À propos de la hiérarchie des ressources

La Google Cloud hiérarchie des ressources fournit un moyen structuré d'organiser vos ressources cloud. Toutes les ressources, à l'exception de la ressource de niveau le plus élevé d'une hiérarchie, disposent d'un seul parent. La hiérarchie se compose de l'organisation (racine) en haut, suivie des dossiers (facultatifs) pour le regroupement, puis des projets, qui contiennent les ressources de service réelles, telles que les machines virtuelles Compute Engine et les buckets de stockage.

L'utilisation d'une hiérarchie structurée offre les avantages suivants :

Propriété : elle lie le cycle de vie d'une ressource à son parent immédiat. Les projets appartiennent à l'organisation, et non à l'employé qui les a créés. Si un employé quitte l'entreprise, le projet reste actif et sécurisé.
Héritage : il fournit des points de liaison pour le contrôle des accès et les règles d'administration, qui sont appliqués à la hiérarchie. Vous pouvez attribuer des rôles à un niveau élevé (comme l'organisation ou un dossier). Ces rôles sont hérités par toutes les ressources enfants, ce qui réduit la nécessité de configurer manuellement les autorisations pour chaque projet.

Le schéma suivant illustre la Google Cloud hiérarchie des ressources.

Hiérarchie des ressources Google Cloud, avec une organisation en haut, contenant des dossiers, des projets et des ressources de service

Ressource "Organisation"

La ressource organisation représente une entité (telle qu'une entreprise) et sert de nœud racine à la Google Cloud hiérarchie des ressources. Elle fournit les fonctions clés suivantes :

L'organisation sert de parent à toutes les ressources de dossier et de projet.
Les stratégies de contrôle des accès (telles que les rôles de Identity and Access Management (IAM)) et les règles d'administration appliquées à ce niveau sont héritées par chaque ressource de l'organisation.
Bien qu'elle ne soit pas strictement obligatoire pour tous les Google Cloud utilisateurs, une ressource "Organisation" est nécessaire pour utiliser des fonctionnalités spécifiques de Resource Manager.

Association à des comptes Google Workspace ou Cloud Identity

Un compte Google Workspace ou Cloud Identity est obligatoire pour accéder à la ressource "Organisation".

Un compte Google Workspace ou Cloud Identity ne peut être associé qu'à une seule ressource "Organisation".
Lorsqu'un utilisateur disposant d'un compte Google Workspace ou Cloud Identity crée une ressource de Google Cloud projet, une ressource "Organisation" lui est automatiquement provisionnée.

L'image suivante montre le lien entre le compte Google Workspace, Cloud Identity et la Google Cloud hiérarchie des ressources.

Relation entre un compte Google Workspace ou Cloud Identity et la hiérarchie des ressources Google Cloud

Le super-administrateur Google Workspace est la personne responsable de la validation de la propriété du domaine. Il est également la personne à contacter lorsqu'une récupération est nécessaire. Pour cette raison, le super-administrateur Google Workspace a la possibilité d'attribuer des rôles IAM par défaut. La principale responsabilité du super-administrateur Google Workspace pour Google Cloud est d'attribuer le rôle IAM d'administrateur de l'organisation aux utilisateurs appropriés pour le domaine concerné. Cela crée la séparation entre les responsabilités d'administration Google Workspace et Google Cloud que les utilisateurs recherchent généralement.

Règles de création de projets pour les utilisateurs gérés

Une fois qu'une ressource "Organisation" existe pour un domaine, des règles strictes s'appliquent à la création de projets :

Les utilisateurs gérés (membres du domaine du compte) doivent créer des projets au sein d'une organisation. Il n'est pas possible pour les comptes associés à une ressource "Organisation" de créer des ressources de projet qui ne sont pas associées à une ressource "Organisation".
Par défaut, les nouveaux projets appartiennent à l'organisation associée à l'utilisateur.
Si un utilisateur dispose des autorisations appropriées, il peut spécifier une autre ressource "Organisation" lors de la création du projet. Sinon, l'organisation par défaut est son organisation d'origine.

Avantages de la ressource "Organisation"

Avec une ressource "Organisation", les ressources de votre projet appartiennent à votre organisation, et non à l'employé qui les a créées. Cela signifie que votre organisation conserve les ressources de projet lorsqu'un employé quitte l'entreprise. Les ressources de projet suivent le cycle de vie de la ressource "Organisation" sur Google Cloud.

De plus, les administrateurs d'organisation contrôlent toutes les ressources de manière centralisée. Ils peuvent afficher et gérer toutes les ressources de projet de votre entreprise. Cela évite les projets fantômes ou les administrateurs non autorisés.

Vous pouvez également attribuer des rôles au niveau de l'organisation, qui sont hérités par toutes les ressources de projet et de dossier de la ressource "Organisation". Par exemple, vous pouvez attribuer le rôle Administrateur réseau aux membres de votre équipe de gestion du réseau au niveau de l'organisation plutôt qu'au niveau des projets. Ainsi, ils pourront gérer tous les réseaux de toutes les ressources de projet de votre entreprise.

Une ressource "Organisation" est définie par les attributs suivants :

Un ID de ressource "Organisation", qui est l'identifiant unique d'une organisation.
Un nom à afficher généré à partir du nom de domaine principal dans Google Workspace ou Cloud Identity.
L'heure de création de la ressource "Organisation".
L'heure de la dernière modification apportée à la ressource "Organisation".
Le propriétaire de la ressource "Organisation", qui correspond au numéro client Google Workspace de l'API Directory. Vous spécifiez le propriétaire lorsque vous créez la ressource "Organisation", et vous ne pouvez pas le modifier.

L'extrait de code suivant montre la structure d'une ressource "Organisation" :

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

La stratégie d'autorisation initiale d'une nouvelle ressource "Organisation" accorde les rôles de créateur de projet et de créateur de compte de facturation à l'ensemble du domaine Google Workspace. Ainsi, les utilisateurs peuvent continuer à créer des ressources de projet et des comptes de facturation comme ils le faisaient avant la création de la ressource "Organisation". Aucune autre ressource n'est créée en même temps qu'une ressource "Organisation". Les stratégies d'autorisation, de refus et d'organisation sont héritées à travers la hiérarchie. La stratégie effective pour chaque ressource de la hiérarchie résulte des stratégies appliquées directement à la ressource et des stratégies héritées de ses ancêtres.

Ressource "Dossier"

Les ressources "Dossier" constituent un mécanisme de regroupement facultatif entre les ressources "Organisation" et les ressources de projet. Une ressource "Organisation" est obligatoire pour utiliser des dossiers. Les ressources "Dossier" et leurs ressources de projet enfants résident sous la ressource "Organisation".

Les ressources "Dossier" peuvent fournir des limites d'isolation entre les projets. Elles fonctionnent comme des sous-organisations au sein de la ressource "Organisation". Les ressources "Dossier" peuvent modéliser différentes entités juridiques, services et équipes au sein d'une entreprise. Par exemple, un premier niveau de dossiers peut représenter les principaux services de votre organisation. Comme les dossiers peuvent contenir des projets et d'autres dossiers, chaque dossier peut inclure des sous-dossiers pour représenter différentes équipes. En outre, chaque dossier d'équipe peut contenir des sous-dossiers supplémentaires pour représenter différentes applications. Pour en savoir plus sur l'utilisation des ressources "Dossier", consultez la page Créer des dossiers.

Si votre ressource "Organisation" comporte des ressources "Dossier" et que vous disposez des autorisations d'affichage appropriées, vous pouvez les consulter dans la Google Cloud console. Pour obtenir des instructions plus détaillées, consultez la page Afficher, mettre à jour et supprimer des dossiers.

Les ressources "Dossier" vous permettent de déléguer des droits d'administration. Par exemple, vous pouvez accorder à chaque responsable de service la pleine propriété de toutes les Google Cloud ressources de leur service. De même, les ressources "Dossier" peuvent limiter l'accès aux ressources, ce qui signifie que les utilisateurs d'un service ne peuvent accéder et créer Google Cloud des ressources que dans cette ressource "Dossier".

L'extrait de code suivant montre la structure d'une ressource "Dossier" :

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Comme les ressources "Organisation" et "Projet", les ressources "Dossier" agissent comme un point d'héritage pour les stratégies d'autorisation, de refus et d'organisation. Les rôles IAM accordés sur une ressource "Dossier" sont hérités par toutes les ressources de projet et de dossier de ce dossier.

Ressource "Projet"

La ressource "Projet" constitue l'entité d'organisation fondamentale. Les ressources "Organisation" et "Dossier" peuvent contenir plusieurs projets. Vous devez disposer d'une ressource "Projet" pour utiliser Google Cloud. Elle est essentielle pour créer, activer et utiliser tous Google Cloud services, gérer les API, activer la facturation, ajouter et supprimer des collaborateurs, et gérer les autorisations.

Toutes les ressources de projet incluent les éléments suivants :

Deux identifiants :
1. L'ID de ressource "Projet", qui est un identifiant unique pour la ressource "Projet".
2. Le numéro de ressource "Projet", qui est attribué automatiquement lorsque vous créez le projet. Il est en lecture seule.
Un nom à afficher modifiable.
L'état du cycle de vie de la ressource "Projet" (par exemple, "ACTIVE" [actif] ou "DELETE_REQUESTED" [suppression_demandée]).
Un ensemble de libellés, qui peuvent être utilisés pour filtrer les projets.
La date et l'heure de création de la ressource "Projet".

L'extrait de code suivant montre la structure d'une ressource "Projet" :

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Pour interagir avec la plupart des Google Cloud ressources, vous devez fournir les identifiants de ressource "Projet" pour chaque requête. Vous pouvez identifier une ressource "Projet" de deux manières : par son ID ou par son numéro. Dans l'extrait de code, il s'agit de projectId et projectNumber.

Un ID de ressource "Projet" est le nom personnalisé que vous choisissez lorsque vous créez un projet. Si vous activez une API nécessitant un projet, vous pouvez en créer un ou en sélectionner un à l'aide de son ID de ressource "Projet". La chaîne name, qui s'affiche dans l'interface utilisateur, n'est pas la même que l'ID de ressource "Projet".

Google Cloud génère automatiquement un numéro de ressource "Projet". Vous trouverez l'ID et le numéro de ressource "Projet" sur le tableau de bord du projet dans la Google Cloud console. Pour en savoir plus sur l'obtention des identifiants de projet et sur les autres tâches de gestion pour les ressources de projet, consultez la page Créer des projets.

La stratégie IAM initiale de la ressource "Projet" nouvellement créée accorde le rôle de propriétaire au créateur du projet.

Tous les utilisateurs, y compris les utilisateurs de l'essai sans frais, les utilisateurs du niveau sans frais et les clients Google Workspace et Cloud Identity, peuvent créer des ressources de projet. Les utilisateurs du Google Cloud programme sans frais ne peuvent créer des ressources de projet et des ressources de service que dans des projets. Les ressources de projet peuvent se trouver en haut de leur hiérarchie, mais uniquement si elles sont créées par un utilisateur de l'essai sans frais ou du niveau sans frais. Les clients Google Workspace et Cloud Identity ont accès à des fonctionnalités supplémentaires de la Google Cloud hiérarchie des ressources, telles que les ressources "Organisation" et "Dossier". Pour en savoir plus, consultez la présentation de Cloud Identity. Les ressources de projet situées en haut de leur hiérarchie n'ont pas de ressources parentes, mais elles peuvent être migrées vers une ressource "Organisation" une fois que celle-ci a été créée pour le domaine. Pour en savoir plus sur la migration des ressources de projet, consultez la page Migrer des projets entre des ressources "Organisation".

Étape suivante

Découvrez comment créer votre Google Cloud hiérarchie de ressources
Découvrez comment lister tous les projets, dossiers et organisations de votre hiérarchie.