本页面介绍了 Google Cloud的 Resource Manager 的工作原理,以及如何 使用它来整理云资源、控制访问权限, 以及在整个云环境中有效地强制执行政策。
Resource Manager 是一种以分层方式整理资源的工具。 Google Cloud 换句话说,借助该工具,您可以控制资源的归组方式以及政策的继承来源。
资源层次结构:组织、文件夹和项目
Google Cloud 资源以分层方式进行整理,类似于文件系统。这种层次结构让您能够从中心位置管理资源的常见方面,例如访问权限控制和配置设置。
该层次结构包含以下级别:
组织:层次结构的根节点。它代表您的公司,并提供对所有资源的集中查看和控制。
文件夹:组织内的分组机制。您可以使用文件夹将您的法律或职能结构(例如部门或团队)映射到云资源。
项目:资源的基础级层容器。每个资源(例如 Compute Engine 虚拟机实例或 Cloud Storage 存储桶)都属于一个项目。
资源:的基本组件 Google Cloud,例如虚拟机、 数据库和存储分区。
用于管理 Google Cloud 资源的主要功能
Resource Manager 提供以下功能,帮助您治理云环境:
通过组织资源进行集中控制:组织资源 代表您的组织(例如您的公司)。借助该资源,您可以将所有项目归入单个实体下。 Google Cloud 这样可以集中查看、拥有和控制资源。有了组织资源后,项目便会归属于组织,而非员工个人,这可确保即使员工离职,资源也能持续可用。
使用文件夹进行分组:使用文件夹将项目整理到逻辑组中。 例如,您可以为不同的部门、环境(例如生产环境和预演环境)或团队创建文件夹。借助文件夹,您可以一次性对一组项目应用政策和访问权限控制,而无需单独管理这些项目。
项目管理:项目是中的核心组织实体 Google Cloud。您可以使用项目来启用 API、管理结算和与团队成员协作。 借助 Resource Manager,您可以通过编程方式或通过控制台创建、更新和删除项目。
访问权限控制和政策继承:Resource Manager 与 Identity and Access Management (IAM) 集成,让您能够定义谁有权访问您的资源。 您可以对 组织、 文件夹和 项目设置允许和拒绝政策。您还可以对某些服务资源设置允许政策。层次结构中较低级别的资源会继承其父级容器的政策。例如,如果您在文件夹级层授予用户 Folder Admin 角色,则该用户会自动拥有该文件夹中所有项目的该角色。如果您更改资源层次结构,允许和拒绝政策层次结构也会发生更改。例如,将项目移到组织资源中会更新其允许和拒绝政策,以继承组织资源的政策。
您可以使用 Google Cloud 控制台、Google Cloud CLI 和 Resource Manager API 与 Resource Manager 进行交互。
与其他 Google Cloud 服务集成以进行资源管理
Resource Manager 是管理您的 Google Cloud 资源的核心,它提供 结构和基础功能,让您能够有效地使用和 治理其他关键服务,例如组织政策、标记 和重要联系人:
标记:Resource Manager 与标记搭配使用,让您能够将任意 键值对附加到资源。标记可用于各种用途,例如资源分类、政策强制执行和费用分配。标记管理是 Resource Manager 层次结构中资源整理和管理方式的一个组成部分。
组织政策服务:组织政策可让您以编程方式集中控制组织的云资源。与侧重于谁可以做什么的 IAM 不同,组织政策侧重于可以做什么。例如,您可以定义一项政策,以限制可以创建资源的物理位置,或阻止创建公共 IP 地址。
Resource Manager 提供组织政策强制执行规则所依赖的层次结构(组织、文件夹和项目)。Resource Manager 定义了资源所在的范围,而组织政策则定义了如何配置这些资源的限制。
重要联系人:通过将重要联系人 与 Resource Manager 集成,您可以根据联系人在组织结构中的位置来管理谁接收通知。重要联系人使用 Resource Manager 层次结构将通知设置级联到子资源。 在较高级别(例如组织节点)定义的联系人会自动继承其下所有资源(例如文件夹和项目)的通知。
后续步骤
- 了解资源层次结构。
- 了解如何创建 Google Cloud 资源层次结构。