La gerarchia delle risorse Google Cloud fornisce un modo strutturato per organizzare le risorse cloud. Tutte le risorse, ad eccezione di quella di livello più alto in una gerarchia, hanno un solo elemento padre. La gerarchia è costituita dall'organizzazione (root) in alto, seguita dalle cartelle (facoltative) per il raggruppamento e poi dai progetti, che contengono le risorse di servizio effettive, come le macchine virtuali Compute Engine e i bucket di archiviazione.
L'utilizzo di una gerarchia strutturata offre i seguenti vantaggi:
- Proprietà: associa il ciclo di vita di una risorsa al suo elemento padre immediato. I progetti appartengono all'organizzazione, non al singolo dipendente che li ha creati. Se un dipendente se ne va, il progetto rimane attivo e sicuro.
- Ereditarietà: fornisce punti di collegamento per i criteri dell'organizzazione e controllo dell'accesso dell'accesso, che vengono ereditati nella gerarchia. Puoi concedere ruoli a un livello elevato (ad esempio l'organizzazione o una cartella). Questi ruoli vengono ereditati da tutte le risorse secondarie, riducendo la necessità di configurare manualmente le autorizzazioni per ogni progetto.
Il seguente diagramma illustra la gerarchia delle risorse Google Cloud .
La risorsa dell'organizzazione
La risorsa organizzazione rappresenta un'entità (ad esempio un'azienda) e funge da nodo radice della gerarchia di risorseGoogle Cloud . Fornisce le seguenti funzioni principali:
- L'organizzazione funge da elemento padre per tutte le risorse di cartelle e progetti.
- I criteri di controllo dell'accesso (come i ruoli Identity and Access Management (IAM)) e i criteri dell'organizzazione applicati a questo livello vengono ereditati da ogni risorsa dell'organizzazione.
- Sebbene non sia strettamente necessario per tutti gli utenti Google Cloud , una risorsa dell'organizzazione è necessaria per utilizzare funzionalità specifiche di Resource Manager.
Associazione con account Google Workspace o Cloud Identity
Un account Google Workspace o Cloud Identity è un prerequisito per accedere alla risorsa organizzazione.
- Un account Google Workspace o Cloud Identity può essere associato a una sola risorsa dell'organizzazione.
- Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa progetto, viene automaticamente eseguito il provisioning di una risorsa organizzazione. Google Cloud
L'immagine seguente mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorse Google Cloud .
Il super amministratore di Google Workspace è la persona responsabile della verifica della proprietà del dominio e il contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare i ruoli IAM per impostazione predefinita. Il compito principale del super amministratore Google Workspace in relazione a Google Cloud è assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati del proprio dominio. In questo modo si crea la separazione tra Google Workspace e Google Cloud le responsabilità amministrative che gli utenti cercano in genere.
Regole di creazione dei progetti per gli utenti gestiti
Una volta creata una risorsa organizzazione per un dominio, si applicano regole rigide alla creazione di progetti:
- Gli utenti gestiti (membri del dominio dell'account) devono creare progetti all'interno di un'organizzazione. Gli account associati a una risorsa organizzazione non possono creare risorse di progetto non associate a una risorsa organizzazione.
- Per impostazione predefinita, i nuovi progetti appartengono all'organizzazione associata all'utente.
- Se un utente dispone delle autorizzazioni appropriate, può specificare una risorsa dell'organizzazione diversa durante la creazione del progetto; in caso contrario, viene impostata come predefinita l'organizzazione principale.
Vantaggi della risorsa dell'organizzazione
Con una risorsa organizzazione, le risorse del progetto appartengono alla tua organizzazione, non al dipendente che le ha create. Ciò significa che la tua organizzazione conserva le risorse del progetto quando un dipendente lascia l'azienda. Le risorse del progetto seguono il ciclo di vita della risorsa dell'organizzazione su Google Cloud.
Inoltre, gli amministratori dell'organizzazione controllano centralmente tutte le risorse. Possono visualizzare e gestire tutte le risorse del progetto nella tua azienda. In questo modo, si evitano progetti ombra o amministratori non autorizzati.
Puoi anche concedere ruoli a livello di organizzazione, che vengono ereditati da tutte le risorse di progetti e cartelle sotto la risorsa organizzazione. Ad esempio, puoi concedere il ruolo Amministratore di rete al tuo team di networking a livello di organizzazione, il che consente di gestire tutte le reti in tutte le risorse di progetto della tua azienda, anziché concedere il ruolo per ogni singola risorsa di progetto.
Una risorsa organizzazione è definita dai seguenti attributi:
- Un ID risorsa dell'organizzazione, ovvero un identificatore univoco di un'organizzazione.
- Un nome visualizzato, generato dal nome di dominio principale in Google Workspace o Cloud Identity.
- L'ora di creazione della risorsa organizzazione.
- L'ora dell'ultima modifica della risorsa dell'organizzazione.
- Il proprietario della risorsa Organizzazione, ovvero l'ID cliente Google Workspace dell'API Directory. Specifichi il proprietario quando crei la risorsa organizzazione e non puoi modificarlo.
Il seguente snippet di codice mostra la struttura di una risorsa organization:
{
"creationTime": "2020-01-07T21:59:43.314Z",
"displayName": "my-organization",
"lifecycleState": "ACTIVE",
"name": "organizations/34739118321",
"owner": {
"directoryCustomerId": "C012ba234"
}
}
La policy di autorizzazione iniziale per una nuova risorsa organizzazione concede i ruoli Project Creator e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti possono continuare a creare risorse di progetto e account di fatturazione come facevano prima dell'esistenza della risorsa organizzazione. Quando viene creata una risorsa dell'organizzazione, non vengono create altre risorse. Le policy di autorizzazione, negazione e dell'organizzazione vengono ereditate tramite la gerarchia e la policy effettiva per ogni risorsa nella gerarchia è il risultato delle policy applicate direttamente alla risorsa e delle policy ereditate dai relativi predecessori.
Risorsa cartella
Le risorse delle cartelle sono un meccanismo di raggruppamento facoltativo tra le risorse dell'organizzazione e le risorse del progetto. Per utilizzare le cartelle è necessaria una risorsa organizzazione. Le risorse delle cartelle e le risorse dei progetti secondari si trovano sotto la risorsa organizzazione.
Le risorse cartella possono fornire limiti di isolamento tra i progetti. Funzionano come organizzazioni secondarie all'interno della risorsa organizzazione. Le risorse cartella possono modellare diverse persone giuridiche, reparti e team all'interno di un'azienda. Ad esempio, un primo livello di cartelle può rappresentare i reparti principali della tua organizzazione. Le cartelle possono contenere progetti e altre cartelle. Ogni cartella può quindi includere sottocartelle per rappresentare i vari team. La cartella di ogni team può contenere altre sottocartelle per rappresentare varie applicazioni. Per maggiori dettagli sull'utilizzo delle risorse delle cartelle, vedi Creare cartelle.
Se la risorsa dell'organizzazione contiene risorse di cartelle e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle nella console Google Cloud . Per istruzioni più dettagliate, vedi Visualizzare, aggiornare ed eliminare le cartelle.
Le risorse cartella ti consentono di delegare i diritti di amministrazione. Ad esempio, puoi concedere a ogni responsabile di reparto la piena proprietà di tutte le risorse Google Cloud nei rispettivi reparti. Analogamente, le risorse cartella possono limitare l'accesso alle risorse, il che significa che gli utenti di un reparto possono accedere e creare Google Cloud risorse solo all'interno di quella risorsa cartella.
Il seguente snippet di codice mostra la struttura di una risorsa cartella:
{
"createTime": "2030-01-07T21:59:43.314Z",
"displayName": "Engineering",
"lifecycleState": "ACTIVE",
"name": "folders/634792535758",
"parent": "organizations/34739118321"
}
Come le risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di ereditarietà dei criteri per i criteri di autorizzazione, negazione e dell'organizzazione. I ruoli IAM concessi a una risorsa cartella vengono ereditati da tutte le risorse progetto e cartella contenute in quella cartella.
La risorsa del progetto
La risorsa progetto è l'entità organizzativa fondamentale. Le risorse di organizzazione e cartella possono contenere più progetti. Per utilizzare Google Clouddevi disporre di una risorsa di progetto. È essenziale per creare, abilitare e utilizzare tutti i serviziGoogle Cloud , gestire le API, attivare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.
Tutte le risorse del progetto sono costituite da:
- Due identificatori:
- L'ID risorsa progetto, un identificatore univoco della risorsa progetto.
- Numero della risorsa del progetto, assegnato automaticamente quando crei il progetto. È di sola lettura.
- Un nome visualizzato modificabile.
- Lo stato del ciclo di vita della risorsa del progetto, ad esempio ACTIVE o DELETE_REQUESTED.
- Una raccolta di etichette che possono essere utilizzate per filtrare i progetti.
- L'ora in cui è stata creata la risorsa del progetto.
Il seguente snippet di codice mostra la struttura di una risorsa di progetto:
{
"createTime": "2020-01-07T21:59:43.314Z",
"lifecycleState": "ACTIVE",
"name": "my-project",
"parent": {
"id": "634792535758",
"type": "folder"
},
"projectId": "my-project",
"labels": {
"my-label": "prod"
},
"projectNumber": "464036093014"
}
Per interagire con la maggior parte delle risorse Google Cloud , devi fornire gli identificatori delle risorse del progetto per ogni richiesta. Puoi identificare una risorsa di progetto in
due modi: tramite l'ID risorsa di progetto o il numero risorsa di progetto. Nello snippet di codice, questi sono projectId e projectNumber.
Un ID risorsa progetto è il nome personalizzato che scegli quando crei un progetto. Se attivi un'API che richiede un progetto, puoi crearne uno nuovo o selezionarne uno esistente utilizzando il relativo ID risorsa progetto. La stringa name
che viene visualizzata nella UI non corrisponde all'ID risorsa progetto.
Google Cloud genera automaticamente un numero di risorsa del progetto. Puoi trovare l'ID e il numero della risorsa progetto nella dashboard del progetto nella consoleGoogle Cloud . Per informazioni su come ottenere gli identificatori dei progetti e altre attività di gestione delle risorse dei progetti, consulta la pagina Creare progetti.
Il criterio IAM iniziale per la risorsa progetto appena creata concede il ruolo proprietario al creatore del progetto.
Tutti gli utenti, inclusi quelli della prova senza costi, del Livello senza costi e i clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del Google Cloud Free Program possono creare risorse di progetto e risorse di servizio solo all'interno dei progetti. Le risorse del progetto possono trovarsi in cima alla gerarchia, ma solo se create da un utente della prova senza costi o del livello senza costi. I clienti Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse Google Cloud , come le risorse organizzazione e cartella. Scopri di più nella panoramica di Cloud Identity. Le risorse di progetto nella parte superiore della gerarchia non hanno risorse principali, ma possono essere migrate in una risorsa di organizzazione una volta creata per il dominio. Per maggiori dettagli sulla migrazione delle risorse del progetto, consulta la sezione Migrazione dei progetti tra le risorse dell'organizzazione.
Passaggi successivi
- Scopri come creare la gerarchia delle risorse. Google Cloud
- Scopri come elencare tutti i progetti, le cartelle e le organizzazioni nella gerarchia