Questa pagina descrive la gerarchia delle risorse di Google Cloud e le risorse che possono essere gestite utilizzando Resource Manager.
Lo scopo della gerarchia delle risorse Google Cloud è duplice:
- Fornisce una gerarchia di proprietà, che associa il ciclo di vita di una risorsa all'elemento padre immediato nella gerarchia.
- Fornisci punti di collegamento e l'ereditarietà per i criteri dell'organizzazione e controllo dell'accesso dell'accesso.
Per estensione, la gerarchia delle risorse di Google Cloud assomiglia al file system dei sistemi operativi tradizionali come metodo per organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha un solo elemento padre. Questa organizzazione gerarchica delle risorse ti consente di impostare i criteri di controllo degli accessi e le impostazioni di configurazione su una risorsa principale, in modo che i criteri e le impostazioni IAM (Identity and Access Management) vengano ereditati dalle risorse secondarie.
Gerarchia delle risorse Google Cloud in dettaglio
Le risorse Google Cloud sono organizzate in modo gerarchico. Tutte le risorse, tranne la risorsa più alta in una gerarchia, hanno un solo elemento padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali di tutti i servizi Google Cloud. Alcuni esempi di risorse di servizio sono VM (macchine virtuali) Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, istanze App Engine. Tutte queste risorse di livello inferiore hanno come elementi principali le risorse del progetto, che rappresentano il primo meccanismo di raggruppamento della gerarchia delle risorse Google Cloud.
Tutti gli utenti, inclusi quelli con prova gratuita, con livello gratuito e clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del programma Google Cloud Free possono creare solo risorse di progetto e risorse di servizio all'interno dei progetti. Le risorse del progetto possono essere al vertice della gerarchia, ma solo se create da un utente con prova gratuita o con un livello gratuito. I clienti di Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse Google Cloud, come le risorse organizzazione e cartella. Scopri di più nella panoramica di Cloud Identity. Le risorse di progetto nella parte superiore della gerarchia non hanno risorse di primo livello, ma è possibile eseguirne la migrazione in una risorsa dell'organizzazione dopo che è stata creata per il dominio. Per ulteriori dettagli sulla migrazione delle risorse di progetto, consulta Migrazione delle risorse di progetto.
I clienti di Google Workspace e Cloud Identity possono creare risorse per le organizzazioni. Ogni account Google Workspace o Cloud Identity è associato a una risorsa dell'organizzazione. Quando esiste una risorsa organizzazione, si trova nella parte superiore della gerarchia delle risorse Google Cloud e tutte le risorse che appartengono a un'organizzazione sono raggruppate nella risorsa organizzazione. In questo modo, puoi avere visibilità e controllo centralizzati su ogni risorsa che appartiene a una risorsa dell'organizzazione.
Le risorse delle cartelle sono un ulteriore meccanismo di raggruppamento facoltativo tra le risorse dell'organizzazione e le risorse del progetto. Una risorsa organizzazione è obbligatoria come prerequisito per utilizzare le cartelle. Le risorse delle cartelle e le relative risorse dei progetti secondari sono mappate nella risorsa dell'organizzazione.
La gerarchia delle risorse Google Cloud, in particolare nella sua forma più completa, che include una risorsa organizzazione e risorse cartella, consente alle aziende di mappare la risorsa organizzazione su Google Cloud e fornisce punti di collegamento logici per i criteri di gestione degli accessi (IAM) e i criteri dell'organizzazione. Sia i criteri IAM sia i criteri dell'organizzazione vengono ereditati tramite la gerarchia e il criterio effettivo per ogni risorsa nella gerarchia è il risultato dei criteri applicati direttamente alla risorsa e dei criteri ereditati dai suoi antenati.
Il diagramma riportato di seguito mostra un esempio di gerarchia di risorse Google Cloud nella sua forma completa:
La risorsa dell'organizzazione
La risorsa organizzazione rappresenta un'organizzazione (ad esempio un'azienda) ed è il nodo radice della gerarchia delle risorse Google Cloud, se presente. La risorsa organizzazione è l'antenato gerarchico delle risorse di cartelle e progetti. I criteri di controllo dell'accesso IAM applicati alla risorsa dell'organizzazione si applicano a tutta la gerarchia e a tutte le risorse dell'organizzazione.
Gli utenti di Google Cloud non sono tenuti a disporre di una risorsa dell'organizzazione, ma alcune funzionalità di Resource Manager non saranno utilizzabili senza una risorsa. La risorsa Organizzazione è strettamente associata a un account Google Workspace o Cloud Identity. Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa del progetto Google Cloud, viene eseguito automaticamente il provisioning di una risorsa organizzazione.
Per un account Google Workspace o Cloud Identity può essere eseguito il provisioning di esattamente una risorsa organizzazione. Una volta creata una risorsa organizzazione per un dominio, per impostazione predefinita tutte le nuove risorse del progetto Google Cloud create dai membri del dominio dell'account apparterranno alla risorsa organizzazione. Quando un utente gestito crea una risorsa di progetto, il requisito è che deve trovarsi in qualche risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni necessarie, il progetto viene assegnato a quell'organizzazione. In caso contrario, verrà utilizzata per impostazione predefinita la risorsa dell'organizzazione a cui è associato l'utente. È impossibile per gli account associati a una risorsa dell'organizzazione creare risorse di progetto non associate a una risorsa dell'organizzazione.
Eseguire il collegamento con gli account Google Workspace o Cloud Identity
Per semplicità, ci riferiremo a Google Workspace per indicare sia gli utenti di Google Workspace sia quelli di Cloud Identity.
L'account Google Workspace o Cloud Identity rappresenta un'azienda ed è un prerequisito per avere accesso alla risorsa dell'organizzazione. Nel contesto di Google Cloud, fornisce gestione delle identità, meccanismo di recupero, proprietà e gestione del ciclo di vita. L'immagine seguente mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorse Google Cloud.
Il super amministratore di Google Workspace è la persona responsabile della verifica della proprietà del dominio e il contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare i ruoli IAM per impostazione predefinita. Il compito principale del super amministratore di Google Workspace rispetto a Google Cloud è assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati nel proprio dominio. In questo modo verrà creata la separazione tra le responsabilità di amministrazione di Google Workspace e Google Cloud che gli utenti in genere cercano.
Vantaggi della risorsa dell'organizzazione
Con una risorsa dell'organizzazione, le risorse del progetto appartengono alla tua organizzazione instead of al dipendente che ha creato il progetto. Ciò significa che le risorse del progetto non vengono più eliminate quando un dipendente lascia l'azienda, ma seguiranno il ciclo di vita della risorsa dell'organizzazione su Google Cloud.
Inoltre, gli amministratori dell'organizzazione hanno il controllo centralizzato di tutte le risorse. Possono visualizzare e gestire tutte le risorse di progetto della tua azienda. Questa applicazione significa che non possono più esserci progetti in ombra o amministratori non autorizzati.
Inoltre, puoi concedere ruoli a livello di organizzazione, che vengono ereditati da tutte le risorse di progetti e cartelle all'interno della risorsa dell'organizzazione. Ad esempio, puoi assegnare il ruolo Amministratore di rete al team di networking a livello di organizzazione, consentendogli di gestire tutte le reti in tutte le risorse del progetto della tua azienda, anziché concedere il ruolo per tutte le singole risorse del progetto.
Una risorsa organizzazione esposta dall'API Cloud Resource Manager è composta da quanto segue:
- Un ID risorsa dell'organizzazione, che è un identificatore univoco di un'organizzazione.
- Un nome visualizzato, generato dal nome di dominio principale in Google Workspace o Cloud Identity.
- La data e l'ora di creazione della risorsa organizzazione.
- L'ora dell'ultima modifica della risorsa dell'organizzazione.
- Il proprietario della risorsa dell'organizzazione. Il proprietario viene specificato al momento della creazione della risorsa dell'organizzazione. Una volta impostato, non può essere modificato. Si tratta dell'ID cliente Google Workspace specificato nell'API Directory.
Il seguente snippet di codice mostra la struttura di una risorsa dell'organizzazione:
{
"creationTime": "2020-01-07T21:59:43.314Z",
"displayName": "my-organization",
"lifecycleState": "ACTIVE",
"name": "organizations/34739118321",
"owner": {
"directoryCustomerId": "C012ba234"
}
}
Il criterio IAM iniziale per una risorsa dell'organizzazione appena creata concede i ruoli Autore progetto e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come facevano prima dell'esistenza della risorsa dell'organizzazione. Quando viene creata una risorsa dell'organizzazione, non vengono create altre risorse.
La risorsa della cartella
Le risorse cartella forniscono facoltativamente un ulteriore meccanismo di raggruppamento e limiti di isolamento tra i progetti. Possono essere considerate organizzazioni secondarie all'interno della risorsa dell'organizzazione. Le risorse di cartelle possono essere utilizzate per modellare diverse persone giuridiche, reparti e team all'interno di un'azienda. Ad esempio, si può utilizzare un primo livello di risorse cartella per rappresentare i reparti principali della risorsa dell'organizzazione. Poiché le risorse cartella possono contenere risorse progetto e altre cartelle, ogni risorsa cartella potrebbe includere altre sottocartelle per rappresentare i vari team. La cartella di ogni team potrebbe contenere altre sottocartelle per rappresentare varie applicazioni. Per maggiori dettagli sull'utilizzo delle risorse cartella, consulta Creare e gestire le risorse cartella.
Se nella risorsa dell'organizzazione esistono risorse di cartelle e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle dalla console Google Cloud. Per istruzioni più dettagliate, consulta Visualizzare o elencare le risorse di cartelle e progetti.
Le risorse delle cartelle consentono la delega dei diritti di amministrazione. Quindi, ad esempio, a ogni responsabile di reparto può essere concessa la piena proprietà di tutte le risorse Google Cloud che appartengono ai suoi reparti. Analogamente, è possibile limitare l'accesso alle risorse in base alla risorsa della cartella, in modo che gli utenti di un reparto possano creare risorse Google Cloud e accedervi solo all'interno di quella risorsa della cartella.
Il seguente snippet di codice mostra la struttura di una risorsa cartella:
{
"createTime": "2030-01-07T21:59:43.314Z",
"displayName": "Engineering",
"lifecycleState": "ACTIVE",
"name": "folders/634792535758",
"parent": "organizations/34739118321"
}
Come le risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di eredita delle norme per i criteri IAM e dell'organizzazione. I ruoli IAM concessi a una risorsa di cartella vengono ereditati automaticamente da tutte le risorse di progetto e cartella incluse nella cartella.
La risorsa del progetto
La risorsa progetto è l'entità di organizzazione di base. Le risorse dell'organizzazione e delle cartelle possono contenere più progetti. Per utilizzare Google Cloud è necessaria una risorsa progetto, che costituisce la base per creare, abilitare e utilizzare tutti i servizi Google Cloud, gestire le API, attivare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.
Tutte le risorse del progetto sono costituite da:
- Due identificatori:
- ID risorsa progetto, che è un identificatore univoco per la risorsa del progetto.
- Numero della risorsa del progetto, che viene assegnato automaticamente quando crei il progetto. È di sola lettura.
- Un nome visualizzato modificabile.
- Lo stato del ciclo di vita della risorsa del progetto, ad esempio ACTIVE o DELETE_REQUESTED.
- Una raccolta di etichette che possono essere utilizzate per filtrare i progetti.
- L'ora in cui è stata creata la risorsa del progetto.
Il seguente snippet di codice mostra la struttura di una risorsa del progetto:
{
"createTime": "2020-01-07T21:59:43.314Z",
"lifecycleState": "ACTIVE",
"name": "my-project",
"parent": {
"id": "634792535758",
"type": "folder"
},
"projectId": "my-project",
"labels": {
"my-label": "prod"
},
"projectNumber": "464036093014"
}
Per interagire con la maggior parte delle risorse Google Cloud, devi fornire le informazioni identificative della risorsa del progetto per ogni richiesta. Puoi identificare
una risorsa di progetto in due modi: tramite un ID risorsa di progetto o un numero
della risorsa di progetto (projectId
e projectNumber
nello snippet di codice).
Un ID risorsa progetto è il nome personalizzato che hai scelto quando hai creato la risorsa progetto. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di creare una risorsa di progetto o di selezionarne una utilizzando il relativo ID. Tieni presente che la stringa name
, visualizzata nell'UI, non corrisponde all'ID risorsa del progetto.
Un numero della risorsa del progetto viene generato automaticamente da Google Cloud. Sia l'ID della risorsa progetto sia il numero della risorsa progetto sono disponibili nella dashboard della risorsa progetto in Google Cloud Console. Per informazioni su come ottenere gli identificatori dei progetti e altre attività di gestione per le risorse del progetto, consulta Creare e gestire le risorse del progetto.
Il criterio IAM iniziale per la risorsa progetto appena creata concede il ruolo proprietario all'autore del progetto.
Ereditarietà dei criteri IAM
Google Cloud offre IAM, che ti consente di assegnare un accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM sulle risorse.
Puoi impostare un criterio IAM a livello di organizzazione, cartella, progetto o (in alcuni casi) a livello di risorsa. Le risorse figlio ereditano i criteri della risorsa padre. Se imposti un criterio a livello di organizzazione, questo viene ereditato da tutte le risorse di progetti e cartelle secondarie e, se imposti un criterio a livello di progetto, questo viene ereditato da tutte le risorse secondarie.
Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per la risorsa e del criterio ereditato dai suoi antenati. Questa eredità è transitive. In altre parole, le risorse ereditano i criteri dal progetto, che ereditano i criteri dalla risorsa dell'organizzazione. Pertanto, i criteri a livello di risorsa dell'organizzazione si applicano anche a livello di risorsa.
Ad esempio, nel diagramma della gerarchia delle risorse riportato sopra, se imposti un criterio per la cartella "Dipartimento Y" che assegna il ruolo Editor del progetto a bob@example.com, Bob avrà il ruolo di editor nei progetti "Progetto di sviluppo", "Progetto di test" e "Progetto di produzione". Al contrario, se assegni ad alice@example.com il ruolo di amministratore dell'istanza nel progetto "Progetto di test", potrà gestire solo le istanze Compute Engine in quel progetto.
I ruoli vengono sempre ereditati e non è possibile rimuovere esplicitamente un'autorizzazione per una risorsa di livello inferiore concessa a un livello superiore nella gerarchia delle risorse. Nell'esempio precedente, anche se rimuovi il ruolo Editor del progetto da Bob nel "Progetto di test", questo erediterà comunque il ruolo dalla cartella "Dipartimento Y", quindi avrà comunque le autorizzazioni per quel ruolo nel "Progetto di test".
La gerarchia dei criteri IAM segue la stessa scala gerarchica delle risorse di Google Cloud. Se modifichi la gerarchia delle risorse, cambia anche la gerarchia dei criteri. Ad esempio, se si sposta un progetto in una risorsa dell'organizzazione, il criterio IAM del progetto verrà aggiornato in modo da ereditare dai criteri della risorsa dell'organizzazione. Analogamente, se sposti una risorsa di progetto da una risorsa della cartella a un'altra, le autorizzazioni ereditate verranno modificate. Le autorizzazioni ereditate dalla risorsa progetto dalla risorsa principale originale andranno perse quando la risorsa progetto viene spostata in una nuova risorsa cartella. Le autorizzazioni impostate nella risorsa della cartella di destinazione verranno ereditate dalla risorsa del progetto durante lo spostamento.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente