Hierarki resource

Halaman ini menjelaskan hierarki resource Google Cloud dan resource yang dapat dikelola menggunakan Resource Manager.

Tujuan hierarki resource Google Cloud ada dua:

• Memberikan hierarki kepemilikan, yang mengikat siklus proses resource ke induk langsungnya dalam hierarki.
• Memberikan titik lampiran dan pewarisan untuk kontrol akses dan kebijakan organisasi.

Secara metafora, hierarki resource Google Cloud menyerupai sistem file yang ditemukan dalam sistem operasi tradisional sebagai cara untuk mengatur dan mengelola entity secara hierarkis. Umumnya, setiap resource memiliki tepat satu induk. Pengaturan hierarkis resource ini memungkinkan Anda menetapkan kebijakan kontrol akses dan setelan konfigurasi di resource induk, dan kebijakan serta setelan Identity and Access Management (IAM) diwariskan oleh resource turunan.

Hierarki resource Google Cloud secara mendetail

Resource Google Cloud dikelola secara hierarkis. Semua resource kecuali resource tertinggi dalam hierarki memiliki tepat satu induk. Pada tingkat terendah, resource layanan adalah komponen dasar yang membentuk semua layanan Google Cloud. Contoh resource layanan mencakup Virtual Machine (VM) Compute Engine, topik Pub/Sub, bucket Cloud Storage, instance App Engine. Semua resource tingkat rendah ini memiliki resource project sebagai induknya, yang mewakili mekanisme pengelompokan pertama hierarki resource Google Cloud.

Semua pengguna, termasuk pengguna uji coba gratis, pengguna paket gratis, serta pelanggan Google Workspace dan Cloud Identity, dapat membuat resource project. Pengguna Program Gratis Google Cloud hanya dapat membuat resource project dan resource layanan dalam project. Resource project dapat menjadi bagian atas hierarkinya, tetapi hanya jika dibuat oleh pengguna uji coba gratis atau pengguna tingkat gratis. Pelanggan Google Workspace dan Cloud Identity memiliki akses ke fitur tambahan hierarki resource Google Cloud, seperti resource organisasi dan folder. Pelajari lebih lanjut di ringkasan Cloud Identity. Resource project di bagian atas hierarkinya tidak memiliki resource induk, tetapi dapat dimigrasikan ke resource organisasi setelah dibuat untuk domain. Untuk mengetahui detail selengkapnya tentang cara memigrasikan resource project, lihat Memigrasikan resource project.

Pelanggan Google Workspace dan Cloud Identity dapat membuat resource organisasi. Setiap akun Google Workspace atau Cloud Identity dikaitkan dengan satu resource organisasi. Jika ada, resource organisasi adalah bagian atas hierarki resource Google Cloud, dan semua resource yang menjadi milik organisasi dikelompokkan dalam resource organisasi. Hal ini memberikan visibilitas dan kontrol terpusat atas setiap resource yang merupakan milik resource organisasi.

Resource folder adalah mekanisme pengelompokan opsional tambahan antara resource organisasi dan resource project. Resource organisasi diperlukan sebagai prasyarat untuk menggunakan folder. Resource folder dan resource project turunannya dipetakan di bawah resource organisasi.

Hierarki resource Google Cloud, terutama dalam bentuk paling lengkap yang mencakup resource organisasi dan resource folder, memungkinkan perusahaan memetakan resource organisasi mereka ke Google Cloud dan memberikan titik lampiran logis untuk kebijakan pengelolaan akses (IAM) dan Kebijakan organisasi. Kebijakan IAM dan organisasi diwariskan melalui hierarki, dan kebijakan yang efektif untuk setiap resource dalam hierarki adalah hasil dari kebijakan yang langsung diterapkan pada resource dan kebijakan yang diwarisi dari ancestor-nya.

Diagram di bawah menunjukkan contoh hierarki resource Google Cloud dalam bentuk lengkapnya:

Resource organisasi

Resource organisasi mewakili organisasi (misalnya, perusahaan) dan merupakan node root dalam hierarki resource Google Cloud jika ada. Resource organisasi adalah ancestor hierarki resource folder dan project. Kebijakan kontrol akses IAM yang diterapkan pada resource organisasi berlaku di seluruh hierarki pada semua resource dalam organisasi.

Pengguna Google Cloud tidak diwajibkan untuk memiliki resource organisasi, tetapi beberapa fitur Pengelola Resource tidak akan dapat digunakan tanpanya. Resource organisasi terkait erat dengan akun Google Workspace atau Cloud Identity. Saat pengguna dengan akun Google Workspace atau Cloud Identity membuat resource project Google Cloud, resource organisasi akan otomatis disediakan untuk mereka.

Akun Google Workspace atau Cloud Identity hanya dapat memiliki satu resource organisasi yang disediakan. Setelah resource organisasi dibuat untuk domain, semua resource project Google Cloud baru yang dibuat oleh anggota domain akun akan secara default menjadi milik resource organisasi. Saat pengguna terkelola membuat resource project, persyaratannya adalah resource tersebut harus berada di beberapa resource organisasi. Jika pengguna menentukan resource organisasi dan memiliki izin yang tepat, project akan ditetapkan ke organisasi tersebut. Jika tidak, resource default-nya akan menjadi resource organisasi yang terkait dengan pengguna. Akun yang terkait dengan resource organisasi tidak dapat membuat resource project yang tidak terkait dengan resource organisasi.

Menautkan dengan akun Google Workspace atau Cloud Identity

Untuk memudahkan, kami akan merujuk ke Google Workspace yang mencakup pengguna Google Workspace dan Cloud Identity.

Akun Google Workspace atau Cloud Identity mewakili perusahaan dan merupakan prasyarat untuk memiliki akses ke resource organisasi. Dalam konteks Google Cloud, layanan ini menyediakan pengelolaan identitas, mekanisme pemulihan, kepemilikan, dan pengelolaan siklus proses. Gambar di bawah menunjukkan link antara akun Google Workspace, Cloud Identity, dan hierarki resource Google Cloud.

Admin super Google Workspace adalah individu yang bertanggung jawab atas verifikasi kepemilikan domain dan kontak dalam kasus pemulihan. Oleh karena itu, admin super Google Workspace diberi kemampuan untuk menetapkan peran IAM secara default. Tugas utama admin super Google Workspace terkait Google Cloud adalah menetapkan peran IAM Organization Administrator kepada pengguna yang sesuai di domain mereka. Tindakan ini akan menciptakan pemisahan antara tanggung jawab administrasi Google Workspace dan Google Cloud yang biasanya dicari pengguna.

Manfaat resource organisasi

Dengan resource organisasi, resource project adalah milik organisasi Anda, bukan karyawan yang membuat project. Artinya, resource project tidak lagi dihapus saat karyawan keluar dari perusahaan; sebagai gantinya, resource tersebut akan mengikuti siklus proses resource organisasi di Google Cloud.

Selain itu, Administrator Organisasi memiliki kontrol terpusat atas semua resource. Mereka dapat melihat dan mengelola semua resource project perusahaan Anda. Penerapan ini berarti tidak akan ada lagi project bayangan atau admin nakal.

Selain itu, Anda dapat memberikan peran di tingkat organisasi, yang diwarisi oleh semua resource project dan folder dalam resource organisasi. Misalnya, Anda dapat memberikan peran Network Admin kepada tim jaringan di tingkat organisasi, sehingga mereka dapat mengelola semua jaringan di semua resource project di perusahaan Anda, bukan memberikan peran untuk setiap resource project.

Resource organisasi yang ditampilkan oleh Cloud Resource Manager API terdiri dari hal berikut:

• ID resource organisasi, yang merupakan ID unik untuk organisasi.
• Nama tampilan, yang dibuat dari nama domain utama di Google Workspace atau Cloud Identity.
• Waktu pembuatan resource organisasi.
• Waktu terakhir kali resource organisasi diubah.
• Pemilik resource organisasi. Pemilik ditentukan saat membuat resource organisasi. Setelah ditetapkan, nilai ini tidak dapat diubah. Ini adalah ID pelanggan Google Workspace yang ditentukan di Directory API.

Cuplikan kode berikut menunjukkan struktur resource organisasi:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Kebijakan IAM awal untuk resource organisasi yang baru dibuat memberikan peran Project Creator dan Billing Account Creator ke seluruh domain Google Workspace. Artinya, pengguna akan dapat terus membuat resource project dan akun penagihan seperti yang mereka lakukan sebelum resource organisasi ada. Tidak ada resource lain yang dibuat saat resource organisasi dibuat.

Resource folder

Resource folder secara opsional memberikan mekanisme pengelompokan dan batas isolasi tambahan antar-project. Mereka dapat dilihat sebagai sub-organisasi dalam resource organisasi. Resource folder dapat digunakan untuk membuat model berbagai entitas hukum, departemen, dan tim dalam suatu perusahaan. Misalnya, resource folder tingkat pertama dapat digunakan untuk mewakili departemen utama di resource organisasi Anda. Karena resource folder dapat berisi resource project dan folder lain, setiap resource folder dapat menyertakan subfolder lain untuk mewakili tim yang berbeda. Setiap folder tim dapat berisi subfolder tambahan untuk mewakili aplikasi yang berbeda. Untuk mengetahui detail selengkapnya tentang penggunaan resource folder, lihat Membuat dan mengelola resource folder.

Jika resource folder ada di resource organisasi dan Anda memiliki izin tampilan yang sesuai, Anda dapat melihatnya dari konsol Google Cloud. Untuk petunjuk yang lebih mendetail, lihat Melihat atau mencantumkan resource folder dan project.

Resource folder memungkinkan pendelegasian hak administrasi. Misalnya, setiap pemimpin departemen dapat diberi kepemilikan penuh atas semua resource Google Cloud yang merupakan milik departemen mereka. Demikian pula, akses ke resource dapat dibatasi oleh resource folder, sehingga pengguna di satu departemen hanya dapat mengakses dan membuat resource Google Cloud dalam resource folder tersebut.

Cuplikan kode berikut menunjukkan struktur resource folder:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Seperti resource organisasi dan project, resource folder berfungsi sebagai titik pewarisan kebijakan untuk kebijakan IAM dan organisasi. Peran IAM yang diberikan pada resource folder secara otomatis diwarisi oleh semua resource project dan folder yang disertakan dalam folder tersebut.

Referensi project

Resource project adalah entity pengelola tingkat dasar. Resource organisasi dan folder dapat berisi beberapa project. Resource project diperlukan untuk menggunakan Google Cloud, dan menjadi dasar untuk membuat, mengaktifkan, dan menggunakan semua layanan Google Cloud, mengelola API, mengaktifkan penagihan, menambahkan dan menghapus kolaborator, serta mengelola izin.

Semua resource project terdiri dari hal berikut:

• Dua ID:
  1. Project resource ID, yang merupakan ID unik untuk resource project.
  2. Nomor resource project, yang ditetapkan secara otomatis saat Anda membuat project. Kolom ini bersifat hanya baca.
• Satu nama tampilan yang dapat diubah.
• Status siklus proses resource project; misalnya, ACTIVE atau DELETE_REQUESTED.
• Kumpulan label yang dapat digunakan untuk memfilter project.
• Waktu saat resource project dibuat.

Cuplikan kode berikut menunjukkan struktur resource project:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Untuk berinteraksi dengan sebagian besar resource Google Cloud, Anda harus memberikan informasi resource project pengenal untuk setiap permintaan. Anda dapat mengidentifikasi resource project dengan salah satu dari dua cara: project resource ID, atau project resource number (projectId dan projectNumber dalam cuplikan kode).

Project resource ID adalah nama yang disesuaikan yang Anda pilih saat membuat resource project. Jika mengaktifkan API yang memerlukan resource project, Anda akan diarahkan untuk membuat resource project atau memilih resource project menggunakan ID resource project-nya. (Perhatikan bahwa string name, yang ditampilkan di UI, tidak sama dengan ID resource project.)

Nomor resource project dibuat secara otomatis oleh Google Cloud. Project ID dan nomor resource project dapat ditemukan di dasbor resource project di konsol Google Cloud. Untuk informasi tentang cara mendapatkan ID project dan tugas pengelolaan lainnya untuk resource project, lihat Membuat dan mengelola resource project.

Kebijakan IAM awal untuk resource project yang baru dibuat memberikan peran pemilik kepada pembuat project.

Pewarisan kebijakan IAM

Google Cloud menawarkan IAM, yang memungkinkan Anda menetapkan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Dengan IAM, Anda dapat mengontrol siapa (pengguna) yang memiliki akses (peran) ke resource mana dengan menetapkan kebijakan IAM di resource tersebut.

Anda dapat menetapkan kebijakan IAM di tingkat organisasi, tingkat folder, tingkat project, atau (dalam beberapa kasus) tingkat resource. Resource mewarisi kebijakan resource induk. Jika Anda menetapkan kebijakan di level organisasi, kebijakan tersebut akan diwarisi oleh semua resource folder dan project turunan, dan jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya.

Kebijakan yang efektif untuk resource adalah gabungan kebijakan yang ditetapkan pada resource tersebut dan kebijakan yang diwarisi dari ancestor-nya. Pewarisan ini bersifat transitif. Dengan kata lain, resource mewarisi kebijakan dari project, yang mewarisi kebijakan dari resource organisasi. Oleh karena itu, kebijakan level resource organisasi juga berlaku di level resource.

Misalnya, dalam diagram hierarki resource di atas, jika Anda menetapkan kebijakan di folder "Department Y" yang memberikan peran Project Editor kepada bob@example.com, maka Bob akan memiliki peran editor di project "Development project", "Test project", dan "Production project". Sebaliknya, jika Anda menetapkan peran Instance Admin kepada alice@example.com di project "Test project", dia hanya akan dapat mengelola instance Compute Engine dalam project tersebut.

Peran selalu diwariskan, dan tidak ada cara untuk menghapus izin secara eksplisit untuk resource level lebih rendah yang diberikan pada level lebih tinggi dalam hierarki resource. Dengan contoh di atas, meskipun Anda menghapus peran Project Editor dari Bob di "Test project", ia akan tetap mewarisi peran tersebut dari folder "Department Y", sehingga ia akan tetap memiliki izin untuk peran tersebut di "Test project".

Hierarki kebijakan IAM mengikuti jalur yang sama dengan hierarki resource Google Cloud. Jika Anda mengubah hierarki resource, hierarki kebijakan juga akan berubah. Misalnya, memindahkan project ke resource organisasi akan memperbarui kebijakan IAM project untuk mewarisi dari kebijakan IAM resource organisasi. Demikian pula, memindahkan resource project dari satu resource folder ke resource folder lain akan mengubah izin yang diwarisi. Izin yang diwarisi oleh resource project dari resource induk asli akan hilang saat resource project dipindahkan ke resource folder baru. Izin yang ditetapkan di resource folder tujuan akan diwarisi oleh resource project saat dipindahkan.