Man mano che sviluppi le tue applicazioni e i tuoi workload su Google Cloud, crei i seguenti tipi di risorse:
- Le risorse container ti aiutano a organizzare e controllare l'accesso. Queste risorse includono organizzazioni, cartelle e progetti.
- Le risorse di servizio sono i componenti fondamentali che costituiscono i prodotti e i serviziGoogle Cloud . Queste risorse includono macchine virtuali (VM) Compute Engine e cluster Google Kubernetes Engine.
Utilizzi le risorse contenitore per organizzare le risorse del servizio in una gerarchia. Questa struttura ti aiuta a stabilire la proprietà e controllare l'accesso.
Organizzare e gestire in modo gerarchico
Per isolare le risorse l'una dall'altra e limitare l'accesso agli utenti, puoi raggruppare e gestire le risorse come un'unica unità. A questo scopo, utilizza la seguente struttura, nota come gerarchia delle risorse:
- Organizzazione: rappresenta la tua azienda e funge da radice della gerarchia di risorse.
- Cartelle: un meccanismo di raggruppamento facoltativo che puoi utilizzare per isolare gruppi di progetti. Ad esempio, potresti creare cartelle per persone giuridiche, reparti o team.
- Progetti: l'entità organizzativa di livello base che contiene le risorse del servizio.
Per una panoramica dettagliata della gerarchia delle risorse, consulta Gerarchia delle risorse.
Per scoprire come utilizzare la gerarchia delle risorse per gestire l'accesso, consulta Utilizzo della gerarchia delle risorse per il controllo dell'accesso.
Organizzazione: crea la radice della gerarchia
Un'organizzazione è il nodo radice della gerarchia, in cui crei tutte le altre risorse. Le policy di accesso che applichi alla tua organizzazione vengono applicate a tutte le altre risorse. Ciò significa che puoi applicare un controllo dell'accesso dell'accesso a livello di organizzazione anziché duplicare e gestire lo stesso controllo in tutti i progetti.
Quando crei una risorsa organizzazione, i progetti sottostanti appartengono all'organizzazione, anziché agli utenti che li creano. Ciò significa che i progetti e le relative risorse sottostanti possono continuare a esistere, anche se un utente viene rimosso.
Cartelle: isolare gruppi di progetti
Puoi utilizzare le cartelle per creare limiti di isolamento tra i progetti. Ad esempio, potresti avere raccolte di progetti distinte per reparto o team. Le cartelle possono contenere progetti e sottocartelle. Puoi applicare controlli dell'accesso per assicurarti che gli utenti di un team non possano accedere alle risorse nelle cartelle assegnate a un altro team.
Progetti: isolare le risorse
Le risorseGoogle Cloud devono appartenere a un progetto, che è un'entità organizzativa che ti aiuta a isolare e controllare l'accesso alle risorse. Ad esempio, puoi creare progetti distinti per gli ambienti di sviluppo e produzione.
Un progetto contiene impostazioni, autorizzazioni e altri metadati che descrivono le tue applicazioni. Le risorse all'interno di un singolo progetto possono collaborare comunicando tramite una rete interna, nel rispetto delle regole relative a regioni e zone. Un progetto non può accedere alle risorse di un altro progetto a meno che non utilizzi il VPC condiviso o il peering di rete VPC.
Assegnare un nome ai progetti e farvi riferimento
Utilizzi gli identificatori per fare riferimento ai tuoi progetti nei comandi e nelle chiamate API. Ogni progetto Google Cloud ha i seguenti identificatori:
- Nome progetto: un nome che fornisci.
- ID progetto: un identificatore che puoi fornire o che Google Cloud può fornire per te. Ogni ID progetto è univoco in Google Cloud. Dopo aver eliminato un progetto, il suo ID non potrà mai più essere utilizzato.
- Numero di progetto: fornito da Google Cloud.
Per saperne di più, consulta la pagina Creare e gestire progetti.