Ce guide fournit des informations sur l'obtention et la gestion d'une organisation autonome dans Google Cloud.
La ressource Organisation sert de nœud racine à votre Google Cloud hiérarchie de ressources. Dans la plupart des cas, pour créer une organisation, vous devez être un super-administrateur Cloud Identity et associer l' Google Cloud organisation à un domaine DNS.
Avec les organisations autonomes, vous n'avez pas besoin de Cloud Identity. Lorsque vous vous inscrivez à et que vous fournissez une adresse e-mail Google, l'organisation autonome est créée automatiquement. Google Cloud En tant que propriétaire du compte, vous obtenez également le rôle de propriétaire de l'organisation. Vous pouvez ensuite utiliser la page Détails de l'organisation pour gérer l'accès des autres utilisateurs en tant que propriétaires.
Les organisations autonomes offrent les avantages suivants :
- Possibilité d'ajouter des utilisateurs avec des identités fédérées en tant que propriétaires de l'organisation.
- Possibilité de prendre en charge plusieurs organisations pour tester différentes fonctionnalités.
- Possibilité de prendre en charge plusieurs propriétaires d'organisation pour éviter les points de défaillance uniques si un employé quitte l'entreprise.
Le tableau suivant présente les différences entre une organisation Cloud Identity et une organisation autonome.
| Capacité | Organisation Cloud Identity | Organisation autonome |
|---|---|---|
| Fondamental | ||
| Nécessite Cloud Identity | Oui | Non |
| S'inscrire | ||
| Identités requises pour l'inscription | 2 | 1 |
| Nécessite la validation du domaine/DNS | Oui | Non |
| Propriété | ||
| Propriété de super-administrateur irrévocable | Oui | Non |
| Cloud Identity en tant que propriétaire de l'organisation | Oui | Oui |
| Identités fédérées en tant que propriétaire de l'organisation | Impossible | Oui |
| Compte Google en tant que propriétaire de l'organisation | Impossible | Oui |
| Cycle de vie | ||
| Modifier le propriétaire de l'organisation | Impossible | Oui |
| Supprimer l'organisation | Pas en isolation | Oui |
| Restaurer une organisation supprimée | Impossible | Oui |
| Modifier le nom à afficher | Impossible | Oui |
| Gouvernance | ||
| Définir des règles de limite d'accès du compte principal pour restreindre les utilisateurs | Oui | Oui |
Avant de commencer
Avant de commencer, consultez les points suivants :
- Comprendre la ressource Organisation.
- Découvrez comment choisir une hiérarchie de ressources pour votrezone de destination. Google Cloud
Identifier votre organisation
Votre organisation autonome est identifiée par un nom et un ID.
Nom de l'organisation
Le nom d'organisation par défaut est créé en combinant le nom d'utilisateur avec -org.
Tous les caractères spéciaux du nom d'utilisateur sont remplacés par un tiret. Par exemple, si le nom d'utilisateur est lara_brown, le nom de l'organisation sera lara-brown-org.
Ce nom n'est utilisé par aucune API Google. Vous pouvez modifier le nom de l'organisation à tout moment après sa création.
Assurez-vous que les noms répondent aux critères suivants :
- Ne contenir que des lettres, des chiffres ou des traits d'union.
- Ne pas utiliser de nom de domaine. Les noms de domaine sont réservés aux organisations Cloud Identity et Google Workspace.
- Ne pas contenir de mots courants tels que 'Google Cloud'.
ID de l'organisation
L'ID d'organisation est un identifiant unique global pour votre organisation. La Google Cloud console génère ce numéro pour différencier votre organisation de toutes les autres dans Google Cloud. Les ID d'organisation sont au format de nombres entiers et ne peuvent pas comporter de zéros non significatifs.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom de votre organisation ou d'autres noms de ressources. L' ID d'organisation est utilisé dans le nom de nombreuses autres Google Cloud ressources. Toute référence à l'organisation ou aux ressources associées expose l'ID d'organisation et le nom de la ressource.
Obtenir une ressource d'organisation autonome
Les organisations autonomes sont disponibles pour tous les nouveaux clients bénéficiant d'un essai sans frais Google Cloud . Une fois votre Google Cloud compte créé, votre ressource d'organisation est créée automatiquement. Cela se produit lorsque vous vous connectez à la Google Cloud console et que vous acceptez les conditions d'utilisation. Les organisations autonomes ne sont pas disponibles pour les comptes existants Google Cloud .
Une seule organisation est créée par compte utilisateur. Toutefois, vous pouvez inviter un seul utilisateur à posséder et à administrer plusieurs organisations.
Lorsque la ressource d'organisation est créée, le système attribue les rôles suivants au propriétaire du compte :
roles/cloudowner.admin(Propriétaire de l'organisation)roles/resourcemanager.organizationAdmin(Administrateur de l'organisation)
Le rôle de propriétaire de l'organisation est géré en dehors d'IAM et accorde des autorisations permettant de gérer les propriétaires et les administrateurs de l'organisation à partir de la page Détails de l'organisation. Pour savoir comment ajouter d'autres propriétaires et administrateurs à votre organisation, consultez Configurer votre organisation autonome.
Obtenir l'ID de votre organisation
Pour obtenir l'ID d'organisation de votre organisation autonome, vous pouvez utiliser la Google Cloud console, la Google Cloud CLI ou l'API Resource Manager.
Console
Dans la Google Cloud console, accédez à la page Mes organisations.
Le tableau répertorie vos organisations et leurs ID.
gcloud
Pour trouver l'ID de votre ressource d'organisation, exécutez la commande suivante :
gcloud organizations list
Cette commande liste toutes les ressources d'organisation dont vous faites partie, ainsi que les ID de ressource d'organisation correspondants.
API
Pour trouver l'ID de votre ressource d'organisation à l'aide de l'API Resource Manager, utilisez la
organizations.search() méthode, y compris une requête pour votre domaine. Exemple :
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La réponse contient les métadonnées de la ressource d'organisation appartenant à altostrat.com, y compris l'ID de la ressource d'organisation.
Configurer votre organisation autonome
Lorsque vous créez un Google Cloud compte, vous obtenez automatiquement une ressource d'organisation autonome. Dans cette section, vous découvrirez la configuration initiale, les rôles essentiels et comment gérer ces autorisations au sein de votre organisation.
Le créateur du compte est le premier utilisateur à avoir accès à la ressource d'organisation. Les autres utilisateurs de l'organisation peuvent afficher la ressource, mais ne peuvent la modifier qu'une fois les autorisations appropriées définies.
Les rôles de propriétaire de l'organisation et d'administrateur de l'organisation sont essentiels pour configurer et contrôler le cycle de vie de la ressource d'organisation. Ces deux rôles sont généralement attribués à différents utilisateurs ou groupes, selon la structure et les besoins de votre organisation.
Responsabilités du propriétaire de l'organisation
Le rôle de propriétaire de l'organisation vous permet d'effectuer les actions suivantes :
- Attribuer le rôle d'administrateur de l'organisation à d'autres utilisateurs.
- Être le point de contact en cas de problèmes de récupération.
- Contrôler le cycle de vie de la ressource d'organisation autonome, comme expliqué dans Supprimer, restaurer et renommer des organisations autonomes.
Les propriétaires d'organisation peuvent être des personnes ou des comptes principaux dans un pool de personnel. Chaque organisation autonome doit toujours avoir au moins un compte Google actif en tant que propriétaire de l'organisation. Les comptes de service ne peuvent pas être invités à devenir propriétaires d'organisation.
Responsabilités de l'administrateur de l'organisation
Le rôle d'administrateur de l'organisation vous permet d'effectuer les actions suivantes :
- Définir des règles d'autorisation et de refus.
- Attribuer des rôles Identity and Access Management à d'autres utilisateurs dans Google Cloud.
- Afficher la hiérarchie des ressources.
Conformément au principe du moindre privilège, ce rôle vous empêche d'effectuer d'autres actions, telles que la création de dossiers ou de projets. Pour obtenir ces autorisations, un administrateur de l'organisation doit attribuer des rôles supplémentaires à son compte.
Attribuer le rôle de propriétaire de l'organisation à des personnes
- Connectez-vous à la Google Cloud console en tant que propriétaire de l'organisation.
Dans la Google Cloud console, accédez à la page Détails de l'organisation.
Sous Propriétaire de l'organisation, cliquez sur Ajouter un propriétaire de l'organisation.
Saisissez l'adresse e-mail du compte principal que vous souhaitez ajouter en tant que propriétaire. Le système envoie un e-mail au compte principal pour l'inviter à devenir propriétaire de l'organisation. Le compte principal doit accepter l'invitation dans les 30 jours pour devenir propriétaire de l'organisation.
Attribuer le rôle de propriétaire de l'organisation à des utilisateurs dans un pool d'identités de personnel
Cette étape suppose que vous avez déjà configuré la fédération des identités des employés pour votre organisation. Assurez-vous également que les contacts essentiels sont configurés sur votre compte.
- Connectez-vous à la Google Cloud console en tant que propriétaire de l'organisation.
Dans la Google Cloud console, accédez à la page Détails de l'organisation.
Sous Propriétaire de l'organisation, cliquez sur Ajouter un propriétaire de l'organisation.
Saisissez l'identifiant du compte principal de l'utilisateur au format
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Cliquez sur Suivant.
Saisissez l'adresse e-mail à laquelle envoyer le lien d'invitation du propriétaire. Google Cloud envoie un e-mail à l'utilisateur pour l'inviter à devenir propriétaire de l'organisation. Pour devenir propriétaire de l'organisation, l'utilisateur doit accepter l'invitation dans les 30 jours. Lorsque l'utilisateur accepte l'invitation, le rôle d'administrateur de l'organisation lui est automatiquement attribué.
Attribuer le rôle d'administrateur de l'organisation
Le propriétaire de l'organisation peut attribuer le rôle d'administrateur de l'organisation à d'autres utilisateurs à partir de la page Détails de l'organisation. Cela est utile si vous avez supprimé par inadvertance les autorisations d'administrateur de l'organisation de tous les utilisateurs qui peuvent définir des règles IAM sur l'organisation et que vous devez restaurer l'accès.
Pour attribuer le rôle d'administrateur de l'organisation à des utilisateurs, procédez comme suit :
- Connectez-vous à la Google Cloud console en tant que propriétaire de l'organisation.
Dans la Google Cloud console, accédez à la page Détails de l'organisation.
Affichez la liste des propriétaires de l'organisation dans le tableau Propriétaires de l'organisation.
Sélectionnez le compte principal auquel vous souhaitez attribuer le rôle d'administrateur de l'organisation.
Dans la dernière colonne du tableau, sous Actions, cliquez sur Autres actions à côté du compte principal.
Cliquez sur Attribuer le rôle d'administrateur de l'organisation. Le rôle d'administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) est attribué au compte principal sur la ressource d'organisation.
Supprimer un propriétaire de l'organisation
Pour supprimer des utilisateurs disposant du rôle de propriétaire de l'organisation, procédez comme suit :
- Connectez-vous à la Google Cloud console en tant que propriétaire de l'organisation.
Dans la Google Cloud console, accédez à la page Détails de l'organisation.
Sous Propriétaires de l'organisation, sélectionnez le compte principal que vous souhaitez supprimer.
Dans la dernière colonne du tableau, sous Actions, cliquez sur Autres actions à côté du compte principal.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer.
Supprimer un administrateur de l'organisation
Pour supprimer des utilisateurs disposant du rôle d'administrateur de l'organisation, procédez comme suit :
Dans la Google Cloud console, accédez à la page IAM.
Sous Autorisation IAM, accédez à Afficher par compte principal.
Recherchez la ligne contenant le compte principal auquel vous avez attribué des rôles, puis cliquez sur Modifier le compte principal sur cette ligne.
Dans le volet Modifier les autorisations, cliquez sur l'icône de suppression à côté du rôle d'administrateur de l'organisation.
Cliquez sur Enregistrer.