Questa pagina è stata tradotta dall'API Cloud Translation.

Gerarchia delle risorse

Questa pagina descrive la gerarchia delle risorse di Google Cloud e le risorse che possono essere gestite utilizzando Resource Manager.

La gerarchia delle risorse di Google Cloud ha due obiettivi:

Fornire una gerarchia di proprietà, che associa il ciclo di vita di una risorsa al relativo elemento padre immediato nella gerarchia.
Fornisci punti di collegamento ed ereditarietà per controllo dell'accesso dell'accesso e i criteri dell'organizzazione.

In termini metaforici, la gerarchia delle risorse di Google Cloud assomiglia al file system dei sistemi operativi tradizionali, come un modo di organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha un solo elemento padre. Questa organizzazione gerarchica delle risorse consente di impostare i criteri di controllo dell'accesso e le impostazioni di configurazione su una risorsa padre, mentre i criteri e le impostazioni di Identity and Access Management (IAM) vengono ereditate dalle risorse figlio.

Gerarchia delle risorse di Google Cloud in dettaglio

Le risorse Google Cloud sono organizzate in modo gerarchico. Tutte le risorse, ad eccezione di quella più alta della gerarchia, hanno esattamente un elemento padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali di tutti i servizi di Google Cloud. Esempi di risorse di servizio includono macchine virtuali (VM) Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, istanze App Engine. Tutte queste risorse di livello inferiore hanno risorse di progetto come elementi padre, che rappresentano il primo meccanismo di raggruppamento della gerarchia delle risorse Google Cloud.

Tutti gli utenti, inclusi gli utenti della prova gratuita, quelli del livello gratuito e i clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del programma gratuito di Google Cloud possono creare risorse di progetto e risorse di servizio solo all'interno dei progetti. Le risorse del progetto possono trovarsi al primo posto della gerarchia, ma solo se create da un utente di prova gratuita o di livello gratuito. I clienti di Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse di Google Cloud, ad esempio le risorse dell'organizzazione e delle cartelle. Scopri di più nella panoramica di Cloud Identity. Le risorse del progetto in cima alla gerarchia non dispongono di risorse padre, ma è possibile eseguirne la migrazione a una risorsa dell'organizzazione dopo che è stata creata per il dominio. Per ulteriori dettagli sulla migrazione delle risorse di progetto, consulta Migrazione delle risorse di progetto.

I clienti Google Workspace e Cloud Identity possono creare risorse dell'organizzazione. Ogni account Google Workspace o Cloud Identity è associato a una risorsa organizzazione. Se esiste una risorsa dell'organizzazione, questa si trova al primo posto nella gerarchia delle risorse Google Cloud e tutte le risorse appartenenti a un'organizzazione sono raggruppate sotto la risorsa dell'organizzazione. Ciò fornisce visibilità e controllo centrali su ogni risorsa che appartiene a una risorsa dell'organizzazione.

Le risorse della cartella sono un meccanismo di raggruppamento aggiuntivo e facoltativo tra le risorse dell'organizzazione e le risorse del progetto. Per utilizzare le cartelle, è necessaria una risorsa dell'organizzazione. Le risorse delle cartelle e le relative risorse del progetto figlio sono mappate sotto la risorsa dell'organizzazione.

La gerarchia delle risorse di Google Cloud, soprattutto nella sua forma più completa, che include una risorsa dell'organizzazione e risorse delle cartelle, consente alle aziende di mappare la propria risorsa dell'organizzazione su Google Cloud e fornisce punti di collegamento logici per i criteri di gestione degli accessi (IAM) e i criteri dell'organizzazione. I criteri dell'organizzazione e di IAM vengono ereditati tramite la gerarchia e il criterio effettivo per ogni risorsa nella gerarchia è il risultato dei criteri applicati direttamente alla risorsa e dei criteri ereditati dai predecessori.

Il diagramma seguente rappresenta un esempio di gerarchia di risorse Google Cloud nel formato completo:

La risorsa organizzazione

La risorsa organizzazione rappresenta un'organizzazione (ad esempio un'azienda) ed è il nodo radice nella gerarchia delle risorse di Google Cloud, se presente. La risorsa organizzazione è il predecessore gerarchico delle risorse delle cartelle e del progetto. I criteri di controllo dell'accesso IAM applicati alla risorsa dell'organizzazione si applicano in tutta la gerarchia a tutte le risorse dell'organizzazione.

Per gli utenti di Google Cloud non è necessario disporre di una risorsa dell'organizzazione, ma alcune funzionalità di Resource Manager non saranno utilizzabili senza una risorsa. La risorsa dell'organizzazione è strettamente associata a un account Google Workspace o Cloud Identity. Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa di progetto Google Cloud, viene automaticamente eseguito il provisioning della risorsa organizzazione corrispondente.

Per un account Google Workspace o Cloud Identity è possibile eseguire il provisioning di una sola risorsa dell'organizzazione. Dopo aver creato una risorsa organizzazione per un dominio, tutte le nuove risorse del progetto Google Cloud create dai membri del dominio dell'account apparterranno per impostazione predefinita alla risorsa organizzazione. Quando un utente gestito crea una risorsa di progetto, il requisito è che si trovi in una risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni corrette, il progetto viene assegnato a questa organizzazione. In caso contrario, il valore predefinito sarà la risorsa dell'organizzazione a cui è associato l'utente. Per gli account associati a una risorsa dell'organizzazione è impossibile creare risorse di progetto non associate a una risorsa dell'organizzazione.

Eseguire il collegamento con gli account Google Workspace o Cloud Identity

Per semplicità faremo riferimento a Google Workspace, ovvero "utenti di Google Workspace e Cloud Identity".

L'account Google Workspace o Cloud Identity rappresenta un'azienda ed è un prerequisito per l'accesso alla risorsa dell'organizzazione. Nel contesto di Google Cloud, offre gestione delle identità, meccanismo di ripristino, proprietà e gestione del ciclo di vita. La seguente immagine mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorse di Google Cloud.

Il super amministratore di Google Workspace è il responsabile della verifica della proprietà del dominio e il contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare ruoli IAM per impostazione predefinita. Il compito principale del super amministratore di Google Workspace in relazione a Google Cloud è assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati nel proprio dominio. In questo modo si crea una separazione tra le responsabilità di amministrazione di Google Workspace e Google Cloud generalmente richieste dagli utenti.

Vantaggi della risorsa dell'organizzazione

Le risorse del progetto appartengono all'organizzazione e non al dipendente che ha creato il progetto. Ciò significa che le risorse del progetto non vengono più eliminate quando un dipendente lascia l'azienda, ma seguiranno il ciclo di vita della risorsa dell'organizzazione su Google Cloud.

Inoltre, gli amministratori dell'organizzazione hanno il controllo centrale di tutte le risorse. Possono visualizzare e gestire tutte le risorse dei progetti della tua azienda. Questa applicazione significa che non possono più esserci progetti shadow o amministratori non autorizzati.

Inoltre, puoi concedere i ruoli a livello di organizzazione, che vengono ereditati da tutti i progetti e le risorse cartella all'interno della risorsa organizzazione. Ad esempio, puoi concedere il ruolo Amministratore rete al team di networking a livello di organizzazione, consentendogli di gestire tutte le reti in tutte le risorse di progetto della tua azienda, anziché concedere loro il ruolo per tutte le singole risorse di progetto.

Una risorsa organizzazione esposta dall'API Cloud Resource Manager è composta da quanto segue:

Un ID risorsa dell'organizzazione, che è un identificatore univoco di un'organizzazione.
Un nome visualizzato, generato dal nome di dominio principale in Google Workspace o Cloud Identity.
L'ora di creazione della risorsa dell'organizzazione.
L'ora dell'ultima modifica della risorsa dell'organizzazione.
Il proprietario della risorsa dell'organizzazione. Il proprietario viene specificato durante la creazione della risorsa organizzazione. Una volta impostato, non può essere modificato. Si tratta dell'ID cliente Google Workspace specificato nell'API Directory.

Il seguente snippet di codice mostra la struttura di una risorsa dell'organizzazione:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Il criterio IAM iniziale per una risorsa dell'organizzazione appena creata concede i ruoli Autore progetto e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come facevano prima che la risorsa dell'organizzazione esistesse. Durante la creazione di una risorsa dell'organizzazione non vengono create altre risorse.

La risorsa cartella

Le risorse delle cartelle forniscono facoltativamente un meccanismo di raggruppamento aggiuntivo e limiti di isolamento tra i progetti. Possono essere viste come organizzazioni secondarie all'interno della risorsa organizzazione. Le risorse delle cartelle possono essere usate per creare modelli di persone giuridiche, reparti, e team diversi. Ad esempio, potresti utilizzare un primo livello di risorse delle cartelle per rappresentare i reparti principali della risorsa dell'organizzazione. Poiché le risorse delle cartelle possono contenere risorse di progetto e altre cartelle, ciascuna risorsa cartella potrebbe includere altre sottocartelle per rappresentare team diversi. La cartella di ogni team potrebbe contenere altre sottocartelle per rappresentare le diverse applicazioni. Per maggiori dettagli sull'utilizzo delle risorse delle cartelle, consulta Creazione e gestione delle risorse delle cartelle.

Se nella risorsa dell'organizzazione esistono risorse della cartella e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle dalla console Google Cloud. Per istruzioni più dettagliate, vedi Visualizzare o elencare le risorse di cartelle e progetti.

Le risorse delle cartelle consentono la delega dei diritti di amministrazione. Quindi, ad esempio, a ogni responsabile di reparto può essere concessa la piena proprietà di tutte le risorse Google Cloud che appartengono ai suoi reparti. Analogamente, è possibile limitare l'accesso alle risorse in base alla risorsa cartella, in modo che gli utenti di un reparto possano creare e accedere alle risorse Google Cloud solo all'interno di quella risorsa cartella.

Il seguente snippet di codice mostra la struttura di una risorsa cartella:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Analogamente alle risorse dell'organizzazione e del progetto, le risorse cartella fungono da punto di ereditarietà dei criteri per i criteri IAM e dell'organizzazione. I ruoli IAM concessi per una risorsa cartella vengono ereditati automaticamente da tutte le risorse di progetto e cartella incluse nella cartella.

La risorsa del progetto

La risorsa di progetto è l'entità di organizzazione di base. Le risorse dell'organizzazione e delle cartelle possono contenere più progetti. Per utilizzare Google Cloud è necessaria una risorsa di progetto che costituisce la base per creare, abilitare e utilizzare tutti i servizi Google Cloud, gestire le API, abilitare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.

Tutte le risorse del progetto sono composte da quanto segue:

Due identificatori:
1. ID risorsa del progetto, che è un identificatore univoco della risorsa del progetto.
2. Numero di risorsa del progetto, che viene assegnato automaticamente al momento della creazione del progetto. È di sola lettura.
Un nome visualizzato modificabile.
Lo stato del ciclo di vita della risorsa del progetto, ad esempio ACTIVE o DELETE_REQUESTED.
Una raccolta di etichette che può essere utilizzata per filtrare i progetti.
L'ora in cui è stata creata la risorsa del progetto.

Il seguente snippet di codice mostra la struttura di una risorsa di progetto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Per interagire con la maggior parte delle risorse Google Cloud, devi fornire le informazioni di identificazione delle risorse del progetto per ogni richiesta. Puoi identificare una risorsa di progetto in due modi: tramite un ID risorsa di progetto o un numero di risorsa del progetto (projectId e projectNumber nello snippet di codice).

L'ID risorsa del progetto è il nome personalizzato che scegli al momento della creazione della risorsa del progetto. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di creare una risorsa di progetto o di selezionare una risorsa di progetto utilizzando il relativo ID risorsa di progetto. Tieni presente che la stringa name, visualizzata nell'interfaccia utente, non corrisponde all'ID risorsa del progetto.

Google Cloud genera automaticamente un numero di risorsa del progetto. Sia l'ID risorsa che il numero della risorsa del progetto sono disponibili nella dashboard della risorsa del progetto nella console Google Cloud. Per informazioni su come ottenere gli identificatori di progetto e altre attività di gestione per le risorse di progetto, consulta Creazione e gestione delle risorse di progetto.

Il criterio IAM iniziale per la risorsa di progetto appena creata concede il ruolo di proprietario all'autore del progetto.

Eredità dei criteri IAM

Google Cloud offre IAM, che consente di assegnare un accesso granulare a risorse Google Cloud specifiche e di impedire accessi indesiderati ad altre risorse. IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM sulle risorse.

Puoi impostare un criterio IAM a livello di organizzazione, a livello di cartella, a livello di progetto o, in alcuni casi, a livello di risorsa. Le risorse secondarie ereditano i criteri della risorsa principale. Se imposti un criterio a livello di organizzazione, questo viene ereditato da tutte le rispettive cartelle figlio e risorse del progetto. Se imposti un criterio a livello di progetto, viene ereditato da tutte le risorse figlio.

Il criterio effettivo per una risorsa è l'unione del criterio impostato per la risorsa e del criterio ereditato dai relativi predecessori. Questa ereditarietà è transitoria. In altre parole, le risorse ereditano i criteri dal progetto, che ereditano i criteri dalla risorsa dell'organizzazione. Di conseguenza, i criteri a livello di organizzazione si applicano anche a livello di risorsa.

Ad esempio, nel diagramma della gerarchia delle risorse riportato sopra, se imposti un criterio per la cartella "Reparto Y" che assegna il ruolo di Editor di progetto a bob@example.com, Mario avrà il ruolo di editor per i progetti "Progetto di sviluppo", "Progetto di test" e "Progetto di produzione". Al contrario, se assegni a alice@example.com il ruolo Amministratore istanze nel progetto "Progetto di test", potrà solo gestire le istanze di Compute Engine nel progetto.

I ruoli vengono sempre ereditati e non è possibile rimuovere esplicitamente un'autorizzazione per una risorsa di livello inferiore concessa a un livello superiore nella gerarchia delle risorse. Considerato l'esempio precedente, anche se rimuovi il ruolo Editor progetto da Roberto nel "Progetto di test", quest'ultimo erediterebbe comunque quel ruolo dalla cartella "Reparto Y", quindi avrà comunque le autorizzazioni per quel ruolo su "Progetto di test".

La gerarchia dei criteri IAM segue lo stesso percorso della gerarchia delle risorse Google Cloud. Se cambi la gerarchia delle risorse, cambia anche la gerarchia dei criteri. Ad esempio, lo spostamento di un progetto in una risorsa dell'organizzazione comporterà l'aggiornamento del criterio IAM del progetto in modo da ereditare dal criterio IAM della risorsa dell'organizzazione. Analogamente, lo spostamento di una risorsa di progetto da una risorsa cartella a un'altra cambierà le autorizzazioni ereditate. Le autorizzazioni ereditate dalla risorsa di progetto dalla risorsa padre originale andranno perse quando la risorsa del progetto viene spostata in una nuova risorsa cartella. Le autorizzazioni impostate nella risorsa della cartella di destinazione verranno ereditate dalla risorsa del progetto durante lo spostamento.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente