La risorsa dell'organizzazione è il nodo radice della Google Cloud gerarchia delle risorse ed è il supernodo gerarchico dei progetti. Questa pagina spiega come acquisire e gestire una risorsa Organizzazione.
Prima di iniziare
Leggi una panoramica della risorsa organizzazione.
Ottenere una risorsa dell'organizzazione
Una risorsa Organizzazione è disponibile per i clienti Google Workspace e Cloud Identity:
- Google Workspace:registrati a Google Workspace.
- Cloud Identity:registrati a Cloud Identity.
Dopo aver creato il tuo account Google Workspace o Cloud Identity e averlo associato a un dominio, la tua risorsa organizzazione verrà creata automaticamente. La risorsa verrà fornita in momenti diversi a seconda dello stato del tuo account:
- Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, la risorsa organizzazione verrà creata per te quando accedi alla console Google Cloud e accetti i Termini e condizioni.
-
Se sei un utente Google Cloud esistente, la risorsa organizzazione verrà creata automaticamente quando crei un nuovo progetto o un nuovo account di fatturazione. Tutti i progetti che hai creato in precedenza verranno elencati in "Nessuna organizzazione", il che è normale. Verrà visualizzata la risorsa dell'organizzazione e il nuovo progetto creato verrà collegato automaticamente.
Dovrai spostare tutti i progetti che hai creato in "Nessuna organizzazione" nella nuova risorsa di organizzazione. Per istruzioni su come spostare i progetti, consulta Migrazione dei progetti in una risorsa organizzazione.
La risorsa organizzazione creata verrà collegata al tuo account Google Workspace o Cloud Identity con il progetto o l'account di fatturazione che hai creato impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno elementi secondari di questa risorsa organizzazione.
- Per informazioni su come eseguire la migrazione di progetti preesistenti, consulta la sezione Migrazione dei progetti esistenti.
Ogni account Google Workspace o Cloud Identity è associato a una sola risorsa organizzazione. Una risorsa organizzazione è associata esattamente a un dominio, che viene impostato al momento della creazione della risorsa organizzazione.
Per adottare attivamente la risorsa organizzazione, i super amministratori di Google Workspace o Cloud Identity devono assegnare il ruolo Identity and Access Management (IAM) Amministratore organizzazione (roles/resourcemanager.organizationAdmin) a un utente o a un gruppo. Per i passaggi per configurare la risorsa dell'organizzazione, vedi
Configurare la risorsa dell'organizzazione.
- Quando viene creata la risorsa organizzazione, a tutti gli utenti del tuo dominio vengono automaticamente concessi i ruoli IAM Autore progetto (
roles/resourcemanager.projectCreator) e Creatore account di fatturazione (roles/billing.creator) a livello di risorsa organizzazione. In questo modo, gli utenti del tuo dominio possono continuare a creare progetti senza interruzioni. - L'amministratore dell'organizzazione deciderà quando iniziare a utilizzare attivamente la risorsa dell'organizzazione. Potrà quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi in base alle esigenze.
- Se la risorsa organizzazione è disponibile e non disponi delle autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Questi vengono creati automaticamente nella risorsa dell'organizzazione, anche se non riesci a vederli.
Google Cloud base di riferimento per la sicurezza
Google Cloud La base di riferimento per la sicurezza affronta le posture di sicurezza non sicure con un pacchetto di policy dell'organizzazione che vengono applicate quando viene creata una risorsa dell'organizzazione. Questi vincoli vengono creati e applicati automaticamente alla tua organizzazione al momento della creazione. Per informazioni sulla visualizzazione e la gestione di questi vincoli, consulta vincoli di base per la sicurezza.Google Cloud
Recuperare l'ID risorsa dell'organizzazione
L'ID risorsa dell'organizzazione è un identificatore univoco per una risorsa dell'organizzazione e viene creato automaticamente quando viene creata la risorsa dell'organizzazione. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono avere zeri iniziali.
Puoi ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud , gcloud CLI o l'API Cloud Resource Manager.
console
Per ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud , segui questi passaggi:
- Vai alla console Google Cloud :
- Nel selettore di progetti nella parte superiore della pagina, seleziona la risorsa dell'organizzazione.
- Sul lato destro, fai clic su Altro, poi su Impostazioni.
Nella pagina Impostazioni viene visualizzato l'ID risorsa organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione.
API
Per trovare l'ID risorsa dell'organizzazione utilizzando l'API Cloud Resource Manager, utilizza il
metodo
organizations.search(), includendo una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa organizzazione che
appartiene a altostrat.com, incluso l'ID risorsa organizzazione.
Configura la risorsa dell'organizzazione
Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa organizzazione.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno visualizzare la risorsa dell'organizzazione, ma potranno modificarla solo dopo aver impostato le autorizzazioni corrette.
I super amministratori di Google Workspace o Cloud Identity e l'Google Cloud amministratore dell'organizzazione sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa organizzazione. Questi due ruoli vengono generalmente assegnati a utenti o gruppi diversi, anche se questa scelta dipende dalla struttura e dalle esigenze della risorsa dell'organizzazione.
Le responsabilità del super amministratore di Google Workspace o Cloud Identity, nell'ambito della configurazione della risorsa organizzazione, sono: Google Cloud
- Assegnare il ruolo Amministratore dell'organizzazione ad alcuni utenti
- Agire da punto di contatto in caso di problemi di ripristino
- Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity e della risorsa organizzazione come spiegato in Eliminare un'organizzazione.
Una volta assegnato, l'amministratore dell'organizzazione può assegnare ruoli di Identity and Access Management ad altri utenti. Le responsabilità del ruolo Organization Administrator sono:
- Definizione di criteri di autorizzazione e negazione e concessione di ruoli ad altri utenti.
- Visualizzazione della struttura della gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione a eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, unAmministratore organizzazionee deve assegnare ruoli aggiuntivi al proprio account.
La presenza di due ruoli distinti garantisce la separazione dei compiti tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazioneGoogle Cloud . Questo è spesso un requisito, in quanto i due prodotti Google sono in genere gestiti da reparti diversi dell'organizzazione del cliente.
Per utilizzare attivamente la risorsa dell'organizzazione, segui questi passaggi per aggiungere un amministratore dell'organizzazione:
Aggiungere un Amministratore organizzazione
Console
Per aggiungere un Amministratore organizzazione:
Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:
Seleziona la risorsa dell'organizzazione che vuoi modificare:
Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa organizzazione a cui vuoi aggiungere un Amministratore organizzazione#39;organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.
Fai clic su Aggiungi e poi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore dell'organizzazione, quindi fai clic su Salva.
L'amministratore dell'organizzazione può:
Assumi il controllo completo della risorsa organizzazione. È stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore Google Cloud .
Delegare la responsabilità su funzioni critiche assegnando i ruoli IAM pertinenti.
Come spiegato in Ottenere una risorsa organizzazione, al momento della creazione,
a tutti gli utenti del dominio vengono concessi i ruoliAutore progettor eCreatore account di fatturazioner
a livello di risorsa organizzazione per impostazione predefinita. In questo modo, non si verificano interruzioni
per gli utenti Google Cloud quando viene creata la risorsa dell'organizzazione. Quando l'amministratore dell'organizzazione assume il controllo, potrebbe voler rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso con una granularità più precisa (ad esempio, a livello di cartella o progetto). Tieni presente che, poiché
le norme di autorizzazione e negazione vengono ereditate nella gerarchia, l'assegnazione
del ruolo Autore progetto all'intero dominio
(domain:mycompany.com) a livello di risorsa dell'organizzazione implica che ogni utente
del dominio può creare progetti in qualsiasi punto della gerarchia.