Procédure guidée de configuration de Google Cloud

Une ressource d'organisation dans Google Cloud représente votre entreprise et sert de nœud de premier niveau dans votre hiérarchie. Pour créer votre organisation, configurez un service d'identité Google et associez-le à votre domaine. Lorsque vous terminez ce processus, une ressource d'organisation est automatiquement créée.

Pour obtenir un aperçu de la ressource d'organisation, consultez les pages suivantes :

• Gérer les ressources d'organisation
• Bonnes pratiques pour planifier des comptes et des organisations

Utilisateurs effectuant cette tâche

Les deux administrateurs suivants effectuent cette tâche :

• Administrateur d'identité chargé d'accorder un accès basé sur des rôles. Vous affectez cette personne au rôle de super-administrateur Cloud Identity. Pour en savoir plus sur le super-administrateur, consultez Rôles Administrateurs prédéfinis.

• Un administrateur de domaine ayant accès à l'hébergeur de domaine de l'entreprise. Cette personne modifie vos paramètres de domaine, tels que les configurations DNS, dans le cadre du processus de validation du domaine.

Actions à effectuer dans cette tâche

• Si ce n'est pas déjà fait, configurez Cloud Identity, où vous créez un compte utilisateur géré pour votre super-administrateur.
• Associez Cloud Identity à votre domaine (comme example.com).
• Validez votre domaine. Ce processus crée le nœud racine de la hiérarchie des ressources, appelé ressource d'organisation.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez configurer les éléments suivants dans le cadre de vos éléments Google Cloud de base :

• Un service d'identité Google pour gérer les identités de manière centralisée.
• Une ressource d'organisation permettant d'établir la racine de votre hiérarchie et le contrôle des accès.

Options du service d'identité Google

Vous utilisez l'un des services d'identité Google suivants, ou les deux, pour administrer les identifiants des utilisateurs Google Cloud  :

• Cloud Identity : gestion centralisée des utilisateurs et des groupes. Vous pouvez fédérer des identités entre Google et d'autres fournisseurs d'identité. Pour en savoir plus, consultez la présentation de Cloud Identity.
• Google Workspace : gère les utilisateurs et les groupes, et permet d'accéder aux produits de productivité et de collaboration tels que Gmail et Google Drive. Pour en savoir plus, consultez Google Workspace.

Pour en savoir plus sur la planification des identités, consultez Planifier le processus d'intégration de vos identités d'entreprise.

Avant de commencer

Pour comprendre comment gérer un compte super-administrateur, consultez Bonnes pratiques relatives aux comptes super-administrateur.

Configurer un fournisseur d'identité et valider votre domaine

Les étapes de cette tâche varient selon que vous êtes un nouveau client ou un client existant. Identifiez l'option qui correspond à vos besoins :

• Nouveau client : configurez Cloud Identity, validez votre domaine et créez votre organisation.

• Client Google Workspace existant : utilisez Google Workspace comme fournisseur d'identité pour les utilisateurs qui accèdent à Google Workspace et à Google Cloud. Si vous envisagez de créer des utilisateurs qui n'accèdent qu'à Google Cloud, activez Cloud Identity.

• Client Cloud Identity existant : validez votre domaine, assurez-vous que votre organisation a été créée et vérifiez que Cloud Identity est activé.

Étapes suivantes

Créez des groupes et ajoutez des membres.

Dans cette tâche, vous allez configurer des identités, des utilisateurs et des groupes pour gérer l'accès aux ressourcesGoogle Cloud .

Pour en savoir plus sur la gestion des accès sur Google Cloud, consultez les pages suivantes :

• Présentation de Cloud Identity and Access Management (IAM)
• Pour connaître les bonnes pratiques, consultez Utiliser IAM en toute sécurité.

Utilisateurs effectuant cette tâche

Vous pouvez effectuer cette tâche si vous disposez de l'un des éléments suivants :

• Le super-administrateur Google Workspace ou Cloud Identity que vous avez créé dans la tâche Organisation.
• L'un des rôles IAM suivants :
  • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Administrateur de pools d'identité des employés (roles/iam.workforcePoolAdmin)

Actions à effectuer dans cette tâche

• Connectez-vous à Cloud Identity ou à votre fournisseur d'identité (IdP) externe.

• Créez des groupes et des utilisateurs administrateurs qui effectueront le reste des étapes de configuration deGoogle Cloud . Vous accorderez l'accès à ces groupes dans une tâche ultérieure.

Raisons pour lesquelles nous recommandons cette tâche

Cette tâche vous aide à mettre en œuvre les bonnes pratiques de sécurité suivantes :

• Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leur rôle et supprimez l'accès dès qu'il n'est plus nécessaire.

• Contrôle des accès basé sur le rôle (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leur rôle dans la tâche. N'ajoutez pas d'autorisations à des comptes utilisateur individuels.

Vous pouvez utiliser des groupes pour appliquer efficacement des rôles IAM à un ensemble d'utilisateurs. Cette pratique vous aide à simplifier la gestion des accès.

Sélectionner un fournisseur d'identité

Vous pouvez utiliser l'un des outils suivants pour gérer les utilisateurs et les groupes, et les connecter à Google Cloud :

• Google Workspace ou Cloud Identity : vous créez et gérez des utilisateurs et des groupes dans Google Workspace ou Cloud Identity. Vous pourrez choisir de synchroniser avec votre fournisseur d'identité externe ultérieurement.
• Votre fournisseur d'identité externe, tel que Microsoft Entra ID ou Okta : vous créez et gérez des utilisateurs et des groupes dans votre fournisseur d'identité externe. Vous devez ensuite associer votre fournisseur à Google Cloud pour activer l'authentification unique.

Pour sélectionner votre fournisseur d'identité, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur que vous avez identifié dans la section Qui effectue cette tâche.

2. Accédez à Google Cloud Configuration : utilisateurs et groupes.

   Accéder à Utilisateurs et groupes

3. Consultez les détails de la tâche, puis cliquez sur Continuer la configuration de l'identité.

4. Sur la page Sélectionner votre fournisseur d'identité, sélectionnez l'une des options suivantes pour lancer une configuration guidée :

   • Utiliser Google pour gérer de manière centralisée les Google Cloud utilisateurs : utilisez Google Workspace ou Cloud Identity pour provisionner et gérer les utilisateurs et les groupes en tant que super-administrateur de votre domaine validé. Vous pourrez ensuite effectuer la synchronisation avec votre fournisseur d'identité externe.
   • Microsoft Entra ID (Azure AD) : utilisez OpenID Connect pour configurer une connexion à Microsoft Entra ID.
   • Okta : utilisez OpenID Connect pour configurer une connexion à Okta.
   • OpenID Connect : utilisez le protocole OpenID pour vous connecter à un fournisseur d'identité compatible.
   • SAML : utilisez le protocole SAML pour vous connecter à un fournisseur d'identité compatible.
   • Ignorez la configuration d'un IdP externe pour le moment : si vous disposez d'un fournisseur d'identité externe et que vous n'êtes pas prêt à le connecter à Google Cloud, vous pouvez créer des utilisateurs et des groupes dans Google Workspace ou Cloud Identity.

5. Cliquez sur Continuer.

6. Pour connaître la marche à suivre, consultez l'une des sections suivantes :

   • Créer des utilisateurs et des groupes dans Cloud Identity
   • Associer votre fournisseur d'identité externe à Google Cloud

Créer des utilisateurs et des groupes dans Cloud Identity

Si vous ne disposez pas de fournisseur d'identité ou si vous n'êtes pas prêt à connecter votre fournisseur d'identité à Google Cloud, vous pouvez créer et gérer des utilisateurs et des groupes dans Cloud Identity ou Google Workspace. Pour créer des utilisateurs et des groupes, procédez comme suit :

• Créez un groupe pour chaque fonction administrative recommandée, y compris l'administration de l'organisation, de la facturation et du réseau.
• Créez des comptes utilisateur gérés pour les administrateurs.
• Attribuez des utilisateurs aux groupes d'administration correspondant à leurs responsabilités.

Avant de commencer

• Recherchez et migrez les utilisateurs qui possèdent déjà un compte Google. Pour en savoir plus, consultez Ajouter des utilisateurs avec des comptes non gérés.

• Vous devez être un super-administrateur.

Créer des groupes administratifs

Un groupe est un ensemble nommé de comptes Google et de comptes de service. Chaque groupe possède une adresse e-mail unique, par exemple gcp-billing-admins@example.com. Vous créez des groupes pour gérer les utilisateurs et appliquer des rôles IAM à grande échelle.

Les groupes suivants sont recommandés pour vous aider à administrer les fonctions principales de votre organisation et à terminer la procédure de configuration de Google Cloud .

Pour créer des groupes d'administration, procédez comme suit :

1. Sélectionnez Google comme fournisseur.

2. Sur la page Créer des groupes, examinez la liste des groupes d'administration recommandés, puis effectuez l'une des opérations suivantes :

   • Pour créer tous les groupes recommandés, cliquez sur Créer tous les groupes.
   • Si vous souhaitez créer un sous-ensemble des groupes recommandés, cliquez sur Créer dans les lignes de votre choix.

3. Cliquez sur Continuer.

Créer des utilisateurs avec accès administrateur

Nous vous recommandons initialement d'ajouter les utilisateurs chargés des procédures d'organisation, de mise en réseau, de facturation et d'autres procédures de configuration. Vous pourrez ajouter d'autres utilisateurs une fois la procédure de configuration de Google Cloud terminée.

Pour ajouter des utilisateurs avec accès administrateur qui effectuent des tâches de configuration de Google Cloud , procédez comme suit :

1. Migrez les comptes personnels vers des comptes utilisateur gérés contrôlés par Cloud Identity. Pour connaître la procédure détaillée, consultez les pages suivantes :

   • Migrer des comptes personnels
   • Ajouter des utilisateurs avec des comptes non gérés

2. Connectez-vous à la console d'administration Google à l'aide d'un compte super-administrateur.

3. Utilisez l'une des options suivantes pour ajouter des utilisateurs :

   • Pour ajouter des utilisateurs de manière groupée, consultez Ajouter ou mettre à jour plusieurs comptes utilisateur à partir d'un fichier CSV.
   • Pour ajouter des utilisateurs individuellement, consultez Ajouter des comptes utilisateur individuellement.

4. Lorsque vous avez terminé d'ajouter des utilisateurs, revenez à la page Google Cloud  : utilisateurs et groupes (créer des utilisateurs).

5. Cliquez sur Continuer.

Ajouter des utilisateurs avec accès administrateur à des groupes

Ajoutez les utilisateurs que vous avez créés à des groupes d'administration correspondant à leurs fonctions.

1. Assurez-vous d'avoir créé des utilisateurs avec accès administrateur.

2. Dans Google Cloud Configuration : utilisateurs et groupes (ajouter des utilisateurs aux groupes), consultez les détails de l'étape.

3. Dans chaque ligne Groupe, procédez comme suit :

   1. Cliquez sur Ajouter des membres.
   2. Saisissez l'adresse e-mail de l'utilisateur.

   3. Dans la liste déroulante Rôle du groupe, sélectionnez les paramètres d'autorisation de groupe de l'utilisateur. Pour en savoir plus, consultez Définir les personnes autorisées à consulter, publier et modérer les posts.

      Chaque membre hérite de tous les rôles IAM que vous accordez à un groupe, quel que soit le rôle de groupe que vous sélectionnez.

   4. Pour ajouter un autre utilisateur à ce groupe, cliquez sur Ajouter un membre et répétez ces étapes. Nous vous recommandons d'ajouter plusieurs membres à chaque groupe.

   5. Lorsque vous avez terminé d'ajouter des utilisateurs à ce groupe, cliquez sur Enregistrer.

4. Lorsque vous avez terminé avec tous les groupes, cliquez sur Confirmer les utilisateurs et les groupes.

5. Si vous souhaitez fédérer votre fournisseur d'identité dans Google Cloud, consultez les ressources suivantes :

   • Architectures de référence : utiliser un fournisseur d'identité externe
   • Pour provisionner automatiquement les utilisateurs et activer l'authentification unique, consultez les ressources suivantes :
     • Fédérer Cloud Identity avec Active Directory
     • Fédérer Cloud Identity avec Microsoft Entra ID
   • Pour synchroniser les utilisateurs et les groupes Active Directory avec Google Cloud, utilisez Directory Sync ou Google Cloud Directory Sync.
     • Pour comparer ces deux solutions, consultez la page Comparer Directory Sync et GCDS.

Associer votre fournisseur d'identité externe à Google Cloud

Vous pouvez utiliser votre fournisseur d'identité existant pour créer et gérer des groupes et des utilisateurs. Pour configurer l'authentification unique pour Google Cloud , vous devez configurer la fédération d'identité de personnel avec votre fournisseur d'identité externe. Pour en savoir plus sur les concepts clés de ce processus, consultez la page Fédération des identités des employés.

Pour connecter votre fournisseur d'identité externe, vous devez effectuer une configuration guidée qui comprend les étapes suivantes :

1. Créer un pool d'employés : un pool d'identités d'employeurs vous aide à gérer les identités et leur accès aux ressources. Vous saisissez les informations suivantes dans un format lisible par un humain.
   • ID du pool de personnel : identifiant unique global utilisé dans IAM.
   • ID du fournisseur : nom de votre fournisseur, que les utilisateurs indiqueront lorsqu'ils se connecteront à Google Cloud.
2. Configurer Google Cloud dans votre fournisseur : la configuration guidée inclut des étapes spécifiques à votre fournisseur.
3. Saisissez les détails du pool d'employés de votre fournisseur : pour ajouter votre fournisseur en tant qu'autorité de confiance pour valider les identités, récupérez les informations auprès de votre fournisseur et ajoutez-les à Google Cloud :
4. Configurer un ensemble initial de groupes administratifs : la configuration guidée inclut des étapes spécifiques pour votre fournisseur. Vous attribuez des groupes dans votre fournisseur et établissez une connexion à Google Cloud. Pour obtenir une description détaillée de chaque groupe, consultez Créer des groupes administratifs.
5. Attribuer des utilisateurs à chaque groupe : nous vous recommandons d'attribuer plusieurs utilisateurs à chaque groupe.

Pour en savoir plus sur le processus de connexion de chaque fournisseur, consultez les ressources suivantes :

• Configurer la fédération d'identité des employés avec Azure AD et connecter les utilisateurs
• Configurer la fédération d'identité de personnel avec Okta et connecter les utilisateurs
• Pour les autres fournisseurs compatibles avec OIDC ou SAML, consultez Configurer la fédération d'identité de personnel.

Étape suivante

Attribuez des autorisations à vos groupes d'administrateurs.

Dans cette tâche, vous allez utiliser Identity and Access Management (IAM) pour attribuer des collections d'autorisations à des groupes d'administrateurs au niveau de l'organisation. Ce processus permet aux administrateurs de bénéficier d'une visibilité et d'un contrôle centralisés sur chaque ressource cloud appartenant à votre organisation.

Pour en savoir plus sur Identity and Access Management dans Google Cloud, consultez la présentation d'IAM.

Utilisateurs effectuant cette tâche

Pour réaliser cette tâche, vous devez avoir l'un des rôles suivants :

• Super-administrateur.
• Utilisateur doté du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)

Actions à effectuer dans cette tâche

• Examinez la liste des rôles par défaut attribués à chaque groupe d'administrateurs que vous avez créé dans la tâche Utilisateurs et groupes.

• Si vous souhaitez personnaliser un groupe, vous pouvez effectuer les opérations suivantes :

  • Ajouter ou supprimer des rôles.
  • Si vous ne prévoyez pas d'utiliser un groupe, vous pouvez le supprimer.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez attribuer explicitement tous les rôles d'administrateur pour votre organisation. Cette tâche vous aide à mettre en œuvre les bonnes pratiques de sécurité suivantes :

• Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leurs tâches et supprimez l'accès dès qu'il n'est plus nécessaire.

• Contrôle des accès basé sur le rôle (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leurs tâches. N'attribuez pas de rôles à des comptes utilisateur individuels.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.

Accorder l'accès aux groupes d'administrateurs

Pour accorder l'accès approprié à chaque groupe d'administrateurs que vous avez créé dans la tâche Utilisateurs et groupes, examinez les rôles par défaut attribués à chaque groupe. Vous pouvez ajouter ou supprimer des rôles pour personnaliser l'accès de chaque groupe.

1. Assurez-vous d'être connecté à la console Google Cloud en tant que super-administrateur.

   Vous pouvez également vous connecter en tant qu'utilisateur avec le rôle Administrateur d'organisation (roles/resourcemanager.organizationAdmin).

2. Accédez à Google Cloud  Configuration : accès administrateur.

   Accéder à "Accès administrateur"

3. Sélectionnez le nom de votre organisation dans la liste déroulante Sélectionnez une organisation en haut de la page.

4. Consultez la présentation de la tâche, puis cliquez sur Continuer avec l'accès administrateur.

5. Examinez les groupes dans la colonne Groupe (compte principal) que vous avez créée dans la tâche Utilisateurs et groupes.

6. Pour chaque groupe, examinez les rôles IAM par défaut. Vous pouvez ajouter ou supprimer des rôles attribués à chaque groupe pour répondre aux besoins spécifiques de votre organisation.

   Chaque rôle contient plusieurs autorisations qui permettent aux utilisateurs d'effectuer les tâches correspondantes. Pour en savoir plus sur les autorisations de chaque rôle, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.

7. Lorsque vous êtes prêt à attribuer des rôles à chaque groupe, cliquez sur Enregistrer et accorder l'accès.

Étapes suivantes

Configurez la facturation.

Dans cette tâche, vous allez configurer un compte de facturation pour payer les ressources Google Cloud. Pour ce faire, associez l'un des éléments suivants à votre organisation.

• Un compte Cloud Billing existant. Si vous n'y avez pas accès, vous pouvez demander l'accès à votre administrateur de compte de facturation.

• Un nouveau compte de facturation Cloud.

Pour en savoir plus sur la facturation, consultez la documentation Cloud Billing.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-billing-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

• Créez ou utilisez un compte de facturation Cloud en libre-service existant.
• Décidez si vous souhaitez passer d'un compte en libre-service à un compte avec paiement sur facture.
• Configurez un compte de facturation Cloud et un mode de paiement.

Raisons pour lesquelles nous recommandons cette tâche

Les comptes Cloud Billing sont associés à un ou plusieurs projets Google Cloud et sont utilisés pour payer les ressources que vous utilisez, telles que les machines virtuelles, la mise en réseau et le stockage.

Déterminer votre type de compte de facturation

Le compte de facturation que vous associez à votre organisation est l'un des types suivants.

• Libre-service (ou en ligne) : inscrivez-vous en ligne à l'aide d'une carte de crédit ou de débit. Nous vous recommandons cette option si vous êtes une petite entreprise ou une personne physique. Lorsque vous vous inscrivez en ligne pour obtenir un compte de facturation, votre compte est automatiquement configuré en tant que compte de type libre-service.

• Paiement sur facture (ou hors connexion). Si vous disposez déjà d'un compte de facturation en libre-service, vous pouvez peut-être demander à bénéficier de la facturation avec paiement sur facture si votre entreprise répond à des critères d'éligibilité.

Vous ne pouvez pas créer de compte de facturation en ligne, mais vous pouvez demander à convertir un compte en libre-service en compte avec paiement sur facture.

Pour plus d'informations, consultez la section Types de comptes Cloud Billing.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Configurer le compte de facturation

Maintenant que vous avez choisi un type de compte de facturation, associez le compte de facturation à votre organisation. Une fois ce processus terminé, vous pouvez utiliser votre compte de facturation pour payer les ressources Google Cloud .

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe gcp-billing-admins@YOUR_DOMAIN.

2. Accédez à Google Cloud  Configuration : Facturation.

   Accéder à la facturation

3. Consultez la présentation de la tâche, puis cliquez sur Continuer avec la facturation.

4. Sélectionnez l'une des options de compte de facturation suivantes :

   Créer un compte

   Si votre organisation ne dispose pas d'un compte, créez-en un.

   1. Sélectionnez Je souhaite créer un compte de facturation.
   2. Cliquez sur Continuer.

   3. Sélectionnez le type de compte de facturation que vous souhaitez créer. Pour connaître la procédure détaillée, consultez les pages suivantes :

      • Pour créer un compte de facturation en libre-service, consultez Créer un compte de facturation Cloud en libre-service.
      • Pour passer d'un compte en libre-service existant aux paiements sur facture, consultez Demander la facturation avec paiement sur facture mensuelle.

   4. Vérifiez que votre compte de facturation a été créé :

      1. Si vous avez créé un compte de facturation, attendez jusqu'à cinq jours ouvrés pour recevoir un e-mail de confirmation.

      2. Accéder à la page "Facturation".

      3. Sélectionnez votre organisation dans la liste Sélectionnez une organisation en haut de la page. Si le compte a bien été créé, il apparaît dans la liste des comptes de facturation.

   Utiliser mon compte existant

   Si vous disposez déjà d'un compte de facturation, vous pouvez l'associer à votre organisation.

   1. Sélectionnez J'ai identifié dans cette liste un compte de facturation que j'aimerais utiliser pour effectuer la configuration.
   2. Dans la liste déroulante Billing (Facturation), sélectionnez le compte que vous souhaitez associer à votre organisation.
   3. Cliquez sur Continuer.
   4. Vérifiez les informations, puis cliquez sur Confirmer le compte de facturation.

   Utiliser le compte d'un autre utilisateur

   Si un autre utilisateur a accès à un compte de facturation existant, vous pouvez lui demander d'associer le compte de facturation à votre organisation ou de vous accorder l'accès pour terminer l'association.

   1. Sélectionnez Je souhaite utiliser un compte de facturation géré par un autre compte utilisateur Google.
   2. Cliquez sur Continuer.
   3. Saisissez l'adresse e-mail de l'administrateur du compte de facturation.
   4. Cliquez sur Contacter l'administrateur.
   5. Attendez que l'administrateur du compte de facturation vous contacte pour obtenir des instructions supplémentaires.

Étapes suivantes

Créez une hiérarchie de ressources et attribuez des accès.

Lors de cette tâche, vous allez configurer la hiérarchie de vos ressources en créant et en attribuant l'accès aux ressources suivantes :

Dossiers

Les dossiers constituent un mécanisme de regroupement et une façon d'isoler les projets les uns des autres. Par exemple, les dossiers peuvent représenter les services de votre organisation, tels que finance ou commerce.

Les dossiers d'environnement, tels que Production, dans votre hiérarchie de ressources sont des dossiers compatibles avec les applications. Vous pouvez définir et gérer des applications dans ces dossiers.

Projets

Ils contiennent vos ressources Google Cloud , telles que les machines virtuelles, les bases de données et les buckets de stockage. Chaque dossier compatible avec les applications contient également un projet de gestion, qui vous aide à gérer l'accès, la facturation, l'observabilité et d'autres fonctions administratives pour vos applications.

Pour obtenir des informations sur la conception et les bonnes pratiques d'organisation de vos ressources dans des projets, consultez Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud .

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes peut effectuer cette tâche.

Actions à effectuer dans cette tâche

• Créez une structure hiérarchique initiale incluant des dossiers et des projets.
• Définissez des stratégies IAM pour contrôler l'accès à vos dossiers et projets.

Raisons pour lesquelles nous recommandons cette tâche

La création d'une structure pour les dossiers et les projets vous aide à gérer les ressources et les applicationsGoogle Cloud . Vous pouvez utiliser la structure pour attribuer des accès en fonction du fonctionnement de votre organisation. Par exemple, vous pouvez organiser et fournir l'accès en fonction de la collection unique de régions géographiques, de structures filiales ou de cadres de responsabilité de votre organisation.

Planifier la hiérarchie des ressources

Votre hiérarchie des ressources vous aide à créer des limites et à partager des ressources dans votre organisation pour les tâches courantes. Créez votre hiérarchie à l'aide de l'une des configurations initiales suivantes, en fonction de votre structure organisationnelle :

• Axée sur un environnement simple :

  • Isolez les environnements tels que Non-production et Production.
  • Implémentez des règles, des exigences réglementaires et des contrôles d'accès distincts dans chaque dossier d'environnement.
  • Recommandé pour les petites entreprises disposant d'environnements centralisés.

• Axée sur une équipe simple :

  • Isolez les équipes telles que Development et QA.
  • Isolez l'accès aux ressources à l'aide de dossiers d'environnement enfants dans chaque dossier d'équipe.
  • Recommandé pour les petites entreprises disposant d'équipes autonomes.

• Axée sur l'environnement :

  • Priorisez l'isolation des environnements tels que Non-production et Production.
  • Isolez les unités commerciales dans chaque dossier d'environnement.
  • Isolez les équipes sous chaque unité commerciale.
  • Recommandé pour les grandes entreprises disposant d'environnements centralisés.

• Axée sur l'entreprise :

  • Priorisez l'isolation des unités commerciales telles que Human Resources et Engineering pour vous assurer que les utilisateurs ne peuvent accéder qu'aux ressources et aux données dont ils ont besoin.
  • Isolez les équipes sous chaque unité commerciale.
  • Isolez les environnements sous chaque équipe.
  • Recommandé pour les grandes entreprises disposant d'équipes autonomes.

Chaque configuration comporte un dossier Common pour les projets contenant des ressources partagées. Il peut s'agir de projets de journalisation et de surveillance.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.

Configurer les dossiers et projets initiaux

Sélectionnez la hiérarchie des ressources qui représente votre structure organisationnelle.

Pour configurer les dossiers et projets initiaux, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupegcp-organization-admins@YOUR_DOMAINque vous avez créé dans la tâche Utilisateurs et groupes.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Google Cloud  Configuration : hiérarchie et accès.

   Accéder à "Hiérarchie et accès"

4. Consultez la présentation de la tâche, puis cliquez sur Démarrer à côté de Hiérarchie des ressources.

5. Sélectionnez une configuration de départ.

6. Cliquez sur Continuer et configurer.

7. Personnalisez la hiérarchie de vos ressources en fonction de votre structure organisationnelle. Par exemple, vous pouvez personnaliser les éléments suivants :

   • Noms des dossiers

   • Projets de service pour chaque équipe Pour accorder l'accès aux projets de service, vous pouvez créer les éléments suivants :

     • Un groupe pour chaque projet de service
     • Utilisateurs de chaque groupe

     Pour obtenir une présentation des projets de service, consultez VPC partagé.

   • Projets requis pour la surveillance, la journalisation et la mise en réseau.

   • Projets personnalisés.

8. Cliquez sur Continuer.

9. Accorder l'accès à vos dossiers et projets.

Accorder l'accès à vos dossiers et projets

Dans la tâche Accès administrateur, vous avez accordé un accès administrateur aux groupes au niveau de l'organisation. Dans cette tâche, vous allez configurer l'accès aux groupes qui interagissent avec les dossiers et projets que vous venez de configurer.

Les projets, les dossiers et les organisations possèdent chacun leurs propres stratégies IAM, qui sont héritées via la hiérarchie des ressources :

• Organisation : les stratégies s'appliquent à tous les dossiers et projets au sein de l'organisation.
• Dossier : les stratégies s'appliquent aux projets et aux autres dossiers du dossier.
• Projet : les stratégies ne s'appliquent qu'à ce projet et à ses ressources.

Mettez à jour les stratégies IAM pour vos dossiers et projets :

1. Dans la section Configurer le contrôle des accès de la page Hiérarchie et accès, accordez à vos groupes l'accès à vos dossiers et projets :

   1. Dans le tableau, examinez la liste des rôles IAM recommandés accordés à chaque groupe pour chaque ressource.

   2. Si vous souhaitez modifier les rôles attribués à chaque groupe, cliquez sur Modifier sur la ligne souhaitée.

      Pour en savoir plus sur chaque rôle, consultez Rôles de base et prédéfinis IAM.

2. Cliquez sur Continuer.

3. Vérifiez les modifications apportées, puis cliquez sur Confirmer le brouillon de configuration.

Configurer la facturation pour les projets de gestion

Après avoir déployé votre configuration, vous devez configurer la facturation pour chaque projet de gestion. Le compte de facturation est nécessaire pour payer les API qui ont des coûts associés. Pour en savoir plus, consultez Associer un compte de facturation au projet de gestion.

Étapes suivantes

Configurez les paramètres de sécurité.

Dans cette tâche, vous allez configurer des paramètres et des produits de sécurité pour protéger votre organisation.

Utilisateurs effectuant cette tâche

Vous devez disposer de l'un des rôles suivants pour effectuer cette tâche :

• Le rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
• Adhésion à l'un des groupes suivants que vous avez créés dans la tâche Utilisateurs et groupes :
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Actions à effectuer dans cette tâche

Appliquez les règles d'administration recommandées en fonction des catégories suivantes :

• Gestion des accès
• Comportement du compte de service
• Configuration du réseau VPC
• Cloud KMS avec Autokey : disponible uniquement avec l'option de base Sécurité renforcée.

Vous activez également Security Command Center pour centraliser les rapports sur les failles et les menaces.

Raisons pour lesquelles nous recommandons cette tâche

L'application de règles d'administration recommandées vous permet de limiter les actions utilisateur qui ne correspondent pas à votre stratégie de sécurité.

L'activation de Security Command Center vous permet de créer un emplacement central pour analyser les failles et les menaces.

L'application et l'automatisation de Cloud KMS avec Autokey vous aident à utiliser des clés de chiffrement gérées par le client (CMEK) de manière cohérente pour protéger vos ressources.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Démarrer la tâche de sécurité

1. Connectez-vous à la console Google Cloud avec un utilisateur que vous avez identifié dans la section Qui effectue cette tâche.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Google Cloud  Configuration : Sécurité.

   Accéder à la page Sécurité.

4. Consultez la présentation des tâches, puis cliquez sur Démarrer la sécurité.

Centraliser les rapports sur les failles et les menaces

Pour centraliser les services de signalement des failles et des menaces, activez Security Command Center. Cela vous permet de renforcer votre stratégie de sécurité et de limiter les risques. Pour en savoir plus, consultez la page Présentation de Security Command Center.

1. Sur la page Google Cloud  Configuration : Sécurité, assurez-vous que la case Activer Security Command Center : Standard est cochée.

   Cette tâche active le niveau Standard sans frais. Vous pourrez passer à la version Premium ultérieurement. Pour en savoir plus, consultez la page Niveaux de service Security Command Center.

2. Cliquez sur Appliquer les paramètres SCC.

Appliquer les règles d'administration recommandées

Les règles d'administration s'appliquent au niveau de l'organisation et sont héritées par les dossiers et les projets. Dans cette tâche, vous allez examiner et appliquer la liste des règles recommandées. Vous pouvez modifier les règles d'administration à tout moment. Pour en savoir plus, consultez la présentation du service de règles d'administration.

1. Consultez la liste des règles d'administration recommandées. Si vous ne souhaitez pas appliquer une règle recommandée, cochez la case correspondante pour la supprimer.

   Pour obtenir une explication détaillée de chaque règle d'administration, consultez la page Contraintes liées aux règles d'administration.

2. Cliquez sur Confirmer les configurations des règles d'administration.

Les règles d'administration que vous sélectionnez sont appliquées lorsque vous déployez votre configuration dans une tâche ultérieure.

Appliquer et automatiser les clés de chiffrement client

Cloud KMS avec Autokey permet aux développeurs de votre organisation de créer des clés de chiffrement symétriques lorsque cela est nécessaire pour protéger vos ressources Google Cloud. Vous pouvez configurer Cloud KMS avec Autokey si vous avez sélectionné l'option de base Sécurité renforcée.

1. Consultez la description de Cloud KMS avec Autokey, puis, pour Utiliser Cloud KMS avec Autokey et appliquer les règles d'administration, cliquez sur Oui (recommandé).
2. Cliquez sur Confirmer la configuration de gestion des clés.

Les configurations suivantes sont appliquées lorsque vous déployez votre configuration dans une tâche ultérieure :

• Configurez un projet Autokey dans chaque dossier d'environnement de votre hiérarchie.
• Activez Cloud KMS avec Autokey dans les dossiers d'environnement.
• Exiger l'utilisation de clés de chiffrement gérées par le client (CMEK) pour les ressources créées dans chaque dossier d'environnement.
• Limitez chaque dossier pour qu'il n'utilise que les clés Cloud KMS du projet Autokey correspondant.

Étapes suivantes

Journalisation et surveillance centralisées

Dans cette tâche, vous allez configurer les éléments suivants :

• La journalisation centralisée vous aide à analyser les journaux de tous les projets de votre organisation et à en tirer des informations.
• Surveillance centralisée pour vous aider à visualiser les métriques de tous les projets créés dans cette configuration.

Utilisateurs effectuant cette tâche

Pour configurer la journalisation et la surveillance, vous devez disposer de l'un des éléments suivants :

• Rôles Administrateur Logging (roles/logging.admin) et Administrateur Monitoring (roles/monitoring.admin)
• Adhésion à l'un des groupes suivants que vous avez créés dans la tâche Utilisateurs et groupes :
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

Actions à effectuer dans cette tâche

Dans cette tâche, vous allez :

• Organisez de manière centralisée les journaux créés dans les projets de votre organisation pour répondre à vos besoins en matière de sécurité, d'audit et de conformité.
• Configurez un projet de surveillance centralisée pour avoir accès aux métriques de surveillance des projets que vous avez créés dans cette configuration.

Raisons pour lesquelles nous recommandons cette tâche

Le stockage et la conservation des journaux simplifient l'analyse et conservent votre piste d'audit. La surveillance centralisée vous permet de consulter les métriques à un seul endroit.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez des accès dans la tâche Hiérarchie et accès.

Organiser la journalisation de manière centralisée

Cloud Logging vous aide à stocker, rechercher, analyser et surveiller les données et les événements des journaux de Google Cloud. Vous pouvez également collecter et traiter les journaux de vos applications, de vos ressources sur site et d'autres clouds. Nous vous recommandons d'utiliser Cloud Logging pour regrouper les journaux dans un seul bucket de journaux.

Pour en savoir plus, consultez les ressources suivantes :

• Pour obtenir une présentation, consultez Présentation du routage et du stockage.
• Pour en savoir plus sur la journalisation des ressources sur site, consultez Journaliser des ressources sur site avec BindPlane.
• Pour savoir comment modifier le filtre de journaux après avoir déployé votre configuration, consultez Filtres d'inclusion.

Pour stocker les données de journaux dans un bucket de journaux central, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur que vous avez identifié dans la section Qui effectue cette tâche.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Google Cloud  Configuration : journalisation et surveillance centralisées.

   Accéder à la journalisation et à la surveillance centralisées

4. Consultez la présentation de la tâche, puis cliquez sur Démarrer la journalisation et la surveillance centralisées.

5. Examinez les détails de la tâche.

6. Pour acheminer les journaux vers un bucket de journaux central, assurez-vous que l'option Stocker les journaux d'audit au niveau de l'organisation dans un bucket de journaux est sélectionnée.

7. Développez Acheminer les journaux vers un bucket de journaux Logging, puis procédez comme suit :

   1. Dans le champ Nom du bucket de journaux, saisissez un nom pour le bucket de journaux central.

   2. Dans la liste Région du bucket de journaux, sélectionnez la région dans laquelle vos données de journal sont stockées.

      Pour en savoir plus, consultez Emplacements des buckets de journaux.

   3. Par défaut, les journaux sont stockés pendant 30 jours. Nous recommandons aux grandes entreprises de stocker les journaux pendant 365 jours. Pour personnaliser la durée de conservation, saisissez le nombre de jours dans le champ Durée de conservation.

      Les journaux stockés pendant plus de 30 jours entraînent des frais de conservation. Pour en savoir plus, consultez la synthèse des tarifs de Cloud Logging.

Exporter des journaux en dehors de Google Cloud

Si vous souhaitez exporter des journaux vers une destination externe à Google Cloud, vous pouvez les exporter à l'aide de Pub/Sub. Par exemple, si vous utilisez plusieurs fournisseurs de services cloud, vous pouvez décider d'exporter les données de journaux de chacun d'eux vers un outil tiers.

Vous pouvez filtrer les journaux que vous exportez pour répondre à vos besoins et exigences spécifiques. Par exemple, vous pouvez choisir de limiter les types de journaux que vous exportez pour contrôler les coûts ou réduire le bruit dans vos données.

Pour en savoir plus sur l'exportation de journaux, consultez les ressources suivantes :

• Pour découvrir une présentation, consultez la page Qu'est-ce que Pub/Sub ?
• Pour en savoir plus sur les tarifs, consultez les ressources suivantes :
  • Tarifs de Pub/Sub
  • Bonnes pratiques pour Cloud Audit Logs : Tarifs
• Pour en savoir plus sur le streaming vers Splunk, consultez Diffuser des journaux depuis Google Cloud vers Splunk.

Pour exporter des journaux, procédez comme suit :

1. Cliquez sur Diffuser vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

2. Dans le champ ID du sujet Pub/Sub, saisissez un identifiant pour le sujet contenant les journaux exportés. Pour en savoir plus sur l'abonnement à un sujet, consultez Abonnements pull.

3. Pour sélectionner les journaux à exporter, procédez comme suit :

   1. Pour en savoir plus sur chaque type de journal, consultez Comprendre Cloud Audit Logs.

   2. Pour empêcher l'exportation de l'un des journaux recommandés suivants, cliquez sur la liste Filtre d'inclusion et décochez la case du journal :

      • Cloud Audit Logs : activité d'administration : appels ou actions d'API qui modifient la configuration ou les métadonnées des ressources.
      • Cloud Audit Logs : événement système : actions Google Cloud qui modifient la configuration des ressources.
      • Access Transparency : actions effectuées par le personnel de Google lorsqu'il accède au contenu des clients.

   3. Sélectionnez les journaux supplémentaires suivants à exporter :

      • Journaux d'audit Cloud : accès aux données : appels d'API qui lisent la configuration ou les métadonnées des ressources, et appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur.
      • Journaux d'audit Cloud : refus de règles : refus d'accès aux comptes utilisateur ou de service par le service Google Cloud en raison de non-respect des règles de sécurité.

   4. Les journaux que vous sélectionnez à cette étape ne sont exportés que s'ils sont activés dans vos projets ou ressources. Pour savoir comment modifier le filtre de journaux pour vos projets et ressources après avoir déployé votre configuration, consultez Filtres d'inclusion.

   5. Cliquez sur OK.

4. Cliquez sur Accéder à Monitoring.

Configurer la surveillance centralisée

La surveillance centralisée vous aide à analyser l'état, les performances et la sécurité du système pour plusieurs projets. Dans cette tâche, vous allez ajouter les projets que vous avez créés lors de la tâche Hiérarchie et accès à un projet de définition du champ d'application. Vous pouvez ensuite surveiller ces projets à partir du projet de champ d'application. Une fois la configuration du cloud terminée, vous pouvez configurer d'autres projets à surveiller par le projet de définition du champ d'application.

Pour en savoir plus, consultez Présentation du champ d'application des métriques.

Pour configurer la surveillance centralisée, procédez comme suit :

1. Pour configurer les projets créés lors de la configuration Google Cloud pour la surveillance centralisée, assurez-vous que l'option Utiliser la surveillance centralisée est sélectionnée.

   Les projets que vous avez créés lors de la Google Cloud configuration sont ajoutés au champ d'application des métriques du projet dédié à la surveillance listé.

2. Cloud Monitoring inclut une attribution mensuelle gratuite. Pour en savoir plus, consultez la synthèse des tarifs de Cloud Monitoring.

3. Pour savoir comment configurer les projets que vous créez en dehors de la configuration de Google Cloud , consultez les ressources suivantes :

   • Configurez un champ d'application des métriques.
   • Limites de projet surveillé

Terminer la configuration

Pour effectuer la tâche de journalisation et de surveillance, procédez comme suit :

1. Cliquez sur Confirmer la configuration.

2. Vérifiez les détails de votre configuration de journalisation et de surveillance. Votre configuration ne sera déployée que lorsque vous déploierez vos paramètres dans une tâche ultérieure.

Étapes suivantes

Définissez votre configuration de mise en réseau initiale.

Dans cette tâche, vous allez définir votre configuration de mise en réseau initiale, que vous pourrez adapter à l'évolution de vos besoins.

Architecture de cloud privé virtuel

Un réseau cloud privé virtuel (VPC) est une version virtuelle d'un réseau physique, implémentée au sein du réseau de production de Google. Un Réseau VPC est une ressource globale qui consiste en des sous-réseaux régionaux.

Les réseaux VPC fournissent des fonctionnalités de mise en réseau à vos ressources Google Cloud , telles que les instances de machines virtuelles Compute Engine, les conteneurs GKE et les instances de l'environnement flexible App Engine.

Le VPC partagé connecte les ressources de plusieurs projets à un réseau VPC commun pour qu'elles puissent communiquer entre elles à l'aide des adresses IP internes du réseau. Le schéma suivant illustre l'architecture de base d'un réseau VPC partagé avec des projets de service associés.

Lorsque vous utilisez un VPC partagé, vous désignez un projet hôte et vous lui associez un ou plusieurs projets de service. Les réseaux Virtual Private Cloud du projet hôte sont appelés réseaux VPC partagés.

L'exemple de diagramme comporte des projets hôtes de production et hors production, qui contiennent chacun un réseau VPC partagé. Vous pouvez utiliser un projet hôte pour gérer les éléments suivants de manière centralisée :

• Routes
• Pare-feu
• Connexions VPN
• Sous-réseaux

Un projet de service est un projet associé à un projet hôte. Vous pouvez partager des sous-réseaux, y compris des plages secondaires, entre des projets hôtes et des projets de service.

Dans cette architecture, chaque réseau VPC partagé contient des sous-réseaux publics et privés :

• Le sous-réseau public peut être utilisé par des instances Web pour la connectivité externe.
• Le sous-réseau privé peut être utilisé par des instances orientées vers l'intérieur auxquelles aucune adresse IP publique n'est allouée.

Dans cette tâche, vous allez créer une configuration réseau initiale basée sur l'exemple de diagramme.

Utilisateurs effectuant cette tâche

Vous devez disposer de l'un des éléments suivants pour effectuer cette tâche :

• Le rôle roles/compute.networkAdmin.
• Inclusion dans le groupe gcp-network-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

Créez une configuration réseau initiale, y compris les éléments suivants :

• Créez plusieurs projets hôtes pour refléter vos environnements de développement.
• Créez un réseau VPC partagé dans chaque projet hôte pour permettre à des ressources distinctes de partager le même réseau.
• Créez des sous-réseaux distincts dans chaque réseau VPC partagé pour fournir un accès réseau aux projets de service.

Raisons pour lesquelles nous recommandons cette tâche

Des équipes distinctes peuvent utiliser un VPC partagé pour se connecter à un réseau VPC commun géré de manière centralisée.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez des accès dans la tâche Hiérarchie et accès.

Configurer votre architecture réseau

Créez votre configuration réseau initiale avec deux projets hôtes pour segmenter les charges de travail de production et de non-production. Chaque projet hôte contient un réseau VPC partagé, qui peut être utilisé par plusieurs projets de service. Vous allez configurer les détails du réseau, puis déployer un fichier de configuration dans une tâche ultérieure.

Pour configurer votre réseau initial, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupegcp-organization-admins@YOUR_DOMAINque vous avez créé dans la tâche Utilisateurs et groupes.

2. Sélectionnez votre organisation dans la liste déroulante Sélectionnez une organisation en haut de la page.

3. Accédez à Google Cloud  Configuration : mise en réseau.

   Accéder à la mise en réseau

4. Passez en revue l'architecture réseau par défaut.

5. Pour modifier le nom du réseau, procédez comme suit :

   1. Cliquez sur more_vert Actions.
   2. Sélectionnez Modifier le nom du réseau.
   3. Dans le champ Nom du réseau, saisissez des lettres minuscules, des chiffres ou des tirets. Le nom du réseau ne peut pas dépasser 25 caractères.
   4. Cliquez sur Enregistrer.

Modifier les informations du pare-feu

Les règles de pare-feu par défaut du projet hôte sont basées sur les bonnes pratiques recommandées. Vous pouvez choisir de désactiver une ou plusieurs règles de pare-feu par défaut. Pour obtenir des informations générales sur les règles de pare-feu, consultez Règles de pare-feu VPC.

Pour modifier les paramètres de pare-feu, procédez comme suit :

1. Cliquez sur more_vert Actions.

2. Sélectionnez Modifier les règles de pare-feu.

3. Pour en savoir plus sur chaque règle de pare-feu par défaut, consultez Règles préremplies dans le réseau par défaut.

4. Pour désactiver une règle de pare-feu, décochez la case correspondante.

5. Pour désactiver la journalisation des règles de pare-feu, cliquez sur Désactivé.

   Par défaut, le trafic vers et depuis les instances Compute Engine est consigné à des fins d'audit. Ce processus entraîne des coûts. Pour plus d'informations, consultez Journalisation des règles de pare-feu.

6. Cliquez sur Enregistrer.

Modifier les détails du sous-réseau

Chaque réseau VPC contient au moins un sous-réseau, qui est une ressource régionale à laquelle une plage d'adresses IP est associée. Dans cette configuration multirégionale, vous devez disposer d'au moins deux sous-réseaux dont les plages d'adresses IP ne se chevauchent pas.

Pour en savoir plus, consultez la section Sous-réseaux.

Chaque sous-réseau est configuré selon les bonnes pratiques recommandées. Si vous souhaitez personnaliser chaque sous-réseau, procédez comme suit :

1. Cliquez sur more_vert Actions.
2. Sélectionnez Modifier les sous-réseaux.
3. Dans le champ Nom, saisissez des lettres minuscules, des chiffres ou des tirets. Le nom de sous-réseau ne peut pas dépasser 25 caractères.

4. Dans la liste déroulante Région, sélectionnez une région proche de votre point de service.

   Nous vous recommandons d'utiliser une région différente pour chaque sous-réseau. Vous ne pouvez pas modifier la région après avoir déployé votre configuration. Pour en savoir plus sur le choix d'une région, consultez Ressources régionales.

5. Dans le champ Plage d'adresses IP, saisissez une plage au format CIDR (par exemple, 10.0.0.0/24).

   La plage que vous saisissez ne doit pas chevaucher d'autres sous-réseaux de ce réseau. Pour en savoir plus sur les plages valides, consultez la section Plages de sous-réseaux IPv4.

6. Répétez ces étapes pour le Sous-réseau 2.

7. Pour configurer d'autres sous-réseaux dans ce réseau, cliquez sur Ajouter un sous-réseau et répétez ces étapes.

8. Cliquez sur Enregistrer.

Vos sous-réseaux sont automatiquement configurés selon les bonnes pratiques. Si vous souhaitez modifier la configuration, procédez comme suit sur la page Configuration deGoogle Cloud  : réseaux VPC :

1. Pour désactiver les journaux de flux VPC, sélectionnez Désactivé dans la colonne Journaux de flux.

   Lorsque les journaux de flux sont activés, chaque sous-réseau enregistre les flux réseau que vous pouvez analyser à des fins de sécurité, d'optimisation des dépenses et autres. Pour en savoir plus, consultez Utiliser des journaux de flux VPC.

   Les journaux de flux VPC entraînent des coûts. Pour en savoir plus, consultez la page Tarifs du cloud privé virtuel.

2. Pour désactiver l'Accès privé à Google, dans la colonne Accès privé, sélectionnez Désactivé.

   Lorsque l'Accès privé à Google est activé, les instances de VM sans adresses IP externes peuvent accéder aux API et services Google. Pour plus d'informations, consultez Accès privé à Google.

3. Pour activer Cloud NAT, sélectionnez Activé dans la colonne Cloud NAT.

   Lorsque Cloud NAT est activé, certaines ressources peuvent créer des connexions sortantes vers Internet. Pour en savoir plus, consultez la présentation de Cloud NAT.

   Cloud NAT engendre des coûts. Pour en savoir plus, consultez la page Tarifs du cloud privé virtuel.

4. Cliquez sur Continuer avec l'association des projets de service.

Associer des projets de service à vos projets hôtes

Un projet de service est un projet associé à un projet hôte. Ce rattachement permet au projet de service de participer à un VPC partagé. Chaque projet de service peut être exploité et administré par différents départements ou équipes pour séparer les responsabilités.

Pour en savoir plus sur la connexion de plusieurs projets à un réseau VPC commun, consultez la page Présentation du VPC partagé.

Pour associer des projets de service à vos projets hôtes et terminer la configuration, procédez comme suit :

1. Pour chaque sous-réseau du tableau Réseaux VPC partagés, sélectionnez un projet de service à connecter. Pour ce faire, sélectionnez-le dans la liste déroulante Sélectionner un projet de la colonne Projet de service.

   Vous pouvez associer un projet de service à plusieurs sous-réseaux.

2. Cliquez sur Continuer vers la vérification.

3. Vérifiez votre configuration et apportez les modifications nécessaires.

   Vous pouvez apporter des modifications jusqu'au déploiement de votre fichier de configuration.

4. Cliquez sur Confirmer le brouillon de configuration. Votre configuration réseau est ajoutée à votre fichier de configuration.

   Votre réseau ne sera déployé que lorsque vous déploierez votre fichier de configuration dans une tâche ultérieure.

Étapes suivantes

Configurez une connectivité hybride, qui vous aide à connecter des serveurs sur site ou d'autres fournisseurs cloud à Google Cloud.

Dans cette tâche, vous allez établir des connexions entre vos réseaux pairs (sur site ou dans un autre cloud) et vos réseaux Google Cloud , comme illustré dans le schéma suivant.

Ce processus crée un VPN haute disponibilité, une solution que vous pouvez créer rapidement pour transmettre des données sur l'Internet public.

Une fois votre configuration Google Cloud déployée, nous vous recommandons de créer une connexion plus robuste à l'aide de Cloud Interconnect.

Pour en savoir plus sur les connexions entre les réseaux de pairs et Google Cloud, consultez les ressources suivantes :

• Présentation de Cloud VPN
• Choisir un produit de connectivité réseau

Utilisateurs effectuant cette tâche

Vous devez disposer du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin).

Actions à effectuer dans cette tâche

Créez des connexions haute disponibilité et à faible latence entre vos réseaux VPC et vos réseaux sur site ou dans d'autres clouds. Vous configurez les composants suivants :

• Google Cloud Passerelle VPN haute disponibilité : ressource régionale dotée de deux interfaces, chacune avec sa propre adresse IP. Vous spécifiez le type de pile IP, qui détermine si le trafic IPv6 est accepté dans votre connexion. Pour en savoir plus, consultez VPN haute disponibilité.
• Passerelle VPN de pairs : passerelle de votre réseau de pairs à laquelle la passerelle VPN haute disponibilité Google Cloudse connecte. Vous saisissez les adresses IP externes que votre passerelle de pairs utilise pour se connecter à Google Cloud. Pour plus d'informations, consultez Configurer la passerelle VPN de pairs.
• Cloud Router : utilise le protocole BGP (Border Gateway Protocol) pour échanger de manière dynamique des routes entre votre VPC et vos réseaux de pairs. Vous attribuez un numéro de système autonome (ASN) comme identifiant à votre routeur Cloud Router et spécifiez l'ASN utilisé par votre routeur pair. Pour plus d'informations, consultez la page Créer un routeur Cloud Router pour connecter un réseau VPC à un réseau de pairs.
• Tunnels VPN : connectent la passerelle Google Cloud à la passerelle de pairs. Vous spécifiez le protocole Internet Key Exchange (IKE) à utiliser pour établir le tunnel. Vous pouvez saisir votre propre clé IKE générée précédemment, ou en générer et en copier une nouvelle. Pour obtenir des informations générales, consultez Configurer IKE.

Raisons pour lesquelles nous recommandons cette tâche

Un VPN haute disponibilité fournit une connexion sécurisée et à disponibilité élevée entre votre infrastructure existante et Google Cloud.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez des accès dans la tâche Hiérarchie et accès.
• Configurez votre réseau dans la tâche Réseaux VPC.

Recueillez les informations suivantes auprès de votre administrateur réseau de pairs :

• Nom de votre passerelle VPN de pairs : passerelle à laquelle votre Cloud VPN se connecte.
• Adresse IP de l'interface de pairs 0 : adresse IP externe de votre passerelle de réseau de pairs.
• Adresse IP de l'interface de pairs 1 : une deuxième adresse externe, ou vous pouvez réutiliser l'adresse IP 0 si votre réseau de pairs ne possède qu'une seule adresse IP externe.
• Numéro de système autonome (ASN) de pairs : identifiant unique attribué à votre routeur de réseau de pairs.
• ASN du routeur Cloud Router : identifiant unique que vous attribuerez à votre routeur Cloud Router.
• Clés IKE (Internet Key Exchange) : clés que vous utilisez pour établir deux tunnels VPN avec votre passerelle VPN de pairs. Si vous ne disposez pas de clés, vous pouvez les générer lors de cette configuration, puis les appliquer à votre passerelle de pairs.

Configurer vos connexions

Procédez comme suit pour connecter vos réseaux VPC à vos réseaux de pairs :

1. Connectez-vous en tant qu'utilisateur disposant du rôle d'administrateur de l'organisation.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Google Cloud  Configuration : connectivité hybride.

   Accéder à la connectivité hybride

4. Examinez les détails de la tâche en procédant comme suit :

   1. Consultez la présentation de la tâche, puis cliquez sur Démarrer la connectivité hybride.

   2. Cliquez sur chaque onglet pour en savoir plus sur la connectivité hybride, puis cliquez sur Continuer.

   3. Découvrez ce qui vous attend à chaque étape de la tâche, puis cliquez sur Continuer.

   4. Examinez les informations de configuration de la passerelle de pairs que vous devez collecter, puis cliquez sur Continuer.

5. Dans la section Connexions hybrides, identifiez les réseaux VPC que vous souhaitez connecter en fonction des besoins de votre entreprise.

6. Sur la ligne correspondant au premier réseau que vous avez choisi, cliquez sur Configurer.

7. Dans la zone Présentation de la configuration, lisez la description, puis cliquez sur Suivant.

8. Dans la zone Passerelle VPN haute disponibilitéGoogle Cloud , procédez comme suit :

   1. Dans le champ Nom de la passerelle Cloud VPN, saisissez jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.

   2. Dans la zone Type de pile d'adresses IP internes du tunnel VPN, sélectionnez l'un des types de pile suivants :

      • IPv4 et IPv6 (recommandé) : accepte le trafic IPv4 et IPv6. Nous vous recommandons ce paramètre si vous prévoyez d'autoriser le trafic IPv6 dans votre tunnel.
      • IPv4 : ne peut accepter que le trafic IPv4.

      Le type de pile détermine le type de trafic autorisé dans le tunnel entre votre réseau VPC et votre réseau pair. Vous ne pouvez pas modifier le type de pile une fois la passerelle créée. Pour en savoir plus, consultez les ressources suivantes :

      • Compatibilité IPv6
      • Types de piles et sessions BGP

   3. Cliquez sur Suivant.

9. Dans la zone Passerelle VPN de pairs, procédez comme suit :

   1. Dans le champ Nom de la passerelle VPN de pairs, saisissez le nom fourni par votre administrateur réseau de pairs. Vous pouvez saisir jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.

   2. Dans le champ Adresse IP de l'interface de pairs 0, saisissez l'adresse IP externe de l'interface de la passerelle de pairs fournie par votre administrateur réseau de pairs.

   3. Dans le champ Adresse IP de l'interface de pairs 1, effectuez l'une des opérations suivantes :

      • Si votre passerelle de pairs comporte une deuxième interface, saisissez son adresse IP.
      • Si votre passerelle de pairs ne comporte qu'une seule interface, saisissez la même adresse que celle que vous avez saisie dans le champ Adresse IP de l'interface de pairs 0.

      Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.

   4. Cliquez sur Suivant.

10. Dans la zone Cloud Router, procédez comme suit :

    1. Dans le champ Numéro ASN du routeur cloud, saisissez le numéro de système autonome que vous souhaitez attribuer à votre routeur Cloud Router, tel que fourni par l'administrateur de votre réseau de pairs. Pour plus d'informations, consultez la page Créer un routeur Cloud Router.

    2. Dans le champ Numéro ASN du routeur de pairs, saisissez le numéro de système autonome de votre routeur de réseau de pairs, tel qu'il vous a été fourni par votre administrateur réseau de pairs.

11. Dans la zone Tunnel VPN 0, procédez comme suit :

    1. Dans le champ Nom du tunnel 0, saisissez jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.

    2. Dans la zone version de l'IKE, sélectionnez l'une des options suivantes :

       • IKEv2 (recommandé) : accepte le trafic IPv6.
       • IKEv1 : utilisez ce paramètre si vous ne prévoyez pas d'autoriser le trafic IPv6 dans le tunnel.

       Pour plus d'informations, consultez Configurer des tunnels VPN.

    3. Dans le champ Clé IKE pré-partagée, saisissez la clé que vous utilisez dans la configuration de votre passerelle de pairs, telle que fournie par l'administrateur de votre réseau de pairs. Si vous ne disposez pas d'une clé, vous pouvez cliquer sur Générer et copier, puis attribuer la clé à votre administrateur réseau de pairs.

12. Dans la zone Tunnel VPN 1, répétez l'étape précédente pour appliquer les paramètres du deuxième tunnel. Vous configurez ce tunnel pour la redondance et le débit supplémentaire.

13. Cliquez sur Enregistrer.

14. Répétez ces étapes pour tous les autres réseaux VPC que vous souhaitez connecter à votre réseau de pairs.

Après le déploiement

Une fois que vous avez déployé votre configuration Google Cloud , procédez comme suit pour vous assurer que votre connexion réseau est complète :

1. Collaborez avec votre administrateur réseau de pairs pour aligner votre réseau de pairs sur vos paramètres de connectivité hybride. Une fois le déploiement effectué, des instructions spécifiques sont fournies pour votre réseau de pairs, y compris les suivantes :

   • Paramètres des tunnels
   • Paramètres de pare-feu
   • Paramètres IKE

2. Validez les connexions réseau que vous avez créées. Par exemple, vous pouvez utiliser Network Intelligence Center pour vérifier la connectivité entre les réseaux. Pour en savoir plus, consultez la présentation des Tests de connectivité.

3. Si votre entreprise a besoin d'une connexion plus robuste, utilisez Cloud Interconnect. Pour en savoir plus, consultez la page Choisir un produit de Connectivité réseau.

Étape suivante

Déployez votre configuration, qui inclut les paramètres de votre hiérarchie et de vos accès, de la journalisation, du réseau et de la connectivité hybride.

Une fois le processus de configuration de Google Cloud terminé, vos paramètres issus des tâches suivantes sont compilés dans les fichiers de configuration Terraform :

• Hiérarchie et accès
• Sécurité
• Journalisation et surveillance centralisées
• Réseaux VPC
• Connectivité hybride

Pour appliquer vos paramètres, vérifiez vos sélections et choisissez une méthode de déploiement.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@YOUR_DOMAIN que vous avez créé dans la tâche Utilisateurs et groupes

Actions à effectuer dans cette tâche

Déployez les fichiers de configuration pour appliquer vos paramètres de configuration.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez déployer les fichiers de configuration pour appliquer les paramètres que vous avez sélectionnés.

Avant de commencer

Vous devez effectuer les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
• Créez ou associez un compte de facturation dans la tâche Facturation.
• Configurez votre hiérarchie et attribuez des accès dans la tâche Hiérarchie et accès.

Les tâches suivantes sont recommandées :

• Renforcez votre stratégie de sécurité en configurant des services sans frais dans la tâche Sécurité.
• Consolidez les données de journaux dans un emplacement unique et surveillez tous les projets à partir d'un seul projet dans la tâche Journalisation et surveillance centralisées.
• Configurez votre réseau initial dans la tâche Réseaux VPC.
• Connectez des réseaux de pairs à Google Cloud dans la tâche Connectivité hybride.

Vérifier les détails de votre configuration

Pour vérifier que vos paramètres de configuration sont complets, procédez comme suit :

1. Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupegcp-organization-admins@YOUR_DOMAINque vous avez créé dans la tâche Utilisateurs et groupes.

2. Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.

3. Accédez à Google Cloud  Configuration : déployer ou télécharger.

   Accéder à la page Déployer ou télécharger

4. Vérifiez les paramètres de configuration que vous avez sélectionnés. Cliquez sur chacun des onglets suivants et vérifiez vos paramètres :

   • Hiérarchie des ressources et accès aux ressources
   • Sécurité
   • Journalisation et surveillance
   • Réseaux VPC
   • Connectivité hybride

Déployer la configuration

Après avoir vérifié les détails de votre configuration, utilisez l'une des options suivantes :

• Déployer directement depuis la console : utilisez cette option si vous n'avez pas de workflow de déploiement Terraform et que vous souhaitez une méthode de déploiement simple. Vous ne pouvez déployer qu'une seule fois avec cette méthode.

• Télécharger et déployer le fichier Terraform : utilisez cette option si vous souhaitez automatiser la gestion des ressources à l'aide d'un workflow de déploiement Terraform. Vous pouvez télécharger et déployer plusieurs fois avec cette méthode.

Procédez au déploiement à l'aide de l'une des options suivantes :

Étapes suivantes

Choisissez une formule d'assistance.

Dans cette tâche, vous allez choisir une formule d'assistance répondant aux besoins de votre entreprise.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@YOUR_DOMAIN créé dans la tâche Utilisateurs et groupes.

Actions à effectuer dans cette tâche

Choisissez une formule d'assistance en fonction des besoins de votre entreprise.

Raisons pour lesquelles nous recommandons cette tâche

Une formule d'assistance Premium vous offre une assistance commerciale stratégique afin de résoudre rapidement les problèmes avec l'aide d'experts Google Cloud.

Choisissez une option d'assistance

Vous bénéficiez automatiquement de l'assistance Basic, qui inclut l'accès aux ressources suivantes :

• Documentation
• Assistance et discussions de la communauté
• Assistance pour les problèmes de facturation

Nous recommandons aux entreprises clientes de souscrire à l'assistance Premium, qui offre une assistance technique individuelle par des ingénieurs Google. Pour comparer les forfaits d'assistance, consultez Google Cloud Customer Care.

Avant de commencer

Effectuez les tâches suivantes :

• Créez un super-administrateur et votre organisation dans la tâche Organisation.
• Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
• Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.

Activer l'assistance

Identifiez et sélectionnez une option d'assistance.

1. Examinez et sélectionnez une formule d'assistance. Pour en savoir plus, consultez Google Cloud Customer Care.

2. Connectez-vous à la console Google Cloud avec un utilisateur du groupe gcp-organization-admins@<your-domain>.com que vous avez créé dans la tâche Utilisateurs et groupes.

3. Accédez à Google Cloud  Configuration : assistance.

   Accéder à l'assistance

4. Consultez les détails de la tâche, puis cliquez sur Afficher les offres d'assistance pour sélectionner une option d'assistance.

5. Après avoir configuré votre option d'assistance, revenez à la page Google Cloud  Configuration : Assistance, puis cliquez sur Marquer la tâche comme terminée.

Étapes suivantes

Maintenant que vous avez terminé la configuration de Google Cloud , vous êtes prêt à étendre la configuration initiale, à déployer des solutions prédéfinies et à migrer vos workflows existants. Pour en savoir plus, consultez Étendre votre configuration initiale et commencer à créer.