在 Google Cloud上開發應用程式和工作負載時,您會建立下列資源類型:
- 容器資源可協助您整理及控管存取權。這些資源包括機構、資料夾和專案。
- 服務資源是構成Google Cloud 產品和服務的基本元件。這些資源包括 Compute Engine 虛擬機器 (VM) 和 Google Kubernetes Engine 叢集。
您可以使用容器資源,在階層中整理服務資源。這個結構有助於您建立擁有權及控管存取權。
以階層方式整理及管理
如要隔離資源並限制使用者存取權,您可以將資源分組並以單一單位管理。您可以使用下列結構 (又稱資源階層) 執行這項操作:
- 機構:代表貴公司,是資源階層的根目錄。
- 資料夾:選用的分組機制,可用來隔離專案群組。例如,您可以為法律實體、部門或團隊建立資料夾。
- 專案:基礎層級的機構實體,包含您的服務資源。
如要詳細瞭解資源階層,請參閱「資源階層」。
如要瞭解如何使用資源階層管理存取權,請參閱「使用資源階層控管存取權限」。
機構:建立階層的根
機構是階層架構的根節點,您可以在這個節點下建立所有其他資源。您套用至機構的存取權政策,也會套用至所有其他資源。也就是說,您可以在機構層級套用存取權控管,不必在所有專案中重複管理相同的控管措施。
建立機構資源後,基礎專案會屬於機構,而不是建立專案的使用者。也就是說,即使移除使用者,專案及其基礎資源仍可繼續存在。
資料夾:隔離專案群組
您可以使用資料夾,為專案劃定明確的分界。舉例來說,您可以為部門或團隊建立不同的專案集合。資料夾中可包含專案和子資料夾。您可以套用存取權控管,確保某個團隊的使用者無法存取指派給其他團隊的資料夾中的資源。
專案:隔離資源
Google Cloud 資源必須屬於專案,專案是整理資源的實體,可協助您隔離及控管資源存取權。舉例來說,您可能會為開發和正式環境建立不同的專案。
專案包含設定、權限和其他描述應用程式的中繼資料。單一專案中的資源可藉由多種方式共同運作 (例如透過內部網路通訊),但須符合區域和可用區的規則。如要讓專案存取其他專案的資源,必須使用共用虛擬私有雲或虛擬私有雲網路對等互連。
命名及參照專案
您可以使用 ID 在指令和 API 呼叫中參照專案。每個Google Cloud 專案都有下列 ID:
- 專案名稱:您提供的名稱。
- 專案 ID:您可以提供這個 ID,也可以由 Google Cloud 為您提供。每個專案 ID 在 Google Cloud中都是不重複的。刪除專案後,該專案的 ID 就無法再使用了。
- 專案編號:由 Google Cloud提供。
詳情請參閱「建立及管理專案」。