Tentang hierarki resource

Hierarki resource memberikan cara terstruktur untuk mengatur resource cloud Anda. Google Cloud Semua resource kecuali resource tertinggi dalam hierarki memiliki tepat satu induk. Hierarki terdiri dari organisasi (root) di paling atas, diikuti oleh folder (opsional) untuk pengelompokan, lalu project, yang berisi resource layanan aktual seperti virtual machine Compute Engine dan bucket penyimpanan.

Penggunaan hierarki terstruktur memberikan keuntungan berikut:

  • Kepemilikan: Mengikat siklus proses resource ke induk langsungnya. Project adalah milik organisasi, bukan milik karyawan yang membuatnya. Jika karyawan keluar, project tetap aktif dan aman.
  • Pewarisan: Hierarki ini menyediakan titik lampiran untuk kontrol akses dan kebijakan organisasi, yang mengalir ke bawah hierarki. Anda dapat memberikan peran di tingkat tinggi (seperti organisasi atau folder). Peran ini diwarisi oleh semua resource turunan, sehingga tidak perlu mengonfigurasi izin secara manual untuk setiap project.

Diagram berikut menggambarkan Google Cloud hierarki resource.

Hierarki resource Google Cloud, dengan organisasi di bagian atas, yang berisi folder, project, dan resource layanan

Resource organisasi

Resource organisasi mewakili entitas (seperti perusahaan) dan berfungsi sebagai node root dari Google Cloud hierarki resource. Layanan ini menyediakan fungsi utama berikut:

  • Organisasi bertindak sebagai induk untuk semua resource folder dan project.
  • Kebijakan kontrol akses (seperti peran Identity and Access Management (IAM)) dan kebijakan organisasi yang diterapkan pada tingkat ini diwarisi oleh setiap resource dalam organisasi.
  • Meskipun tidak benar-benar diperlukan untuk semua Google Cloud pengguna, resource organisasi diperlukan untuk menggunakan fitur Resource Manager tertentu.

Akun Google Workspace atau Cloud Identity adalah prasyarat untuk memiliki akses ke resource organisasi.

  • Akun Google Workspace atau Cloud Identity hanya dapat dikaitkan dengan satu resource organisasi.
  • Saat pengguna yang memiliki akun Google Workspace atau Cloud Identity membuat Google Cloud resource project, resource organisasi akan otomatis disediakan untuknya.

Gambar berikut menunjukkan hubungan antara akun Google Workspace, Cloud Identity, dan hierarki resource Google Cloud .

Hubungan antara akun Google Workspace atau Cloud Identity dan hierarki resource Google Cloud

Admin super Google Workspace adalah orang yang bertanggung jawab atas verifikasi kepemilikan domain dan kontak dalam kasus pemulihan. Oleh karena itu, admin super Google Workspace diberi kemampuan untuk menetapkan peran IAM secara default. Tugas utama admin super Google Workspace terkait dengan Google Cloud adalah menetapkan peran IAM Administrator Organisasi kepada pengguna yang sesuai di domainnya. Tindakan ini akan memisahkan tanggung jawab administrasi Google Workspace dan Google Cloud yang biasanya dicari pengguna.

Aturan pembuatan project untuk pengguna terkelola

Setelah resource organisasi ada untuk suatu domain, aturan ketat berlaku untuk pembuatan project:

  • Pengguna terkelola (anggota domain akun) harus membuat project dalam organisasi. Akun yang terkait dengan resource organisasi tidak dapat membuat resource project yang tidak terkait dengan resource organisasi.
  • Secara default, project baru adalah milik organisasi yang terkait dengan pengguna.
  • Jika pengguna memiliki izin yang sesuai, mereka dapat menentukan resource organisasi yang berbeda selama pembuatan project; jika tidak, project akan ditetapkan ke organisasi asal mereka secara default.

Manfaat resource organisasi

Dengan resource organisasi, resource project Anda menjadi milik organisasi Anda, bukan milik karyawan yang membuatnya. Artinya, organisasi Anda mempertahankan sumber daya project saat karyawan keluar dari perusahaan. Resource project mengikuti siklus proses resource organisasi di Google Cloud.

Selain itu, Administrator organisasi mengontrol semua resource secara terpusat. Mereka dapat melihat dan mengelola semua resource project di perusahaan Anda. Hal ini mencegah proyek bayangan atau administrator nakal.

Anda juga dapat memberikan peran di tingkat organisasi, yang diwarisi oleh semua resource project dan folder di bawah resource organisasi. Misalnya, Anda dapat memberikan peran Network Admin kepada tim jaringan Anda di tingkat organisasi, yang memungkinkan mereka mengelola semua jaringan di semua resource project di perusahaan Anda, alih-alih memberikan peran untuk setiap resource project.

Resource organisasi ditentukan oleh atribut berikut:

  • ID resource organisasi, yang merupakan ID unik untuk organisasi.
  • Nama tampilan, yang dibuat dari nama domain utama di Google Workspace atau Cloud Identity.
  • Waktu pembuatan resource organisasi.
  • Waktu terakhir diubahnya resource organisasi.
  • Pemilik resource organisasi, yang merupakan ID pelanggan Google Workspace dari Directory API. Anda menentukan pemilik saat membuat resource organisasi, dan Anda tidak dapat mengubahnya.

Cuplikan kode berikut menunjukkan struktur resource organisasi:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Kebijakan izin awal untuk resource organisasi baru memberikan peran Pembuat Project dan Pembuat Akun Penagihan ke seluruh domain Google Workspace. Artinya, pengguna dapat terus membuat resource project dan akun penagihan seperti yang mereka lakukan sebelum resource organisasi ada. Tidak ada resource lain yang dibuat saat resource organisasi dibuat. Kebijakan izin, penolakan, dan organisasi diwariskan melalui hierarki, dan kebijakan yang efektif untuk setiap resource dalam hierarki dihasilkan dari kebijakan yang diterapkan langsung ke resource dan kebijakan yang diwarisi dari ancestor-nya.

Resource folder

Resource folder adalah mekanisme pengelompokan opsional antara resource organisasi dan resource project. Resource organisasi diperlukan untuk menggunakan folder. Resource folder dan resource project turunannya berada di bawah resource organisasi.

Resource folder dapat memberikan batas isolasi antar-project. Unit organisasi ini berfungsi sebagai sub-organisasi dalam resource organisasi. Resource folder dapat membuat model berbagai entitas hukum, departemen, dan tim dalam suatu perusahaan. Misalnya, folder tingkat pertama dapat mewakili departemen utama di organisasi Anda. Karena folder dapat berisi project dan folder lain, setiap folder dapat menyertakan subfolder untuk mewakili tim yang berbeda. Setiap folder tim dapat berisi subfolder tambahan untuk mewakili aplikasi yang berbeda. Untuk mengetahui detail selengkapnya tentang penggunaan resource folder, lihat Membuat folder.

Jika resource organisasi Anda memiliki resource folder dan Anda memiliki izin melihat yang sesuai, Anda dapat melihatnya di konsol Google Cloud . Untuk mengetahui petunjuk yang lebih mendetail, lihat Melihat, memperbarui, dan menghapus folder.

Dengan resource folder, Anda dapat mendelegasikan hak administrasi. Misalnya, Anda dapat memberikan kepemilikan penuh atas semua resource Google Cloud di departemen masing-masing kepada setiap kepala departemen. Demikian pula, resource folder dapat membatasi akses ke resource, yang berarti pengguna di satu departemen hanya dapat mengakses dan membuat Google Cloud resource dalam resource folder tersebut.

Cuplikan kode berikut menunjukkan struktur resource folder:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Seperti resource organisasi dan project, resource folder berfungsi sebagai titik pewarisan kebijakan untuk kebijakan izinkan, tolak, dan organisasi. Peran IAM yang diberikan pada resource folder diwarisi oleh semua resource project dan folder dalam folder tersebut.

Resource project

Resource project adalah entity pengelola dasar. Resource organisasi dan folder dapat berisi beberapa project. Anda memerlukan resource project untuk menggunakan Google Cloud. Project ini penting untuk membuat, mengaktifkan, dan menggunakan semua layananGoogle Cloud , mengelola API, mengaktifkan penagihan, menambahkan dan menghapus kolaborator, serta mengelola izin.

Semua resource project terdiri dari:

  • Dua ID:
    1. ID resource project, yang merupakan ID unik untuk resource project.
    2. Nomor resource project, yang ditetapkan secara otomatis saat Anda membuat project. Objek ini bersifat hanya baca.
  • Satu nama tampilan yang dapat diubah.
  • Status siklus proses resource project; misalnya, ACTIVE atau DELETE_REQUESTED.
  • Kumpulan label yang dapat digunakan untuk memfilter project.
  • Waktu saat resource project dibuat.

Cuplikan kode berikut menunjukkan struktur resource project:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Untuk berinteraksi dengan sebagian besar Google Cloud resource, Anda harus memberikan ID resource project untuk setiap permintaan. Anda dapat mengidentifikasi resource project dengan dua cara: berdasarkan ID resource project atau nomor resource project. Dalam cuplikan kode, ini adalah projectId dan projectNumber.

ID resource project adalah nama yang Anda pilih saat membuat project. Jika Anda mengaktifkan API yang memerlukan project, Anda dapat membuat project baru atau memilih project yang ada menggunakan ID resource project-nya. String name, yang muncul di UI, tidak sama dengan ID resource project.

Google Cloud secara otomatis membuat nomor resource project. Anda dapat menemukan ID dan nomor resource project di dasbor project di konsolGoogle Cloud . Untuk informasi tentang cara mendapatkan ID project dan tugas pengelolaan lainnya untuk resource project, lihat Membuat project.

Kebijakan IAM awal untuk resource project yang baru dibuat memberikan peran pemilik kepada pembuat project.

Semua pengguna, termasuk pengguna uji coba gratis, pengguna paket gratis, serta pelanggan Google Workspace dan Cloud Identity, dapat membuat resource project. Pengguna Google Cloud Program Gratis hanya dapat membuat resource project dan resource layanan dalam project. Resource project dapat berada di bagian atas hierarkinya, tetapi hanya jika dibuat oleh pengguna uji coba gratis atau pengguna tingkat gratis. Pelanggan Google Workspace dan Cloud Identity memiliki akses ke fitur tambahan hierarki resource Google Cloud , seperti resource organisasi dan folder. Pelajari lebih lanjut di ringkasan Cloud Identity. Resource project di bagian atas hierarkinya tidak memiliki resource induk, tetapi dapat dimigrasikan ke resource organisasi setelah dibuat untuk domain. Untuk mengetahui detail selengkapnya tentang memigrasikan resource project, lihat Memigrasikan project di antara resource organisasi.

Langkah berikutnya