L'assistant de configuration de l'organisation simplifie la préparation et la délégation de l'administration pour votre ressource Organisation. Il vous permet également de migrer des projets et des comptes de facturation existants vers votre nouvelle ressource Organisation.
Pour débuter avec l'assistant de configuration de l'organisation, procédez comme suit :
Acquérez une ressource Organisation. Pour obtenir des instructions détaillées, consultez Obtenir une ressource Organisation.
Attribuez des administrateurs d'organisation, de facturation et de réseau à votre ressource OrganisationGoogle Cloud . Pour obtenir des instructions détaillées, consultez Accorder, modifier et révoquer les accès à des ressources.
Pour démarrer le processus de migration :
Envoyez la demande de migration du projet et du compte de facturation aux propriétaires du projet.
Attendez que les propriétaires du projet confirment la demande de migration.
Approuvez la migration du projet et du compte de facturation.
Ce guide explique comment migrer des projets et des comptes de facturation à l'aide de l'assistant de configuration Google Cloud . Pour en savoir plus sur l'utilisation de Resource Manager, consultez Migrer des projets.
L'association de projets ou de comptes de facturation à une ressource Organisation permet un contrôle centralisé de toutes les ressources de l'organisation. Pour en savoir plus, consultez les avantages de la ressource Organisation.
Les sections suivantes fournissent des instructions détaillées pour les étapes ci-dessus.
Migrer des projets et des comptes de facturation existants
Quand une ressource Organisation est créée pour votre domaine, tous les projets créés sous la ressource Organisation appartiennent automatiquement à cette ressource. Vous pouvez également migrer des projets existants vers la ressource Organisation.
Si vous êtes le propriétaire ou l'éditeur d'un projet et que vous êtes un créateur de projet pour la ressource Organisation, vous pouvez migrer directement des projets.
Si vous êtes un administrateur d'organisation, vous pouvez demander aux propriétaires de projet de vous donner le contrôle d'un projet afin de pouvoir le migrer vers votre ressource Organisation.
La migration de projet est irréversible. Une fois qu'un projet est associé à une ressource Organisation, vous ne pouvez plus le retirer de celle-ci ni le déplacer vers une autre ressource Organisation. Si vous souhaitez déplacer un projet après l'avoir associé à une ressource Organisation, vous devez contacter l'assistance PremiumGoogle Cloud .
Lorsqu'un projet est migré vers une ressource Organisation, l'administrateur de l'organisation obtient le contrôle administratif du projet et hérite des règles d'administration et des stratégies IAM (Identity and Access Management) d'autorisation et de refus. En savoir plus sur les implications liées aux stratégies
Lorsque vous déplacez des projets existants vers une ressource Organisation, ils continuent d'être facturés de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous déplacez le compte de facturation dans une ressource Organisation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de la ressource Organisation. Vous pouvez associer des projets nouvellement importés à un compte de facturation nouveau ou existant dans votre ressource Organisation à tout moment, sans interrompre le fonctionnement du projet.
Configurer les ressources de l'organisation pour les super-administrateurs
Créer une ressource Organisation
Avant de déléguer des administrateurs Google Cloud et de migrer des projets et des comptes de facturation, vous devez disposer d'une ressource Organisation. Pour obtenir une ressource Organisation, inscrivez-vous à Google Workspace ou à Cloud Identity, validez votre domaine, puis créez un projet à l'aide de ce compte. Une ressource Organisation sera automatiquement provisionnée une fois le projet créé. Pour en savoir plus sur l'acquisition d'une ressource Organisation, consultez Obtenir une ressource Organisation.
Déléguer des administrateurs Google Cloud
Pour déléguer des administrateurs Google Cloud :
Dans l'e-mail "Bienvenue à [NOM_D'ORGANISATION] sur Google Cloud", cliquez sur Accéder à ma console ou accédez à la page Configuration de l'organisation dans la console Google Cloud .
Sur la page Configuration de l'organisation, cliquez sur Déléguer la configuration.
Sur la page Déléguer le rôle d'administrateur de l'organisation qui apparaît, entrez les adresses e-mail des personnes ou des groupes que vous souhaitez ajouter en tant qu'administrateurs d'organisation.
Lorsque vous avez terminé d'ajouter des administrateurs d'organisation, cliquez sur Déléguer.
Les utilisateurs des adresses e-mail que vous avez saisies recevront une notification par e-mail les informant de leur nouveau rôle d'administrateur d'organisation pour votre ressource Organisation Google Cloud .
Pour ajouter ultérieurement des administrateurs, cliquez sur Définir les autorisations dans la page Identité et organisation.
Migration pour les administrateurs Google Cloud
Lorsqu'un utilisateur de compte Google Workspace ou Cloud Identity vous délègue le rôle d'administrateur de l'organisation au cours du processus de configuration de la ressource Organisation, vous recevez une notification par e-mail. Pendant la configuration de la ressource Organisation, vous pourrez attribuer des autorisations à d'autres administrateurs d'organisation, de facturation et de réseau. Les personnes que vous affectez en tant qu'administrateurs ne recevront pas d'e-mail.
Vous avez besoin du rôle Créateur de projet pour demander la migration du projet et du compte de facturation. Par défaut, ce rôle est attribué à tous les utilisateurs de votre domaine. Pour en savoir plus sur la modification de ce comportement par défaut et l'attribution de ce rôle aux utilisateurs, consultez Gérer les rôles d'organisation par défaut.
Effectuer une migration des projets et des comptes de facturation
Pour migrer des projets ou des comptes de facturation à partir d'autres comptes utilisateur, vous devez d'abord demander aux propriétaires d'approuver la migration. Les propriétaires reçoivent ensuite une notification leur permettant d'examiner votre demande et d'approuver la migration des projets ou des comptes de facturation. Les propriétaires de projet peuvent ignorer votre demande. Celle-ci expirera au bout de 30 jours. Vous pouvez demander à nouveau la migration si la demande d'origine expire ou est toujours en attente. Vous recevez une notification quand un propriétaire a approuvé la migration des projets ou des comptes de facturation pour la migration. Vous pouvez alors sélectionner les éléments que vous souhaitez migrer.
Demander la migration d'un projet ou d'un compte de facturation
Accédez à la page Identité et organisation de la console Google Cloud .
Dans la fenêtre Request projects or billing accounts (Demander la migration de projets ou de comptes de facturation), ajoutez les adresses e-mail des propriétaires de compte de facturation ou de projet auxquels vous souhaitez demander des projets, puis cliquez sur Request (Demander).
Les propriétaires de compte de facturation ou de projet recevront un e-mail avec votre demande de migration. Une fois la migration approuvée, vous recevrez un e-mail contenant un lien vous permettant de terminer la migration.
Attendre l'approbation des demandes de migration
Lorsque vous demandez la migration d'un projet ou d'un compte de facturation, les propriétaires du projet ou du compte de facturation reçoivent un e-mail avec votre demande. Ils pourront sélectionner les projets à préparer pour la migration. Votre demande reste valide pendant un maximum de 30 jours. Après 30 jours, la demande expire et vous devez envoyer une nouvelle demande de migration pour tout projet ou compte de facturation en attente.
Quand un propriétaire de projet ou de compte de facturation confirme la demande de migration, vous recevez un e-mail et une notification s'affiche sur votre console Google Cloud . Pour approuver la migration, passez à l'étape suivante.
Approuver la migration du projet et du compte de facturation
Une fois qu'un propriétaire a approuvé votre demande de migration, vous recevez un e-mail de Platform Notifications indiquant que le propriétaire du projet a répondu à votre demande de migration. Une notification s'affiche également sur votre console Google Cloud .
Vous devez disposer des rôles Créateur de projet, Créateur de compte de facturation et Administrateur de l'organisation dans la ressource Organisation vers laquelle vous migrez des projets. Pour terminer la migration :
Cliquez sur Migrer dans l'e-mail ou accédez à la page Migrer des projets dans la console Google Cloud .
Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer, puis cliquez sur Suivant.
L'onglet Vérifier et approuver affiche la liste de tous les projets et comptes de facturation que vous avez choisi de migrer.
Pour terminer la migration, cliquez sur Approuver.
Les projets ou comptes de facturation que vous avez choisi de migrer sont désormais associés à votre ressource Organisation. Les projets ou comptes de facturation que vous n'avez pas migrés restent dans la liste Aucune organisation. Vous aurez toujours le rôle IAM Déplaceur de projets pour ces projets et le rôle Administrateur de la facturation pour ces comptes de facturation. Vous pouvez revenir sur la page Migrer des projets de la consoleGoogle Cloud pour approuver la migration de ces projets et comptes de facturation.
Lorsque vous effectuez une migration pour un projet, celui-ci est facturé de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous terminez la migration d'un compte de facturation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de la ressource Organisation.
Examiner des demandes de migration
Lorsqu'un administrateur d'organisation vous demande de migrer un projet ou un compte de facturation vers sa ressource Organisation, vous recevez un e-mail portant l'objet "Demande de migration". Lorsque vous approuvez la migration, vous accordez à l'administrateur de l'organisation les rôles suivants :
Projet :
role/project.mover- Le rôle Déplaceur de projets permet à un utilisateur d'importer des projets et de modifier les autorisations IAM sur ces projets.
Pour les comptes de facturation :
roles/billing.admin- Le rôle Administrateur de la facturation permet à un utilisateur d'importer des comptes de facturation et de modifier les autorisations IAM sur ces comptes.
Quand la migration a été approuvée par l'administrateur de l'organisation, il peut modifier les rôles IAM du projet. Ce dernier hérite également des stratégies d'organisation existantes. En savoir plus sur les implications liées aux stratégies
Pour examiner les demandes, suivez les étapes ci-dessous :
Cliquez sur Examiner la demande dans l'e-mail pour ouvrir la page Examiner la demande de migration.
Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer vers la ressource Organisation, puis cliquez sur Suivant. La création de la liste des projets peut prendre jusqu'à cinq minutes.
L'onglet Confirmer affiche les détails suivants sur la migration :
Adresse e-mail de l'administrateur d'organisation auquel vous accordez les rôles Déplaceur de projets et Administrateur de la facturation.
Une liste de confirmation de tous les projets et comptes de facturation que vous avez sélectionnés pour la migration.
Pour terminer la migration, saisissez l'adresse e-mail de l'entité à l'origine de la demande de migration, puis cliquez sur Confirmer.
Les projets ou comptes de facturation dont vous avez validé la migration peuvent à présent être sélectionnés par l'administrateur de l'organisation en vue d'une migration dans sa ressource Organisation.
Si vous souhaitez arrêter le processus de migration d'un projet ou d'un compte de facturation, vous devez le faire avant que l'administrateur d'organisation ne l'importe dans sa ressource Organisation. Pour arrêter la migration, accédez à la page IAM de la console Google Cloud pour le projet et supprimez le rôle Déplaceur de projet ou Administrateur de la facturation de l'administrateur de l'organisation.
Les projets ou comptes de facturation que vous n'avez pas migrés gardent le statut Aucune organisation. Vous avez jusqu'à 30 jours pour cliquer sur le lien dans l'e-mail "Demande de migration" et approuver la migration. Après 30 jours, la demande de migration expire et l'administrateur de l'organisation doit envoyer une nouvelle demande de migration à votre intention.
Implications liées aux stratégies
Les stratégies d'autorisation et de refus IAM déjà définies pour un projet sont migrées avec celui-ci. Cela signifie que les comptes principaux auxquels des rôles ont été attribués sur le projet avant une migration disposeront des mêmes rôles après la migration du projet. Les comptes principaux dont les autorisations ont été refusées à l'aide d'une stratégie de refus verront les mêmes autorisations refusées après la migration.
Étant donné que les rôles IAM sont hérités et cumulatifs, les rôles définis au niveau de l'organisation sont hérités par les projets lorsqu'ils migrent vers la ressource Organisation. Par exemple, si projectAuthor@myorganization.com dispose du rôle Éditeur de projet défini au niveau de l'organisation, il l'aura également pour tout projet migré dans la ressource Organisation. Cette particularité n'a pas d'incidence sur les projets existants, mais elle a pour conséquence que davantage d'utilisateurs peuvent y accéder.
Les règles d'administration sont également héritées. Par défaut, les ressources d'organisation nouvellement créées ne disposent pas de règles d'administration. Si vous définissez des règles d'administration pour votre ressource Organisation, assurez-vous que les projets que vous migrez sont cohérents avec ces règles d'administration.