本頁說明 Google CloudResource Manager 的運作方式,以及如何使用這項服務整理雲端資源、控管存取權,並在雲端環境中有效強制執行政策。
Resource Manager 是一種工具,可階層式整理資源。 Google Cloud 換句話說,您可以控管資源的分組方式,以及政策的繼承來源。
資源階層:機構、資料夾和專案
Google Cloud 資源會以階層方式整理,類似於檔案系統。這種階層式架構可讓您從中央管理資源的常用層面,例如存取權控管與配置設定。
階層包含下列層級:
機構:階層的根節點。代表貴公司,並集中瀏覽及控制所有資源。
資料夾:機構內的分組機制。您可以透過資料夾,將法律或功能結構 (例如部門或團隊) 對應至雲端資源。
專案:資源的基礎層級容器。每個資源 (例如 Compute Engine 虛擬機器執行個體或 Cloud Storage 值區) 都只屬於一個專案。
資源: Google Cloud的基本元件,例如虛擬機器、資料庫和儲存空間值區。
管理「 Google Cloud 」資源的主要功能
Resource Manager 提供下列功能,協助您控管雲端環境:
透過機構資源集中控管:機構資源代表您的機構 (例如公司)。您可以將所有 Google Cloud 專案歸入單一實體。這樣一來,您就能集中掌握資源的狀況、擁有權和控制權。有了機構資源,專案是屬於機構,而不是個別員工,因此即使員工離職,資源也能持續運作。
使用資料夾分組:使用資料夾將專案整理成邏輯群組。 舉例來說,您可以為不同部門、環境 (例如正式版群組和測試版) 或團隊建立資料夾。您可以一次為一組專案套用政策和存取權控管,不必逐一管理。
專案管理:專案是 Google Cloud的核心機構實體。您可以使用專案啟用 API、管理帳單,以及與團隊成員協作。您可以使用 Resource Manager,透過程式或控制台建立、更新及刪除專案。
存取控管和政策繼承:Resource Manager 與 Identity and Access Management (IAM) 整合,可讓您定義哪些人有權存取資源。您可以在機構、資料夾和專案中設定允許和拒絕政策。您也可以在部分服務資源上設定允許政策。階層中較低的資源會繼承父項容器的政策。舉例來說,如果您授予使用者某個資料夾的「資料夾管理員」角色,他們就會自動擁有該資料夾內所有專案的「資料夾管理員」角色。如果您變更資源階層,允許和拒絕政策階層也會一併變更。舉例來說,將專案移至機構資源時,系統會更新專案的允許和拒絕政策,使其沿用機構資源的政策。
您可以使用 Google Cloud 控制台、Google Cloud CLI 和 Resource Manager API 與 Resource Manager 互動。
與其他 Google Cloud 服務整合,以管理資源
Resource Manager 是管理 Google Cloud 資源的中心,可提供結構和基礎功能,讓您有效使用及控管其他重要服務,例如機構政策、標記和必要聯絡人:
標記:Resource Manager 支援標記,可讓您將任意鍵/值組合附加至資源。標記可用於各種用途,例如資源分類、強制執行政策和成本分配。標記管理是資源在 Resource Manager 階層中整理及管理方式不可或缺的一環。
機構政策服務:機構政策可讓您透過程式輔助,集中控管機構的雲端資源。與著重於「誰可以執行哪些操作」的 IAM 不同,機構政策著重於「可以執行哪些操作」。舉例來說,您可以定義政策,限制資源的建立位置,或禁止建立公開 IP 位址。
Resource Manager 提供階層式結構 (機構、資料夾和專案),機構政策會依據這個結構強制執行規則。Resource Manager 定義資源的所在範圍,而組織政策則定義資源的配置限制。
重要聯絡人:整合重要聯絡人和 Resource Manager 後,您可以根據使用者在機構架構中的位置,管理通知接收對象。重要聯絡人會使用 Resource Manager 階層,將通知設定向下層疊加至子項資源。在較高層級 (例如機構節點) 定義的聯絡人,會自動沿用其下方所有資源 (例如資料夾和專案) 的通知。
後續步驟
- 瞭解資源階層。
- 瞭解如何建立資源階層 Google Cloud 。