Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת משאב ארגון ב-Google Cloud

משאב הארגון הוא הצומת הבסיסי (root) בGoogle Cloud היררכיית המשאבים, והוא צומת האב בהיררכיה של הפרויקטים. בדף הזה מוסבר איך לרכוש ולנהל משאב ארגון.

לפני שמתחילים

סקירה כללית של משאב הארגון

קבלת משאב מסוג Organization

משאב ארגון זמין ללקוחות Google Workspace ו-Cloud Identity :

‫Google Workspace: נרשמים ל-Google Workspace.
‫Cloud Identity: נרשמים ל-Cloud Identity.

אחרי שיוצרים חשבון Google Workspace או חשבון Cloud Identity ומשייכים אותו לדומיין, משאב הארגון נוצר באופן אוטומטי. המשאב יוקצה בזמנים שונים בהתאם לסטטוס החשבון:

אם אתם חדשים ב- Google Cloud ועדיין לא יצרתם פרויקט, משאב הארגון ייצור עבורכם כשתיכנסו למסוף Google Cloud ותאשרו את התנאים וההגבלות.
אם אתם משתמשים קיימים ב- Google Cloud , משאב הארגון ייווצר בשבילכם כשתיצרו פרויקט חדש או חשבון חדש לחיוב. פרויקטים שיצרתם בעבר יופיעו בקטע 'ללא ארגון', וזה תקין. יופיע מקור המידע של הארגון, והפרויקט החדש שיצרתם יקושר אליו באופן אוטומטי.

תצטרכו להעביר את כל הפרויקטים שיצרתם בקטע 'ללא ארגון' למשאב הארגון החדש. הוראות להעברת פרויקטים מופיעות במאמר העברת פרויקטים למשאב ארגון.

משאב הארגון שייווצר יקושר לחשבון Google Workspace או לחשבון Cloud Identity שלכם, והפרויקט או החשבון לחיוב שיצרתם יוגדרו כמשאב צאצא. כל הפרויקטים וחשבונות החיוב שנוצרו בדומיין של Google Workspace או Cloud Identity יהיו צאצאים של משאב הארגון הזה.

במאמר העברת פרויקטים קיימים מוסבר איך מעבירים פרויקטים קיימים.

כל חשבון Google Workspace או חשבון Cloud Identity משויך למשאב ארגון אחד בלבד. משאב ארגון משויך לדומיין אחד בלבד, שמוגדר כשיוצרים את משאב הארגון.

כדי לאמץ באופן פעיל את משאב הארגון, סופר-אדמינים ב-Google Workspace או ב-Cloud Identity צריכים להקצות למשתמש או לקבוצה את התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin) בממשק של ניהול הזהויות והרשאות הגישה (IAM). הוראות להגדרת משאב הארגון מופיעות במאמר הגדרת משאב הארגון.

כשיוצרים משאב Organization, כל המשתמשים בדומיין מקבלים אוטומטית את תפקידי ה-IAM Project Creator (roles/resourcemanager.projectCreator) ו-Billing Account Creator (roles/billing.creator) ברמת משאב ה-Organization. כך המשתמשים בדומיין יוכלו להמשיך ליצור פרויקטים ללא הפרעה.
האדמין של הארגון יחליט מתי הוא רוצה להתחיל להשתמש באופן פעיל במשאב הארגון. לאחר מכן הם יכולים לשנות את הרשאות ברירת המחדל ולאכוף מדיניות מגבילה יותר לפי הצורך.
אם משאב הארגון זמין ואין לכם הרשאות IAM לצפייה בו, אתם עדיין יכולים ליצור פרויקטים וחשבונות לחיוב. הם נוצרים אוטומטית מתחת למשאב הארגון, גם אם אתם לא רואים אותם.

Google Cloud בסיס אבטחה

Google Cloud הגדרות אבטחה בסיסיות מטפלות במצבי אבטחה לא מאובטחים באמצעות חבילה של מדיניות ארגונית שנאכפת כשנוצר משאב ארגוני. המגבלות האלה נוצרות באופן אוטומטי ומוחלות על הארגון כשיוצרים אותו. מידע על הצגה וניהול של ההגבלות האלה זמין במאמר Google Cloud הגבלות של תוכנית אבטחה בסיסית.

קבלת מזהה משאב הארגון

מזהה משאב הארגון הוא מזהה ייחודי של משאב הארגון, והוא נוצר באופן אוטומטי כשמשאב הארגון נוצר. מזהי משאבים של ארגונים הם מספרים עשרוניים, ולא יכולים להתחיל באפסים.

אפשר לקבל את מזהה משאב הארגון באמצעות מסוף Google Cloud,‏ Google Cloud CLI או Cloud Resource Manager API. Google Cloud

console

כדי למצוא את מזהה משאב הארגון באמצעות מסוף Google Cloud , מבצעים את הפעולות הבאות:

נכנסים למסוף Google Cloud :
כניסה ל Google Cloud מסוף
בתפריט לבחירת פרויקטים בחלק העליון של הדף, בוחרים את משאב הארגון.
בצד שמאל, לוחצים על סמל האפשרויות הנוספות ואז על הגדרות.

בדף הגדרות מוצג מזהה משאב הארגון.

gcloud

כדי למצוא את מזהה משאב הארגון, מריצים את הפקודה הבאה:

gcloud organizations list

הפקודה הזו מציגה רשימה של כל המשאבים בארגון שאתם שייכים אליו, ומזהי המשאבים התואמים בארגון.

API

כדי למצוא את מזהה משאב הארגון באמצעות Cloud Resource Manager API, משתמשים ב-method ‏organizations.search(), כולל שאילתה לגבי הדומיין. לדוגמה:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

התשובה תכיל את המטא-נתונים של משאב הארגון ששייך ל-altostrat.com, כולל מזהה משאב הארגון.

הגדרת משאב הארגון

אם אתם לקוחות של Google Workspace או של Cloud Identity, משאב ארגון מסופק לכם באופן אוטומטי.

הסופר-אדמינים של Google Workspace ו-Cloud Identity הם המשתמשים הראשונים שיכולים לגשת למשאב הארגון אחרי שהוא נוצר. כל שאר המשתמשים או הקבוצות יוכלו להשתמש ב- Google Cloud כמו קודם. הם יוכלו לראות את משאב הארגון, אבל יוכלו לשנות אותו רק אחרי שיוגדרו ההרשאות הנכונות.

הסופר-אדמינים של Google Workspace או Cloud Identity וGoogle Cloud האדמין הארגוני הם תפקידים חשובים במהלך תהליך ההגדרה ובשליטה במחזור החיים של משאב הארגון. בדרך כלל שני התפקידים האלה מוקצים למשתמשים או לקבוצות שונים, אבל זה תלוי במבנה ובצרכים של משאב הארגון.

האחריות של סופר-אדמינים ב-Google Workspace או ב-Cloud Identity, בהקשר של הגדרת משאב הארגון, היא: Google Cloud

הקצאת התפקיד אדמין ארגוני למשתמשים מסוימים
להיות איש קשר במקרה של בעיות בשחזור
שליטה במחזור החיים של חשבון Google Workspace או Cloud Identity ומשאב הארגון, כפי שמוסבר בקטע מחיקת ארגון

אחרי שמקצים את התפקיד אדמין ארגוני, אפשר להקצות תפקידים בניהול הזהויות והרשאות הגישה למשתמשים אחרים. התפקיד אדמין ארגוני מאפשר:

הגדרת מדיניות של הרשאה ודחייה והקצאת תפקידים למשתמשים אחרים.
צפייה במבנה של היררכיית המשאבים

בהתאם לעיקרון של הרשאות מינימליות, התפקיד הזה לא כולל את ההרשאה לבצע פעולות אחרות, כמו יצירת תיקיות או פרויקטים. כדי לקבל את ההרשאות האלה, אדמין בארגון צריך להקצות תפקידים נוספים לחשבון שלו.

הקצאת שני תפקידים שונים מבטיחה הפרדת תפקידים בין הסופר-אדמינים ב-Google Workspace או ב-Cloud Identity לביןGoogle Cloud האדמין הארגוני. לרוב, זו דרישה כי בדרך כלל מחלקות שונות בארגון של הלקוח מנהלות את שני מוצרי Google.

כדי להשתמש במשאב הארגון באופן פעיל, צריך להוסיף מנהל ארגון באופן הבא:

הוספת אדמין ארגוני

המסוף

כדי להוסיף אדמין של הארגון:

נכנסים למסוף Google Cloud בתור סופר-אדמין ב-Google Workspace או ב-Cloud Identity ועוברים לדף IAM & Admin:
פתיחת הדף IAM & admin
בוחרים את משאב הארגון שרוצים לערוך:
1. לוחצים על הרשימה הנפתחת של הפרויקטים בחלק העליון של הדף.
2. בתיבת הדו-שיח בחירה מתוך, לוחצים על הרשימה הנפתחת של הארגון ובוחרים את המשאב הארגוני שאליו רוצים להוסיף אדמין ארגוני.
3. ברשימה שמופיעה, לוחצים על משאב הארגון כדי לפתוח את הדף הרשאות IAM שלו.
לוחצים על הוספה ומזינים את כתובת האימייל של משתמש אחד או יותר שרוצים להגדיר כמנהלי ארגון.
ברשימה הנפתחת Select a role בוחרים באפשרות מנהל המשאבים > Organization Administrator ולוחצים על Save.

האדמין הארגוני יכול:
- שליטה מלאה במשאב הארגון. הפרדה של תחומי האחריות בין אדמין על ב-Google Workspace או ב-Cloud Identity לבין Google Cloud אדמין מוגדרת.
- האצלת אחריות על פונקציות קריטיות באמצעות הקצאת תפקידי IAM רלוונטיים.

כפי שמוסבר במאמר בנושא קבלת משאב ארגון, אחרי שיוצרים משאב ארגון, כל המשתמשים בדומיין מקבלים כברירת מחדל את התפקידים 'Project Creator' ו-'Billing Account Creator' ברמת משאב הארגון. כך לא נגרם שיבוש למשתמשי Google Cloud כשנוצר משאב הארגון. כשאדמין הארגון מקבל שליטה, הוא עשוי לרצות להסיר את ההרשאות האלה ברמת הארגון כדי להתחיל להגביל את הגישה ברמת גרנולריות מדויקת יותר (למשל, ברמת התיקייה או הפרויקט). שימו לב: מדיניות ההיתר והמדיניות האוסרת עוברות בירושה לאורך ההיררכיה. לכן, אם התפקיד Project Creator (יוצר פרויקטים) מוקצה לכל הדומיין (domain:mycompany.com) ברמת משאב הארגון, כל משתמש בדומיין יכול ליצור פרויקטים בכל מקום בהיררכיה.

המאמרים הבאים

ניהול פרויקטים וחיובים בארגון