Prima di eseguire carichi di lavoro su Google Cloud, devi configurare una base iniziale per supportare il tuo lavoro. La configurazione di Google Cloud aiuta gli amministratori a configurare Google Cloud per carichi di lavoro di produzione scalabili. Il processo di configurazione ti guida attraverso una procedura interattiva che ti aiuta a creare un'architettura di base tenendo a mente le best practice.
Per allinearti alle tue esigenze aziendali, puoi eseguire rapidamente il deployment di una configurazione predefinita o apportare modifiche durante il processo di configurazione. A seconda del tuo flusso di lavoro di deployment preferito, puoi eseguire il deployment della configurazione direttamente dalla console oppure scaricare ed eseguire il deployment di Terraform per integrarlo con il tuo processo Infrastructure as Code (IaC).
Questo documento include i passaggi e le informazioni di base per aiutarti a completare il processo di configurazione, disponibile anche come guida interattiva nella console Google Cloud:
Vai alla configurazione di Google Cloud
Il processo di configurazione prevede le seguenti fasi:
Stabilisci l'organizzazione, gli amministratori e la fatturazione: configura il nodo di primo livello della gerarchia, crea gli utenti amministratore iniziali e collega il tuo metodo di pagamento.
Crea un'architettura iniziale: seleziona una cartella e la struttura del progetto iniziali, assegna l'accesso, configura la rete e configura il logging.
Esegui il deployment delle impostazioni: le scelte iniziali relative all'architettura vengono compilate in file di configurazione Terraform. Puoi eseguire rapidamente il deployment tramite la console Google Cloud o scaricare i file per personalizzarli e ripeterli utilizzando il tuo flusso di lavoro.
Applica impostazioni di sicurezza e assistenza: applica le impostazioni consigliate per il monitoraggio, la sicurezza e l'assistenza per rafforzare la tua architettura.
Stabilire l'organizzazione, gli amministratori e la fatturazione
Organizzazione
Una risorsa organizzazione in Google Cloud rappresenta la tua azienda e funge da nodo di primo livello della gerarchia. Per creare la tua organizzazione, configura un servizio di identità Google e associalo al tuo dominio. Quando completi questo processo, viene creata automaticamente una risorsa dell'organizzazione.
Per una panoramica della risorsa dell'organizzazione, vedi:
- Gestire le risorse dell'organizzazione.
- Best practice per la pianificazione di account e organizzazioni.
Chi esegue questa attività
I due amministratori seguenti eseguono questa attività:
Un amministratore delle identità responsabile dell'assegnazione dell'accesso basato sui ruoli. Dovrai assegnare a questa persona il ruolo di super amministratore di Cloud Identity. Per ulteriori informazioni sull'utente super amministratore, consulta Ruoli amministrativi predefiniti.
Un amministratore di dominio con accesso all'host del dominio dell'azienda. che modifica le impostazioni del dominio, ad esempio le configurazioni DNS, nell'ambito della procedura di verifica del dominio.
Cosa fai in questa attività
- Se non lo hai già fatto, configura Cloud Identity, dove puoi creare un account utente gestito per il tuo utente super amministratore.
- Collega Cloud Identity al tuo dominio (ad esempio example.com).
- Verifica il dominio. Questo processo crea il nodo radice della gerarchia delle risorse, noto come risorsa dell'organizzazione.
Perché consigliamo questa attività
Come parte della piattaforma Google Cloud devi configurare quanto segue:
- Un servizio di identità Google per la gestione centralizzata delle identità.
- Una risorsa dell'organizzazione per stabilire la radice della gerarchia e del controllo dell'accesso.
Opzioni del servizio di identità Google
Utilizza uno o entrambi i seguenti servizi di identità Google per amministrare le credenziali per gli utenti di Google Cloud:
- Cloud Identity: gestisce utenti e gruppi a livello centrale. Puoi federare le identità tra Google e altri provider di identità. Per ulteriori informazioni, consulta la panoramica di Cloud Identity.
- Google Workspace: gestisce utenti e gruppi e fornisce l'accesso a prodotti per la produttività e la collaborazione come Gmail e Google Drive. Per saperne di più, visita Google Workspace.
Per informazioni dettagliate sulla pianificazione delle identità, consulta Pianificazione del processo di onboarding per le identità aziendali.
Prima di iniziare
Per informazioni su come gestire un account super amministratore, consulta le best practice per gli account super amministratore.
Configura un provider di identità e verifica il tuo dominio
I passaggi da completare in questa attività variano a seconda che tu sia un cliente nuovo o esistente. Identifica l'opzione più adatta alle tue esigenze:
Nuovo cliente: configura Cloud Identity, verifica il dominio e crea la tua organizzazione.
Cliente di Google Workspace esistente: utilizza Google Workspace come provider di identità per gli utenti che accedono a Google Workspace e Google Cloud. Se prevedi di creare utenti che accedono solo a Google Cloud, abilita Cloud Identity.
Cliente Cloud Identity esistente: verifica il dominio, assicurati che l'organizzazione sia stata creata e verifica che Cloud Identity sia abilitato.
Nuovo cliente
Nuovo cliente: configura Cloud Identity e crea la tua organizzazione
Per creare la risorsa organizzazione, devi prima configurare Cloud Identity, che consente di gestire gli utenti e i gruppi che accedono alle risorse Google Cloud.
In questa attività configuri la versione gratuita di Cloud Identity.Puoi abilitare Cloud Identity Premium dopo aver completato la configurazione iniziale. Per saperne di più, vedi Confronto tra funzionalità e versioni di Cloud Identity.
Identifica la persona che ricopre il ruolo di amministratore di Cloud Identity (detto anche super amministratore) nella tua organizzazione
Registra il nome utente dell'amministratore nel seguente formato: admin-nome@example.com. Ad esempio, admin-maria@example.com. Specifica questo nome utente quando crei il tuo primo utente amministratore.
Per completare la procedura di configurazione e creare l'account super amministratore, vai alla pagina di registrazione di Cloud Identity.
Se ricevi un messaggio di errore durante la configurazione dell'account amministratore, vedi Errore "L'Account Google esiste già".
Verifica il dominio e crea la risorsa dell'organizzazione
Cloud Identity richiede la verifica della proprietà del dominio. Al termine della verifica, verrà creata automaticamente la tua risorsa organizzazione Google Cloud.
Assicurati di aver creato un account super amministratore quando hai configurato il provider di identità.
Verifica il dominio in Cloud Identity. Al termine della procedura di verifica, tieni presente quanto segue:
- Quando richiesto, non fare clic su Crea nuovi utenti. Creerai nuovi utenti in un'attività successiva.
- Se non riesci a registrare il tuo dominio, vedi Non riesco a registrare il mio dominio per un servizio Google.
- L'elaborazione della verifica può richiedere diverse ore.
Per la procedura di verifica del dominio, vedi Verificare il dominio.
Al termine della procedura di verifica del dominio, fai clic su Configura la console Google Cloud ora.
Accedi alla console Google Cloud come utente super amministratore utilizzando l'indirizzo email specificato. ad esempio admin-maria@example.com.
Vai a Configurazione di Google Cloud: Organizzazione. L'organizzazione viene creata automaticamente.
Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.
Richiedere licenze utente Cloud Identity aggiuntive
La versione gratuita di Cloud Identity include un'allocazione di licenze utente. Per la procedura per visualizzare e richiedere licenze, vedi Tetto massimo di utenti per Cloud Identity Free Edition.
Cliente Workspace
Cliente Google Workspace esistente: verifica il dominio e attiva Cloud Identity
Se sei già cliente Google Workspace, verifica il tuo dominio, assicurati che la risorsa dell'organizzazione venga creata automaticamente e, facoltativamente, abilita Cloud Identity.
Per verificare il dominio in Google Workspace, vedi Verificare il dominio. Durante la procedura di verifica, tieni presente quanto segue:
- Quando richiesto, non fare clic su Crea nuovi utenti. Creerai nuovi utenti in un'attività successiva.
- Se non riesci a registrare il tuo dominio, vedi Non riesco a registrare il mio dominio per un servizio Google.
- L'elaborazione della verifica può richiedere diverse ore.
Accedi alla console Google Cloud come utente super amministratore.
Vai a Configurazione di Google Cloud: Organizzazione.
Seleziona Sono già cliente di Google Workspace.
Assicurati che il nome della tua organizzazione sia visualizzato nell'elenco Organizzazione.
Se vuoi creare utenti che accedono a Google Cloud, ma non ricevono licenze Google Workspace, segui questi passaggi.
In Google Workspace, abilita Cloud Identity.
Quando configuri Cloud Identity, disattiva l'assegnazione automatica delle licenze di Google Workspace.
Cliente di Cloud Identity
Cliente Cloud Identity esistente: verifica del dominio
Se sei già un cliente Cloud Identity, assicurati di aver verificato il dominio e che la risorsa organizzazione sia stata creata automaticamente.
Per assicurarti di aver verificato il dominio, consulta Verificare il dominio. Durante la procedura di verifica, tieni presente quanto segue:
- Quando richiesto, non fare clic su Crea nuovi utenti. Creerai nuovi utenti in un'attività successiva.
- Se non riesci a registrare il tuo dominio, vedi Non riesco a registrare il mio dominio per un servizio Google.
- L'elaborazione della verifica può richiedere diverse ore.
Accedi alla console Google Cloud come utente super amministratore.
Vai a Configurazione di Google Cloud: Organizzazione.
Seleziona Sono un cliente attuale di Cloud Identity.
Assicurati che il nome della tua organizzazione sia visualizzato nell'elenco Organizzazione.
Assicurati che Cloud Identity sia abilitato in Console di amministrazione Google: abbonamenti. Accedi come utente super amministratore.
Passaggi successivi
Utenti e gruppi
In questa attività dovrai creare gruppi di utenti e account utente gestiti per gli amministratori della tua organizzazione Google Cloud.
Per maggiori informazioni sulla gestione degli accessi su Google Cloud, consulta quanto segue:
- Panoramica di Identity and Access Management (IAM).
- Per le best practice, consulta Gestire identità e accesso.
Prima di iniziare
Trova ed esegui la migrazione degli utenti che hanno già un Account Google. Per informazioni dettagliate, vedi Aggiungere utenti con account non gestiti.
Chi esegue questa attività
Un amministratore delle identità responsabile della gestione dell'accesso a individui o gruppi nell'organizzazione. Hai assegnato a questa persona come super amministratore nell'attività Organizzazione.
Cosa fai in questa attività
In questa attività eseguirai le seguenti procedure di gestione degli utenti:
- Crea un gruppo per ogni funzione amministrativa consigliata, tra cui organizzazione, fatturazione e amministrazione di rete.
- Crea account utente per gli amministratori.
- Assegna gli utenti a gruppi amministrativi corrispondenti alle loro responsabilità.
Puoi personalizzare le autorizzazioni per ogni gruppo in un'attività successiva.
Perché consigliamo questa attività
Questa attività ti aiuta a implementare le seguenti best practice per la sicurezza:
Principio del privilegio minimo: concedi agli utenti le autorizzazioni minime necessarie per eseguire il loro ruolo e rimuovi l'accesso quando non è più necessario.
Controllo controllo dell'accesso basato su ruoli (RBAC): assegna le autorizzazioni a gruppi di utenti in base al loro ruolo lavorativo. Non aggiungere autorizzazioni a singoli account utente.
Puoi utilizzare i gruppi per applicare in modo efficiente i ruoli IAM a un insieme di utenti. Questa prassi ti aiuta a semplificare la gestione degli accessi.
Creare gruppi amministrativi
Un gruppo è una raccolta denominata di Account Google e account di servizio. Ogni gruppo ha un indirizzo email univoco, ad esempio gcp-billing-admins@example.com. Puoi creare gruppi per gestire gli utenti e applicare ruoli IAM su larga scala.
I seguenti gruppi sono consigliati per aiutarti ad amministrare le funzioni principali della tua organizzazione e a completare il processo di configurazione di Google Cloud.
Gruppo | Description |
gcp-organization-admins
|
Amministra tutte le risorse dell'organizzazione. Assegna questo ruolo solo agli utenti più affidabili. |
gcp-billing-admins
|
Configura gli account di fatturazione e monitora l'utilizzo. |
gcp-network-admins
|
Crea reti, subnet, regole firewall e dispositivi di rete come router Cloud, Cloud VPN e bilanciatori del carico. |
gcp-logging-admins
|
Utilizza tutte le funzionalità di Cloud Logging. |
gcp-logging-viewers
|
Accesso in sola lettura a un sottoinsieme di log. |
gcp-monitoring-admins
|
Stabilire e gestire criteri di sicurezza per l'intera organizzazione, inclusi criteri di gestione degli accessi e limiti dell'organizzazione. Consulta il progetto di base per le piattaforme aziendali di Google Cloud per ulteriori informazioni sulla pianificazione della tua infrastruttura di sicurezza di Google Cloud. |
gcp-security-admins |
Stabilisci e gestisci criteri di sicurezza per l'intera organizzazione, tra cui criteri di gestione degli accessi e vincoli dell'organizzazione. |
gcp-developers
|
Progetta, codifica e testa le applicazioni. |
gcp-devops
|
Crea o gestisci pipeline end-to-end a supporto dell'integrazione e della distribuzione continua, del monitoraggio e del provisioning del sistema. |
Per creare gruppi amministrativi, segui questi passaggi:
Accedi alla console Google Cloud con l'account super amministratore creato nell'attività Organizzazione.
Vai a Configurazione di Google Cloud: utenti e gruppi.
Esamina i dettagli dell'attività e fai clic su Continua con utenti e gruppi.
Esamina l'elenco dei gruppi amministrativi consigliati, quindi esegui una delle seguenti operazioni:
- Per creare tutti i gruppi consigliati, fai clic su Crea tutti i gruppi.
- Se vuoi creare un sottoinsieme dei gruppi consigliati, fai clic su Crea nelle righe scelte.
Fai clic su Continua.
Creare utenti amministrativi
Ti consigliamo di aggiungere inizialmente gli utenti che completano le procedure per l'organizzazione, il networking, la fatturazione e altre procedure di configurazione. Potrai aggiungere altri utenti dopo aver completato la procedura di configurazione di Google Cloud.
Per aggiungere utenti amministrativi che eseguono attività di configurazione di Google Cloud:
Esegui la migrazione degli account consumer ad account utente gestiti controllati da Cloud Identity. Per la procedura dettagliata, consulta quanto segue:
Accedi alla Console di amministrazione Google utilizzando un account super amministratore.
Utilizza una delle seguenti opzioni per aggiungere utenti:
- Per aggiungere gli utenti collettivamente, vedi Aggiungere o aggiornare più utenti da un file CSV.
- Per aggiungere gli utenti singolarmente, vedi Aggiungere un account per un nuovo utente.
Quando hai finito di aggiungere gli utenti, torna a Configurazione di Google Cloud: utenti e gruppi (creazione di utenti).
Fai clic su Continua.
Aggiungi utenti amministrativi ai gruppi
Aggiungi i membri creati ai gruppi amministrativi corrispondenti alle loro mansioni.
In Configurazione di Google Cloud: Utenti e gruppi (Aggiungi utenti ai gruppi), esamina i dettagli del passaggio.
In ogni riga Group (Gruppo):
- Fai clic su Aggiungi membri.
- Inserisci l'indirizzo email dell'utente.
Nell'elenco a discesa Ruolo del gruppo, seleziona le impostazioni delle autorizzazioni di gruppo dell'utente. Per ulteriori informazioni, vedi Impostare le autorizzazioni di visualizzazione, pubblicazione e moderazione.
Ogni membro eredita tutti i ruoli IAM che concedi a un gruppo, indipendentemente dal ruolo selezionato.
Per aggiungere un altro utente al gruppo, fai clic su Aggiungi un altro membro e ripeti questi passaggi.
Quando hai finito di aggiungere utenti a questo gruppo, fai clic su Salva.
Quando hai finito di aggiungere membri ai gruppi, fai clic su Conferma utenti e gruppi.
Passaggi successivi
Accesso amministrativo
In questa attività utilizzerai Identity and Access Management (IAM) per assegnare raccolte di autorizzazioni a gruppi di amministratori a livello di organizzazione. Questo processo offre agli amministratori visibilità e controllo centrali su ogni risorsa cloud appartenente all'organizzazione.
Per una panoramica di Identity and Access Management in Google Cloud, consulta la panoramica IAM.
Chi esegue questa attività
Per eseguire questa attività, devi essere una delle seguenti:
- Un utente super amministratore.
- Un utente con il ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
).
Cosa fai in questa attività
Esamina l'elenco dei ruoli predefiniti assegnati a ciascun gruppo di amministratori che hai creato nell'attività Utenti e gruppi.
Se vuoi personalizzare un gruppo, puoi eseguire queste operazioni:
- Aggiungere o rimuovere ruoli.
- Se non prevedi di utilizzare un gruppo, puoi eliminarlo.
Perché consigliamo questa attività
Devi concedere esplicitamente tutti i ruoli di amministratore per la tua organizzazione. Questa attività ti consente di implementare le seguenti best practice per la sicurezza:
Principio del privilegio minimo: concedi agli utenti le autorizzazioni minime necessarie per eseguire i loro job e rimuovi l'accesso quando non è più necessario.
Controllo controllo dell'accesso basato su ruoli (RBAC): assegna le autorizzazioni a gruppi di utenti in base al loro lavoro. Non concedere ruoli a singoli account utente.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
Concedere l'accesso ai gruppi di amministratori
Per concedere l'accesso appropriato a ciascun gruppo di amministratori creato nell'attività Utenti e gruppi, esamina i ruoli predefiniti assegnati a ciascun gruppo. Puoi aggiungere o rimuovere ruoli per personalizzare l'accesso di ogni gruppo.
Assicurati di aver eseguito l'accesso alla console Google Cloud come utente super amministratore.
In alternativa, puoi accedere come utente con il ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
).Vai a Configurazione di Google Cloud: accesso amministrativo.
Seleziona il nome della tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.
Esamina la panoramica dell'attività e fai clic su Continua l'accesso amministrativo.
Esamina i gruppi nella colonna Gruppo (entità) che hai creato nell'attività Utenti e gruppi.
Per ciascun gruppo, esamina i ruoli IAM predefiniti. Puoi aggiungere o rimuovere i ruoli assegnati a ciascun gruppo per soddisfare le esigenze specifiche della tua organizzazione.
Ogni ruolo contiene più autorizzazioni che consentono agli utenti di eseguire attività pertinenti. Per ulteriori informazioni sulle autorizzazioni in ciascun ruolo, consulta Riferimento ai ruoli IAM di base e predefiniti.
Quando è tutto pronto per assegnare i ruoli a ciascun gruppo, fai clic su Salva e concedi l'accesso.
Passaggi successivi
Configura la billing.
Fatturazione
In questa attività configurerai un account di fatturazione per pagare le risorse Google Cloud. Per farlo, devi associare uno dei seguenti elementi alla tua organizzazione.
Un account di fatturazione Cloud esistente. Se non hai accesso all'account, puoi richiederlo all'amministratore dell'account di fatturazione.
Un nuovo account di fatturazione Cloud.
Per ulteriori informazioni sulla fatturazione, consulta la documentazione di fatturazione Cloud.
Chi esegue questa attività
Una persona nel gruppo gcp-billing-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
- Crea o utilizza un account di fatturazione Cloud self-service esistente.
- Decidi se passare da un account self-service a un account con fatturazione.
- Configurare un account di fatturazione Cloud e un metodo di pagamento.
Perché consigliamo questa attività
Gli account di fatturazione Cloud sono collegati a uno o più progetti Google Cloud e vengono utilizzati per pagare le risorse che utilizzi, ad esempio macchine virtuali, networking e archiviazione.
Determinare il tipo di account di fatturazione
L'account di fatturazione che associ alla tua organizzazione è uno dei seguenti tipi.
Self-service (o online): registrati online utilizzando una carta di credito o di debito. Ti consigliamo questa opzione se sei una piccola impresa o un privato. Quando ti registri online per creare un account di fatturazione, il tuo account viene configurato automaticamente come account self-service.
Con fatturazione mensile non automatica (o offline). Se hai già un account con fatturazione self-service, potresti essere idonea a richiedere la fatturazione mensile non automatica se la tua attività soddisfa i requisiti di idoneità.
Non puoi creare un account con fatturazione mensile non automatica, ma puoi richiedere la conversione di un account self-service in un account con fatturazione mensile non automatica.
Per saperne di più, consulta Tipi di account di fatturazione Cloud.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
Configura l'account di fatturazione
Ora che hai scelto un tipo di account di fatturazione, associalo alla tua organizzazione. Al termine della procedura, potrai utilizzare il tuo account di fatturazione per pagare le risorse Google Cloud.
Accedi alla console Google Cloud come utente dal gruppo
gcp-billing-admins@YOUR_DOMAIN
.Vai a Configurazione di Google Cloud: Fatturazione.
Esamina la panoramica dell'attività e fai clic su Continua con la fatturazione.
Seleziona una delle seguenti opzioni per l'account di fatturazione:
Crea un nuovo account
Se la tua organizzazione non dispone di un account esistente, creane uno nuovo.
- Seleziona Voglio creare un nuovo account di fatturazione.
- Fai clic su Continua.
Seleziona il tipo di account di fatturazione da creare. Per la procedura dettagliata, consulta quanto segue:
- Per creare un nuovo account self-service, consulta l'articolo Creare un nuovo account di fatturazione Cloud self-service.
- Per passare alla fatturazione mensile non automatica di un account self-service esistente, consulta Richiedere la fatturazione mensile con fatturazione mensile.
Verifica che il tuo account di fatturazione sia stato creato:
Se hai creato un account con fatturazione mensile non automatica, attendi fino a 5 giorni lavorativi per ricevere la conferma via email.
Vai alla pagina Fatturazione.
Seleziona la tua organizzazione dall'elenco Seleziona da nella parte superiore della pagina. Se l'account è stato creato correttamente, viene visualizzato nell'elenco degli account di fatturazione.
Usa il mio account esistente
Se hai già un account di fatturazione, puoi associarlo alla tua organizzazione.
- Seleziona In questo elenco ho identificato un account di fatturazione che vorrei utilizzare per completare la procedura di configurazione.
- Nell'elenco a discesa Fatturazione, seleziona l'account che vuoi associare alla tua organizzazione.
- Fai clic su Continua.
- Esamina i dettagli e fai clic su Conferma account di fatturazione.
Utilizza l'account di un altro utente
Se un altro utente ha accesso a un account di fatturazione esistente, puoi chiedergli di associare l'account di fatturazione alla tua organizzazione oppure puoi concedere l'accesso per completare l'associazione.
- Seleziona Voglio utilizzare un account di fatturazione gestito da un altro account utente Google.
- Fai clic su Continua.
- Inserisci l'indirizzo email dell'amministratore dell'account di fatturazione.
- Fai clic su Contatta l'amministratore.
- Attendi che l'amministratore dell'account di fatturazione ti contatti per chiederti ulteriori istruzioni.
Passaggi successivi
Creare un'architettura iniziale
Gerarchia e accesso
In questa attività configurerai la gerarchia delle risorse creando e assegnando l'accesso alle seguenti risorse:
- Cartelle
- Fornisci un meccanismo di raggruppamento e limiti di isolamento tra i progetti. Ad esempio, le cartelle possono rappresentare i reparti principali dell'organizzazione, come la finanza o la vendita al dettaglio, o gli ambienti come quelli di produzione e non.
- Progetti
- Contenimento delle risorse Google Cloud, ad esempio macchine virtuali, database e bucket di archiviazione.
Per considerazioni sulla progettazione e best practice per organizzare le risorse nei progetti, vedi Decidere una gerarchia delle risorse per la tua zona di destinazione Google Cloud.
Chi esegue questa attività
Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi può eseguire questa attività.
Cosa fai in questa attività
- Crea una struttura gerarchica iniziale che includa cartelle e progetti.
- Imposta i criteri IAM per controllare l'accesso alle cartelle e ai progetti.
Perché consigliamo questa attività
La creazione di una struttura per cartelle e progetti consente di gestire le risorse Google Cloud e assegnare l'accesso in base al modo in cui opera la tua organizzazione. Ad esempio, puoi organizzare e fornire l'accesso alle risorse in base alla raccolta unica di regioni geografiche, strutture affiliate o framework di responsabilizzazione della tua organizzazione.
Pianifica la gerarchia delle risorse
La gerarchia delle risorse consente di creare limiti e condividere risorse all'interno dell'organizzazione per le attività comuni. Puoi creare la gerarchia utilizzando una delle seguenti configurazioni iniziali, in base alla struttura della tua organizzazione:
Ambiente semplice orientato all'ambiente:
- Isola gli ambienti come
Non-production
eProduction
. - Implementare criteri, requisiti normativi e controlli dell'accesso distinti in ogni cartella di ambiente.
- Ideale per piccole aziende con ambienti centralizzati.
- Isola gli ambienti come
Semplicità di gestione del team:
- Isola i team come
Development
eQA
. - Isola l'accesso alle risorse utilizzando le cartelle dell'ambiente figlio in ogni cartella del team.
- Ideale per piccole aziende con team autonomi.
- Isola i team come
Per l'ambiente:
- Dai la priorità all'isolamento di ambienti come
Non-production
eProduction
. - Sotto ogni cartella di ambiente, isola le unità aziendali.
- Isola i team sotto ogni business unit.
- Ideale per grandi aziende con ambienti centralizzati.
- Dai la priorità all'isolamento di ambienti come
Per unità aziendali:
- Dai la priorità all'isolamento di unità aziendali come
Human Resources
eEngineering
per assicurarti che gli utenti possano accedere solo alle risorse e ai dati di cui hanno bisogno. - Isola i team sotto ogni business unit.
- Sotto ogni team, isola gli ambienti.
- Ideale per grandi aziende con team autonomi.
- Dai la priorità all'isolamento di unità aziendali come
Ogni configurazione ha una cartella Common
per i progetti che contengono risorse condivise. Potrebbero essere inclusi i progetti di logging e monitoraggio.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
Configura cartelle e progetti iniziali
Seleziona la gerarchia di risorse che rappresenta la struttura organizzativa.
Per configurare cartelle e progetti iniziali, segui questi passaggi:
Accedi alla console Google Cloud come utente dal gruppo
gcp-organization-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.
Vai a Configurazione di Google Cloud: gerarchia e accesso.
Esamina la panoramica dell'attività e fai clic su Avvia accanto a Gerarchia delle risorse.
Seleziona una configurazione iniziale.
Fai clic su Continua e configura.
Personalizza la gerarchia delle risorse in modo che rifletta la struttura organizzativa. Ad esempio, puoi personalizzare quanto segue:
- Nomi delle cartelle.
Progetti di servizio per ogni team. Per concedere l'accesso ai progetti di servizio, puoi creare quanto segue:
- Un gruppo per ogni progetto di servizio.
- Utenti in ogni gruppo.
Per una panoramica dei progetti di servizio, consulta VPC condiviso.
Progetti necessari per il monitoraggio, il logging e il networking.
progetti personalizzati.
Fai clic su Continua.
Concedere l'accesso a cartelle e progetti
Nell'attività Accesso amministrativo, hai concesso l'accesso amministrativo ai gruppi a livello di organizzazione. In questa attività configurerai l'accesso ai gruppi che interagiscono con le cartelle e i progetti appena configurati.
Progetti, cartelle e organizzazioni hanno ciascuno i propri criteri IAM, che vengono ereditati tramite la gerarchia delle risorse:
- Organizzazione: i criteri si applicano a tutte le cartelle e a tutti i progetti nell'organizzazione.
- Cartella: i criteri si applicano ai progetti e ad altre cartelle all'interno della cartella.
- Progetto: i criteri si applicano solo al progetto e alle relative risorse.
Aggiorna i criteri IAM per le cartelle e i progetti:
Nella sezione Configura il controllo dell'accesso di Gerarchia e accesso, concedi ai gruppi l'accesso alle cartelle e ai progetti:
Esamina nella tabella l'elenco dei ruoli IAM consigliati concessi a ciascun gruppo per ogni risorsa.
Se vuoi modificare i ruoli assegnati a ciascun gruppo, fai clic su Modifica nella riga desiderata.
Per saperne di più su ciascun ruolo, consulta Ruoli IAM di base e predefiniti.
Fai clic su Continua.
Rivedi le modifiche e fai clic su Conferma configurazione di bozza.
Passaggi successivi
Networking
In questa attività imposterai la configurazione di networking iniziale, che potrai scalare in base alle tue esigenze.
Architettura del Virtual Private Cloud
Una rete Virtual Private Cloud (VPC) è una versione virtuale di una rete fisica implementata all'interno della rete di produzione di Google Una rete VPC è una risorsa globale composta da subnet (subnet) regionali.
Le reti VPC forniscono funzionalità di networking alle risorse Google Cloud, ad esempio istanze di macchine virtuali di Compute Engine, container GKE e istanze dell'ambiente flessibile di App Engine.
Un VPC condiviso connette le risorse di più progetti a una rete VPC comune in modo che possano comunicare tra loro utilizzando gli indirizzi IP interni della rete. Il seguente diagramma mostra l'architettura di base di una rete VPC condiviso con progetti di servizio associati.
Quando utilizzi un VPC condiviso, definisci un progetto host a cui colleghi uno o più progetti di servizio. Le reti Virtual Private Cloud nel progetto host sono chiamate reti VPC condiviso.
Il diagramma di esempio contiene progetti host di produzione e non di produzione, ciascuno dei quali contiene una rete VPC condiviso. Puoi usare un progetto host per gestire centralmente quanto segue:
- Route
- Firewall
- Connessioni VPN
- Subnet
Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Puoi condividere subnet, inclusi intervalli secondari, tra progetti host e di servizio.
In questa architettura, ogni rete VPC condiviso contiene subnet pubbliche e private:
- La subnet pubblica può essere utilizzata da istanze rivolte a internet per la connettività esterna.
- La subnet privata può essere utilizzata da istanze rivolte all'interno a cui non sono allocati indirizzi IP pubblici.
In questa attività creerai una configurazione di rete iniziale basata sullo schema di esempio.
Chi esegue questa attività
Per eseguire questa attività è necessaria una delle seguenti opzioni:
- Il ruolo
roles/compute.networkAdmin
. - Inclusione nel gruppo
gcp-network-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Crea una configurazione di rete iniziale, inclusa quanto segue:
- Crea più progetti host che riflettano i tuoi ambienti di sviluppo.
- Creare una rete VPC condiviso in ogni progetto host per consentire a risorse distinte di condividere la stessa rete.
- Creare subnet distinte in ogni rete VPC condiviso per fornire l'accesso di rete ai progetti di servizio.
Perché consigliamo questa attività
Team distinti possono utilizzare il VPC condiviso per connettersi a una rete VPC comune gestita centralmente.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.
Configurare l'architettura di rete
Crea la configurazione di rete iniziale con due progetti host per segmentare carichi di lavoro di produzione e non di produzione. Ogni progetto host contiene una rete VPC condiviso, che può essere utilizzata da più progetti di servizio. Potrai configurare i dettagli della rete ed eseguire il deployment di un file di configurazione in un'attività successiva.
Per configurare la rete iniziale, segui questi passaggi.
Accedi alla console Google Cloud come utente dal gruppo
gcp-organization-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona un'organizzazione nella parte superiore della pagina.
Vai a Configurazione di Google Cloud: networking.
Esamina l'architettura di rete predefinita.
Per modificare il nome della rete, procedi nel seguente modo:
- Fai clic su more_vert Azioni
- Seleziona Modifica nome rete.
- Nel campo Nome rete, inserisci lettere minuscole, numeri o trattini. Il nome della rete non può contenere più di 25 caratteri.
- Fai clic su Salva.
Modifica i dettagli del firewall
Le regole firewall predefinite nel progetto host si basano sulle best practice consigliate. Per informazioni generali sulle regole firewall, vedi Regole firewall VPC.
Per modificare le impostazioni del firewall:
Fai clic su more_vert Azioni.
Seleziona Modifica regole firewall.
Per informazioni dettagliate su ciascuna regola firewall predefinita, consulta Regole precompilate nella rete predefinita.
Per disabilitare una regola firewall, deseleziona la casella di controllo corrispondente.
Per disattivare il logging delle regole firewall, fai clic su Off.
Per impostazione predefinita, il traffico da e verso le istanze di Compute Engine viene registrato a scopo di controllo. Questo processo prevede costi. Per maggiori informazioni, consulta Logging delle regole firewall.
Fai clic su Salva.
Modifica dettagli subnet
Ogni rete VPC contiene almeno una subnet, ovvero una risorsa di regione con un intervallo di indirizzi IP associato. In questa configurazione multiregionale, devi avere almeno due subnet con intervalli IP non sovrapposti.
Per ulteriori informazioni, consulta la sezione Subnet.
Ogni subnet è configurata utilizzando le best practice consigliate. Se vuoi personalizzare ogni subnet:
- Fai clic su more_vert Azioni
- Seleziona Modifica subnet.
- Nel campo Nome, inserisci lettere minuscole, numeri o trattini. Il nome della subnet non può contenere più di 25 caratteri.
Nel menu a discesa Regione, seleziona una regione vicina al tuo punto di servizio.
Consigliamo una regione diversa per ogni subnet. Non puoi cambiare la regione dopo aver eseguito il deployment della configurazione. Per informazioni sulla scelta di una regione, consulta Risorse regionali.
Nel campo Intervallo di indirizzi IP, inserisci un intervallo in notazione CIDR, ad esempio 10.0.0.0/24.
L'intervallo inserito non deve sovrapporsi ad altre subnet in questa rete. Per informazioni sugli intervalli validi, consulta Intervalli di subnet IPv4.
Ripeti questi passaggi per la subnet 2.
Per configurare altre subnet in questa rete, fai clic su Aggiungi subnet e ripeti questi passaggi.
Fai clic su Salva.
Le subnet vengono configurate automaticamente in base alle best practice. Se vuoi modificare la configurazione, nella pagina Configurazione di Google Cloud: reti VPC, segui questi passaggi:
Per disattivare Log di flusso VPC, seleziona Off dalla colonna Log di flusso.
Quando i log di flusso sono attivi, ogni subnet registra i flussi di rete che puoi analizzare per sicurezza, ottimizzazione delle spese e altri scopi. Per ulteriori informazioni, consulta Utilizzare i log di flusso VPC.
I log di flusso VPC comportano costi. Per ulteriori informazioni, consulta i prezzi di Virtual Private Cloud.
Per disattivare l'accesso privato Google, seleziona Off nella colonna Accesso privato.
Quando l'accesso privato Google è attivo, le istanze VM che non hanno indirizzi IP esterni possono raggiungere le API e i servizi Google. Per ulteriori informazioni, consulta la sezione Accesso privato Google.
Per attivare Cloud NAT, seleziona On dalla colonna Cloud NAT.
Quando Cloud NAT è attivo, determinate risorse possono creare connessioni in uscita verso internet. Per ulteriori informazioni, consulta la panoramica di Cloud NAT.
Cloud NAT comporta dei costi. Per saperne di più, consulta i prezzi di Virtual Private Cloud.
Fai clic su Continua per collegare i progetti di servizio.
Collega i progetti di servizio ai progetti host
Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Questo allegato consente al progetto di servizio di partecipare al VPC condiviso. Ogni progetto di servizio può essere gestito e amministrato da reparti o team diversi per creare una separazione delle responsabilità.
Per ulteriori informazioni sulla connessione di più progetti a una rete VPC comune, consulta Panoramica del VPC condiviso.
Per collegare i progetti di servizio ai progetti host e completare la configurazione:
Per ogni subnet nella tabella Reti VPC condivise, seleziona un progetto di servizio da connettere. Per farlo, seleziona dal menu a discesa Seleziona un progetto nella colonna Progetto di servizio.
Puoi connettere un progetto di servizio a più subnet.
Fai clic su Continua con la revisione.
Rivedi la configurazione e apporta le modifiche.
Puoi apportare modifiche fino a quando non esegui il deployment del file di configurazione.
Fai clic su Conferma configurazione di bozza. La configurazione di rete viene aggiunta al file di configurazione.
Il deployment della rete non viene eseguito finché non esegui il deployment del file di configurazione in un'attività successiva.
Passaggi successivi
Configura una posizione centrale per l'archiviazione e l'analisi dei dati dei log.
Centralizza logging
In questa attività configurerai Cloud Logging per instradare i log dai progetti della tua organizzazione a un bucket di log centrale.
Chi esegue questa attività
Devi disporre di una delle seguenti licenze:
- Il ruolo Amministratore Logging (
roles/logging.admin
). - Appartenenza al gruppo
gcp-logging-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Organizza a livello centrale i log creati nei progetti dell'organizzazione per favorire la sicurezza, il controllo e la conformità.
Perché consigliamo questa attività
La configurazione dell'archiviazione e della conservazione dei log semplifica l'analisi e preserva l'audit trail.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.
Organizzare il logging a livello centrale
Cloud Logging ti consente di archiviare, cercare, analizzare, monitorare e creare avvisi su dati di log ed eventi di Google Cloud. Puoi anche raccogliere ed elaborare i log di applicazioni, risorse on-premise e altri cloud. Per una panoramica su come Logging esegue il routing e l'archiviazione dei log, consulta Panoramica del routing e dell'archiviazione.
Per archiviare i dati di log in un bucket di log centrale:
Accedi alla console Google Cloud come utente dal gruppo
gcp-logging-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.
Vai a Configurazione di Google Cloud: centralizza il logging.
Esamina la panoramica dell'attività e fai clic su Avvia configurazione del logging.
Esamina i dettagli dell'attività.
Per eseguire il routing dei log su un bucket di log centrale, assicurati che l'opzione Archivia gli audit log dell'attività di amministrazione a livello di organizzazione in un bucket di log sia selezionata.
Nel campo Nome bucket di log, inserisci un nome per il bucket di log centrale.
Nell'elenco Regione bucket di log, seleziona la regione in cui sono archiviati i tuoi dati di log.
Per ulteriori informazioni, consulta la sezione Località dei bucket di log.
Consigliamo di archiviare i log per 365 giorni. Per personalizzare il periodo di conservazione, inserisci il numero di giorni nel campo Periodo di conservazione.
I log archiviati per più di 30 giorni sono soggetti a un costo di conservazione. Per saperne di più, consulta il riepilogo dei prezzi di Cloud Logging.
Fai clic su Continua.
Esamina i dettagli di configurazione del router dei log e fai clic su Conferma configurazione di bozza.
Il deployment della configurazione di logging non viene eseguito finché non esegui il deployment della configurazione in un'attività successiva.
Passaggi successivi
Esegui il deployment della configurazione, che include le impostazioni relative alla gerarchia e all'accesso, alla rete e al logging.
Esegui il deployment delle tue impostazioni
Esegui il deployment o scarica
Quando completi il processo di configurazione di Google Cloud, le impostazioni delle attività seguenti vengono compilate in file di configurazione Terraform:
Per applicare le impostazioni, rivedi le selezioni e scegli un metodo di deployment.
Chi esegue questa attività
Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Esegui il deployment dei file di configurazione per applicare le impostazioni di configurazione.
Perché consigliamo questa attività
Per applicare le impostazioni selezionate, devi eseguire il deployment dei file di configurazione.
Prima di iniziare
Devi completare le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.
Consigliamo le seguenti attività:
- Configura la rete iniziale nell'attività Networking.
- Consolida i dati dei log in un'unica posizione nell'attività Centralizza il logging.
Rivedi i dettagli di configurazione
Per assicurarti che le impostazioni di configurazione siano complete:
Accedi alla console Google Cloud come utente dal gruppo
gcp-organization-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.
Vai a Configurazione di Google Cloud: deployment o download.
Rivedi le impostazioni di configurazione che hai selezionato. Fai clic su una delle seguenti schede e verifica le impostazioni:
- Gerarchia e accesso delle risorse
- Networking
- Logging
Esegui il deployment della configurazione
Ora che hai esaminato i dettagli della configurazione, utilizza una delle seguenti opzioni:
Esegui il deployment direttamente dalla console: utilizza questa opzione se non hai un flusso di lavoro di deployment Terraform e vuoi un metodo di deployment semplice. Puoi eseguire il deployment utilizzando questo metodo solo una volta.
Scarica ed esegui il deployment del file Terraform: utilizza questa opzione se vuoi automatizzare la gestione delle risorse mediante un flusso di lavoro di deployment Terraform. Puoi eseguire il download e il deployment utilizzando questo metodo più volte.
Esegui il deployment utilizzando una delle seguenti opzioni:
Esegui il deployment direttamente
Se non disponi di un flusso di lavoro Terraform esistente e vuoi un deployment semplice una tantum, puoi eseguire il deployment direttamente dalla console.
Fai clic su Esegui il deployment direttamente.
Attendi alcuni minuti per il completamento del deployment.
Se il deployment non riesce:
- Per tentare nuovamente il deployment, fai clic su Riprova processo.
- Se il deployment non riesce dopo più tentativi, puoi contattare un amministratore per ricevere assistenza. A questo scopo, fai clic su Contatta l'amministratore dell'organizzazione.
Download e deployment
Se vuoi eseguire l'iterazione del deployment utilizzando il flusso di lavoro del deployment Terraform, scarica ed esegui il deployment dei file di configurazione.
Per scaricare il file di configurazione, fai clic su Scarica come Terraform.
Il pacchetto scaricato contiene file di configurazione Terraform basati sulle impostazioni selezionate nelle attività seguenti:
- Gerarchia e accesso
- Networking
- Centralizza il logging
Se vuoi eseguire il deployment solo di file di configurazione pertinenti alle tue responsabilità, puoi evitare di scaricare file non pertinenti. Per farlo, deseleziona le caselle di controllo relative ai file di configurazione che non ti servono.
Fai clic su Scarica. Un pacchetto
terraform.tar.gz
che include i file selezionati viene scaricato nel tuo file system locale.Per la procedura dettagliata di deployment, vedi Eseguire il deployment degli elementi di base utilizzando Terraform scaricato dalla console.
Passaggi successivi
Applica impostazioni di sicurezza e assistenza
Monitoraggio
Cloud Monitoring viene configurato automaticamente per i tuoi progetti Google Cloud. In questa attività scoprirai le best practice facoltative per il monitoraggio.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
Chi esegue questa attività
Una persona nel gruppo gcp-monitoring-admins@YOUR_DOMAIN
che hai creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Esaminare e implementare le best practice facoltative per il monitoraggio.
Perché consigliamo questa attività
Puoi implementare le best practice di monitoraggio per:
- Agevola la collaborazione tra gli utenti che monitorano la tua organizzazione.
- Monitora la tua infrastruttura Google Cloud in un unico posto.
- Raccogli metriche e log delle applicazioni importanti.
Esaminare e implementare le best practice per il monitoraggio
Cloud Monitoring raccoglie metriche, eventi e metadati da servizi Google Cloud, monitor sintetici, strumentazione delle applicazioni e altri componenti di applicazioni comuni. Cloud Monitoring viene configurato automaticamente per i tuoi progetti Google Cloud.
In questa attività puoi implementare le best practice seguenti per utilizzare la configurazione predefinita di Cloud Monitoring.
Per facilitare la collaborazione, crea un criterio dell'organizzazione che conceda il ruolo Visualizzatore Monitoring a ogni entità dell'organizzazione per ogni progetto.
Per monitorare l'infrastruttura Google Cloud in un unico posto, configura un progetto in modo che legga le metriche di più progetti Google Cloud utilizzando gli ambiti delle metriche.
Per raccogliere metriche e log delle applicazioni per le macchine virtuali:
- Per Compute Engine, installa Ops Agent.
- Per Google Kubernetes Engine (GKE), configura Google Cloud Managed Service per Prometheus.
Passaggi successivi
Sicurezza
In questa attività configurerai le impostazioni di sicurezza e i prodotti per proteggere la tua organizzazione.
Chi esegue questa attività
Per completare questa attività devi avere una delle seguenti opzioni:
- I ruoli Amministratore criteri dell'organizzazione (
roles/orgpolicy.policyAdmin
) e Amministratore Centro sicurezza (roles/securitycenter.admin
). - Appartenenza al gruppo
gcp-organization-admins@<your-domain>.com
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Applica i criteri dell'organizzazione consigliati in base alle seguenti categorie:
- Gestione degli accessi.
- Comportamento dell'account di servizio.
- Configurazione della rete VPC.
Puoi inoltre abilitare Security Command Center per centralizzare la segnalazione di vulnerabilità e minacce.
Perché consigliamo questa attività
L'applicazione dei criteri dell'organizzazione consigliati consente di limitare le azioni degli utenti che non sono in linea con la tua strategia di sicurezza.
L'abilitazione di Security Command Center consente di creare una località centrale per analizzare vulnerabilità e minacce.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività di Accesso amministrativo.
Applica i criteri dell'organizzazione consigliati
I criteri dell'organizzazione si applicano a livello di organizzazione e sono ereditati da cartelle e progetti. In questa attività, esamina e applica l'elenco dei criteri consigliati. Puoi modificare i criteri dell'organizzazione in qualsiasi momento. Per ulteriori informazioni, vedi l'introduzione al servizio Criteri dell'organizzazione.
Accedi alla console Google Cloud con un utente del gruppo
gcp-organization-admins@<your-domain>.com
che hai creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dal menu a discesa Seleziona da nella parte superiore della pagina.
Vai a Configurazione di Google Cloud: Sicurezza.
Esamina la panoramica dell'attività e fai clic su Continua la sicurezza.
Esamina l'elenco dei criteri dell'organizzazione consigliati. Se non vuoi applicare una norma consigliata, fai clic sulla relativa casella di controllo per rimuoverla.
Per una spiegazione dettagliata di ciascun criterio dell'organizzazione, vedi Vincoli dei criteri dell'organizzazione.
Centralizza la segnalazione di vulnerabilità e minacce
Per centralizzare i servizi di segnalazione delle vulnerabilità e delle minacce, abilita Security Command Center. Questo ti aiuta a rafforzare la tua strategia di sicurezza e a mitigare i rischi. Per saperne di più, consulta la panoramica di Security Command Center.
Nella pagina Configurazione di Google Cloud: Sicurezza, in Security Command Center, assicurati che la casella di controllo Abilita Security Command Center: Standard sia selezionata.
Questa attività attiva il livello Standard gratuito. Puoi eseguire l'upgrade alla versione Premium in un secondo momento. Per saperne di più, vedi Livelli di servizio di Security Command Center.
Fai clic su Applica i criteri dell'organizzazione e Security Command Center.
Passaggi successivi
Assistenza
In questa attività, sceglierai un piano di assistenza adatto alle tue esigenze aziendali.
Chi esegue questa attività
Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Scegli un piano di assistenza in base alle esigenze della tua azienda.
Perché consigliamo questa attività
Un piano di assistenza premium offre supporto business-critical per risolvere rapidamente i problemi con l'aiuto degli esperti di Google Cloud.
Scegli un'opzione di assistenza
Ricevi automaticamente l'assistenza di base gratuita, che include l'accesso alle seguenti risorse:
Consigliamo ai clienti aziendali di registrarsi per l'Assistenza Premium, che offre assistenza tecnica individuale con i tecnici dell'Assistenza Google. Per confrontare i piani di assistenza, consulta l'assistenza clienti Google Cloud.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
- Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
- Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.
Attiva il supporto
Identifica e seleziona un'opzione di supporto.
Esamina e seleziona un piano di assistenza. Per ulteriori informazioni, consulta Assistenza clienti Google Cloud.
Accedi alla console Google Cloud con un utente del gruppo
gcp-organization-admins@<your-domain>.com
che hai creato nell'attività Utenti e gruppi.Vai a Configurazione di Google Cloud: Assistenza.
Esamina i dettagli dell'attività e fai clic su Visualizza le offerte di assistenza per selezionare un'opzione di assistenza.
Dopo aver configurato l'opzione di assistenza, torna alla pagina Configurazione di Google Cloud: Assistenza e fai clic su Contrassegna l'attività come completata.
Passaggi successivi
Ora che hai completato la configurazione di Google Cloud, puoi estendere la configurazione iniziale, eseguire il deployment di soluzioni predefinite ed eseguire la migrazione dei flussi di lavoro esistenti. Per ulteriori informazioni, consulta Estendi la configurazione iniziale e inizia a creare.