloud Resource Manager, utilisez la méthode organizations.search(), y compris une requête pour votre domaine. Exemple :
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La réponse contient les métadonnées de la ressource d'organisation appartenant à altostrat.com, y compris l'ID de la ressource d'organisation.
Configurer la ressource "Organisation"
Si vous êtes un client Google Workspace ou Cloud Identity, une ressource d'organisation vous est automatiquement fournie.
Les super-administrateurs Google Workspace ou Cloud Identity sont les premiers utilisateurs à pouvoir accéder à la ressource "Organisation" lors de sa création. Tous les autres utilisateurs ou groupes pourront utiliser Google Cloud comme auparavant. Ils pourront consulter la ressource Organisation, mais ils ne pourront la modifier qu'une fois les autorisations appropriées définies.
Les super-administrateurs Google Workspace ou Cloud Identity et l'Google Cloud administrateur de l'organisation sont des rôles clés lors du processus de configuration et du contrôle du cycle de vie de la ressource Organisation. Ces deux rôles sont généralement attribués à différents utilisateurs ou groupes, bien que cela dépende de la structure et des besoins de la ressource d'organisation.
Dans le contexte de la configuration de la ressource d'organisation Google Cloud , les responsabilités du super-administrateur Google Workspace ou Cloud Identity sont les suivantes :
- Attribuer le rôle d'administrateur de l'organisation à certains utilisateurs
- Point de contact en cas de problèmes de récupération
- Contrôler le cycle de vie du compte Google Workspace ou Cloud Identity et de la ressource Organisation, comme expliqué dans la section Supprimer une organisation
L'administrateur de l'organisation, une fois désigné, peut attribuer des rôles Identity and Access Management à d'autres utilisateurs. Les responsabilités de l'administrateur de l'organisation sont les suivantes :
- Définir des règles d'autorisation et de refus, et attribuer des rôles à d'autres utilisateurs
- Déterminer la structure de la hiérarchie des ressources
Conformément au principe du moindre privilège, ce rôle n'inclut pas l'autorisation d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.
La présence de deux rôles distincts assure la séparation des tâches entre les super-administrateurs Google Workspace et Cloud Identity et l'administrateur de l'organisationGoogle Cloud . Cette séparation est souvent nécessaire, car les deux produits Google sont généralement gérés par différents services au sein de l'organisation du client.
Pour utiliser activement la ressource Organisation, suivez ces étapes pour ajouter un administrateur de l'organisation :
Ajouter un administrateur de l'organisation
Console
Pour ajouter un administrateur de l'organisation :
Connectez-vous à la console Google Cloud en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page IAM et administration :
Sélectionnez la ressource Organisation que vous souhaitez modifier :
Cliquez sur la liste déroulante des projets en haut de la page.
Dans la boîte de dialogue Sélectionnez une organisation, cliquez sur la liste déroulante des organisations, puis sélectionnez la ressource d'organisation à laquelle vous souhaitez ajouter un administrateur de l'organisation.
Dans la liste qui s'affiche, cliquez sur la ressource de l'organisation pour ouvrir sa page Autorisations IAM.
Cliquez sur Ajouter, puis saisissez l'adresse e-mail d'un ou de plusieurs utilisateurs que vous souhaitez désigner comme administrateurs de l'organisation.
Dans la liste déroulante Sélectionnez un rôle, sélectionnez Gestionnaire de ressources > Administrateur de l'organisation, puis cliquez sur Enregistrer.
L'administrateur de l'organisation peut effectuer les actions suivantes :
Exercer un contrôle complet sur la ressource de l'organisation. La séparation des responsabilités entre le super-administrateur Google Workspace ou Cloud Identity et l'administrateur Google Cloud est établie.
Déléguer la responsabilité des fonctions essentielles en attribuant les rôles IAM appropriés.
Comme expliqué dans la section Obtenir une ressource Organisation, lors de la création de cette ressource, les rôles de créateur de projet et de créateur de compte de facturation sont attribués par défaut à tous les utilisateurs du domaine au niveau de la ressource Organisation. Ainsi, les utilisateurs Google Cloud ne subissent aucune interruption d'activité lors de la création de la ressource Organisation. Lorsque l'administrateur de l'organisation prend le contrôle, il peut vouloir supprimer ces autorisations au niveau de l'organisation pour commencer à verrouiller les accès de façon plus précise (par exemple, au niveau d'un dossier ou d'un projet). Notez que dans la mesure où les règles d'autorisation et de refus sont héritées dans la hiérarchie, l'attribution du rôle de créateur de projet à l'ensemble du domaine (domain:mycompany.com) au niveau de la ressource Organisation implique que chaque utilisateur du domaine peut créer des projets n'importe où dans la hiérarchie.