Assistant de configuration des ressources de l'organisation

L'assistant de configuration de l'organisation simplifie la préparation et la délégation de l'administration pour votre ressource d'organisation. Il vous permet également de migrer des projets et des comptes de facturation existants vers votre nouvelle ressource d'organisation.

Pour débuter avec l'assistant de configuration de l'organisation, procédez comme suit :

  1. Acquérez une ressource Organisation. Pour obtenir des instructions détaillées, consultez Obtenir une ressource Organisation.

  2. Attribuez des administrateurs d'organisation, de facturation et de réseau à votre ressource d'organisationGoogle Cloud . Pour obtenir des instructions détaillées, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Pour démarrer le processus de migration :

  1. Envoyez la demande de migration du projet et du compte de facturation aux propriétaires du projet.

  2. Attendez que les propriétaires du projet confirment la demande de migration.

  3. Approuvez la migration du projet et du compte de facturation.

Ce guide explique comment migrer des projets et des comptes de facturation à l'aide de l'assistant de configuration Google Cloud . Pour en savoir plus sur l'utilisation de Resource Manager, consultez Migrer des projets.

L'association de projets ou de comptes de facturation à une ressource d'organisation permet un contrôle centralisé de toutes les ressources de l'organisation. Pour en savoir plus, consultez les avantages de la ressource Organisation.

Les sections suivantes fournissent des instructions détaillées pour les étapes ci-dessus.

Migrer des projets et des comptes de facturation existants

Quand une ressource Organisation a été créée pour votre domaine, tous les projets créés sous la ressource Organisation appartiennent automatiquement à cette ressource. Vous pouvez également migrer des projets existants vers la ressource d'organisation.

  • Si vous êtes le propriétaire ou l'éditeur d'un projet et que vous êtes un créateur de projet pour la ressource d'organisation, vous pouvez migrer directement des projets.

  • Si vous êtes un administrateur d'organisation, vous pouvez demander aux propriétaires de projet de vous donner le contrôle d'un projet afin de pouvoir le migrer vers votre ressource d'organisation.

La migration de projet est irréversible. Une fois qu'un projet est associé à une ressource d'organisation, vous ne pouvez plus le retirer de celle-ci ni le déplacer vers une autre ressource d'organisation. Si vous souhaitez déplacer un projet après l'avoir associé à une ressource d'organisation, vous devez contacter l'assistance PremiumGoogle Cloud .

Lorsqu'un projet est migré vers une ressource d'organisation, l'administrateur de l'organisation obtient le contrôle administratif du projet et hérite des règles d'administration d'administration et des stratégies IAM (Identity and Access Management) d'autorisation et de refus. En savoir plus sur les implications des règles

Lorsque vous déplacez des projets existants vers une ressource d'organisation, ils continuent d'être facturés de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous déplacez le compte de facturation dans une ressource Organisation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de la ressource Organisation. Vous pouvez associer des projets nouvellement importés à un compte de facturation nouveau ou existant dans votre ressource d'organisation à tout moment, sans interrompre le fonctionnement du projet.

Configurer les ressources de l'organisation pour les super-administrateurs

Créer une ressource d'organisation

Avant de déléguer des administrateurs Google Cloud et de migrer des projets et des comptes de facturation, vous devez disposer d'une ressource d'organisation. Pour obtenir une ressource Organisation, inscrivez-vous à Google Workspace ou à Cloud Identity, validez votre domaine, puis créez un projet à l'aide de ce compte. Une ressource Organisation sera automatiquement provisionnée une fois le projet créé. Pour en savoir plus sur l'acquisition d'une ressource Organisation, consultez Obtenir une ressource Organisation.

Déléguer des administrateurs Google Cloud

Pour déléguer des administrateurs : Google Cloud

  1. Dans l'e-mail "Bienvenue à [NOM_ORGANISATION] sur Google Cloud", cliquez sur Accéder à ma console ou accédez à la page Configuration de l'organisation dans la console Google Cloud .

  2. Sur la page Configuration de l'organisation, cliquez sur Déléguer la configuration.

  3. Sur la page Déléguer le rôle d'administrateur de l'organisation qui apparaît, entrez les adresses e-mail des personnes ou des groupes que vous souhaitez ajouter en tant qu'administrateurs d'organisation.

  4. Lorsque vous avez terminé d'ajouter des administrateurs d'organisation, cliquez sur Déléguer.

Les utilisateurs des adresses e-mail que vous avez saisies recevront une notification par e-mail les informant de leur nouveau rôle d'administrateur d'organisation pour votre ressource d'organisation Google Cloud .

Pour ajouter ultérieurement des administrateurs, cliquez sur Définir les autorisations dans la page Identité et organisation.

Migration pour les administrateurs Google Cloud

Lorsqu'un utilisateur de compte Google Workspace ou Cloud Identity vous délègue le rôle d'administrateur de l'organisation au cours du processus de configuration de la ressource Organisation, vous recevez une notification par e-mail. Pendant la configuration des ressources de l'organisation, vous pourrez attribuer des autorisations à d'autres administrateurs d'organisation, de facturation et de réseau. Les personnes que vous affectez en tant qu'administrateurs ne recevront pas d'e-mail.

Vous avez besoin du rôle Créateur de projet pour demander la migration du projet et du compte de facturation. Par défaut, ce rôle est attribué à tous les utilisateurs de votre domaine. Pour en savoir plus sur la modification de ce comportement par défaut et l'attribution de ce rôle aux utilisateurs, consultez Gérer les rôles d'organisation par défaut.

Effectuer une migration des projets et des comptes de facturation

Pour migrer des projets ou des comptes de facturation à partir d'autres comptes utilisateur, vous devez d'abord demander aux propriétaires d'approuver la migration. Les propriétaires reçoivent ensuite une notification leur permettant d'examiner votre demande et d'approuver la migration des projets ou des comptes de facturation. Les propriétaires de projet peuvent ignorer votre demande. Celle-ci expirera au bout de 30 jours. Vous pouvez demander à nouveau la migration si la demande d'origine expire ou est toujours en attente. Vous recevez une notification quand un propriétaire a approuvé la migration des projets ou des comptes de facturation pour la migration. Vous pouvez alors sélectionner les éléments que vous souhaitez migrer.

Demander la migration d'un projet ou d'un compte de facturation

  1. Accédez à la page Identité et organisation de la console Google Cloud .

    UI de l'assistant de configuration de l'organisation

  2. Dans la fenêtre Request projects or billing accounts (Demander la migration de projets ou de comptes de facturation), ajoutez les adresses e-mail des propriétaires de compte de facturation ou de projet auxquels vous souhaitez demander des projets, puis cliquez sur Request (Demander).

    UI de demande de migration de projets

Les propriétaires de compte de facturation ou de projet recevront un e-mail avec votre demande de migration. Une fois la migration approuvée, vous recevrez un e-mail contenant un lien vous permettant de terminer la migration.

Attendre l'approbation des demandes de migration

Lorsque vous demandez la migration d'un projet ou d'un compte de facturation, les propriétaires du projet ou du compte de facturation reçoivent un e-mail avec votre demande. Ils pourront sélectionner les projets à préparer pour la migration. Votre demande reste valide pendant un maximum de 30 jours. Après 30 jours, la demande expire et vous devez envoyer une nouvelle demande de migration pour tout projet ou compte de facturation en attente.

Quand un propriétaire de projet ou de compte de facturation confirme la demande de migration, vous recevez un e-mail et une notification s'affiche sur votre console Google Cloud . Pour approuver la migration, passez à l'étape suivante.

Approuver la migration du projet et du compte de facturation

Une fois qu'un propriétaire a approuvé votre demande de migration, vous recevez un e-mail de Platform Notifications indiquant que le propriétaire du projet a répondu à votre demande de migration. Une notification s'affiche également sur votre console Google Cloud .

Vous devez disposer des rôles Créateur de projet, Créateur de compte de facturation et Administrateur de l'organisation dans la ressource Organisation vers laquelle vous migrez des projets. Pour terminer la migration :

  1. Cliquez sur Migrer dans l'e-mail ou accédez à la page Migrer des projets dans la console Google Cloud .

    Page Effectuer la migration des projets

  2. Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer, puis cliquez sur Suivant.

  3. L'onglet Vérifier et approuver affiche la liste de tous les projets et comptes de facturation que vous avez choisi de migrer.

  4. Pour terminer la migration, cliquez sur Approuver.

Les projets ou comptes de facturation que vous avez choisi de migrer sont désormais associés à votre ressource Organisation. Les projets ou comptes de facturation que vous n'avez pas migrés restent dans la liste Aucune organisation. Vous aurez toujours le rôle IAM Déplaceur de projets pour ces projets et le rôle Administrateur de la facturation pour ces comptes de facturation. Vous pouvez revenir sur la page Migrer des projets de la consoleGoogle Cloud pour approuver la migration de ces projets et comptes de facturation.

Lorsque vous effectuez une migration pour un projet, celui-ci est facturé de la même façon qu'avant la migration, même si le compte de facturation correspondant n'a pas encore été migré. De même, si vous terminez la migration d'un compte de facturation, tous les projets qui lui sont associés continueront de fonctionner, même s'ils sont encore en dehors de la ressource Organisation.

Examiner des demandes de migration

Lorsqu'un administrateur d'organisation vous demande de migrer un projet ou un compte de facturation vers la ressource de son organisation, vous recevez un e-mail portant l'objet "Demande de migration". Lorsque vous approuvez la migration, vous accordez à l'administrateur de l'organisation les rôles suivants :

  • Projet : role/project.mover

    • Le rôle Déplaceur de projets permet à un utilisateur d'importer des projets et de modifier les autorisations IAM sur ces projets.

  • Pour les comptes de facturation : roles/billing.admin

    • Le rôle Administrateur de la facturation permet à un utilisateur d'importer des comptes de facturation et de modifier les autorisations IAM sur ces comptes.

Quand la migration a été approuvée par l'administrateur de l'organisation, il peut modifier les rôles IAM du projet. Ce dernier hérite également des stratégies d'organisation existantes. En savoir plus sur les implications des règles

Pour examiner les demandes, suivez les étapes ci-dessous :

  1. Cliquez sur Examiner la demande dans l'e-mail pour ouvrir la page Examiner la demande de migration.

  2. Dans les onglets Sélectionner des projets et Sélectionner des comptes de facturation, sélectionnez une combinaison de projets et de comptes de facturation que vous souhaitez migrer vers la ressource d'organisation, puis cliquez sur Suivant. La création de la liste des projets peut prendre jusqu'à cinq minutes.

  3. L'onglet Confirmer affiche les détails suivants sur la migration :

    1. Adresse e-mail de l'administrateur d'organisation auquel vous accordez les rôles Déplaceur de projets et Administrateur de la facturation.

    2. Une liste de confirmation de tous les projets et comptes de facturation que vous avez sélectionnés pour la migration.

  4. Pour terminer la migration, saisissez l'adresse e-mail de l'entité à l'origine de la demande de migration, puis cliquez sur Confirmer.

Les projets ou comptes de facturation dont vous avez validé la migration peuvent à présent être sélectionnés par l'administrateur de l'organisation en vue d'une migration dans la ressource de son organisation.

Si vous souhaitez arrêter le processus de migration d'un projet ou d'un compte de facturation, vous devez le faire avant que l'administrateur d'organisation ne l'importe dans sa ressource d'organisation. Pour arrêter la migration, accédez à la page IAM de la console Google Cloud pour le projet et supprimez le rôle Déplaceur de projet ou Administrateur de la facturation de l'administrateur de l'organisation.

Les projets ou comptes de facturation que vous n'avez pas migrés gardent le statut Aucune organisation. Vous avez jusqu'à 30 jours pour cliquer sur le lien dans l'e-mail "Demande de migration" et approuver la migration. Après 30 jours, la demande de migration expire et l'administrateur de l'organisation doit envoyer une nouvelle demande de migration à votre intention.

Conséquences vis-à-vis des règles

Les stratégies d'autorisation et de refus IAM déjà définies pour un projet sont migrées avec celui-ci. Cela signifie que les comptes principaux auxquels des rôles ont été attribués sur le projet avant une migration conserveront les mêmes rôles après la migration du projet. Les comptes principaux dont les autorisations ont été refusées à l'aide d'une stratégie de refus verront les mêmes autorisations refusées après la migration.

Étant donné que les rôles IAM sont hérités et cumulatifs, les rôles définis au niveau de l'organisation sont hérités par les projets lorsqu'ils migrent vers la ressource d'organisation. Par exemple, si projectAuthor@myorganization.com dispose du rôle Éditeur de projet défini au niveau de l'organisation, il l'aura également pour tout projet migré dans la ressource d'organisation. Cette particularité n'a pas d'incidence sur les projets existants, mais elle a pour conséquence que davantage d'utilisateurs peuvent y accéder.

Les règles d'administration sont également héritées. Par défaut, les ressources d'organisation nouvellement créées ne disposent pas de règles d'administration d'administration. Si vous définissez des règles d'administration pour votre ressource d'organisation, assurez-vous que les projets que vous migrez sont cohérents avec ces règles d'administration.