Gerarchia delle risorse

Questa pagina descrive la gerarchia delle risorse di Google Cloud e le risorse che possono essere gestite utilizzando Resource Manager.

Lo scopo della gerarchia delle risorse di Google Cloud è duplice:

  • Fornisce una gerarchia di proprietà, che associa il ciclo di vita di una risorsa all'elemento padre immediato nella gerarchia.
  • Specifica i punti di collegamento e l'ereditarietà per i criteri dell'organizzazione e controllo dell'accesso dell'accesso.

Metaforicamente, la gerarchia delle risorse di Google Cloud è simile al file system dei sistemi operativi tradizionali, per un modo per organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha un solo padre. Questa organizzazione gerarchica delle risorse consente di definire criteri di controllo dell'accesso e impostazioni di configurazione su una risorsa padre; le impostazioni di criteri e Identity and Access Management (IAM) vengono ereditate dalle risorse figlio.

Gerarchia delle risorse di Google Cloud in dettaglio

Le risorse di Google Cloud sono organizzate in modo gerarchico. Tutte le risorse, ad eccezione della risorsa più alta di una gerarchia, hanno un solo elemento padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali che costituiscono tutti i servizi Google Cloud. Esempi di risorse di servizio includono VM virtuali (VM) di Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, istanze App Engine. Tutte queste risorse di livello inferiore hanno risorse del progetto come padre, che rappresentano il primo meccanismo di raggruppamento della gerarchia delle risorse di Google Cloud.

Tutti gli utenti, inclusi gli utenti in prova gratuita, gli utenti del livello gratuito e i clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del Programma gratuito di Google Cloud possono creare risorse di progetto e risorse di servizio solo all'interno dei progetti. Le risorse del progetto possono essere il primo livello nella gerarchia, ma solo se vengono create da un utente di prova gratuita o da un utente di livello gratuito. I clienti di Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse di Google Cloud, come le risorse dell'organizzazione e della cartella. Scopri di più nella panoramica di Cloud Identity. Le risorse del progetto nella parte superiore della gerarchia non dispongono di risorse padre, ma possono essere migrate a una risorsa dell'organizzazione dopo che sono state create per il dominio. Per maggiori dettagli sulla migrazione delle risorse del progetto, vedi Migrazione delle risorse del progetto.

I clienti di Google Workspace e Cloud Identity possono creare risorse organizzative. Ogni account Google Workspace o Cloud Identity è associato a una risorsa dell'organizzazione. Quando esiste una risorsa dell'organizzazione, è la parte superiore della gerarchia delle risorse di Google Cloud e tutte le risorse che appartengono a un'organizzazione sono raggruppate nella risorsa dell'organizzazione. Questo offre visibilità e controllo centralizzati su ogni risorsa che appartiene a una risorsa dell'organizzazione.

Le risorse delle cartelle sono un meccanismo di raggruppamento aggiuntivo facoltativo delle risorse dell'organizzazione e del progetto. Per utilizzare le cartelle è necessario disporre di una risorsa dell'organizzazione. Le risorse delle cartelle e le relative risorse progetto secondarie sono mappate nella risorsa organizzazione.

La gerarchia delle risorse di Google Cloud, soprattutto nella sua forma più completa, che include una risorsa dell'organizzazione e delle risorse della cartella, consente alle aziende di mappare la propria risorsa dell'organizzazione su Google Cloud e fornisce punti di collegamento logici per i criteri di gestione degli accessi (IAM) e i criteri dell'organizzazione. I criteri IAM e dell'organizzazione vengono ereditati dalla gerarchia e il criterio effettivo per ogni risorsa della gerarchia è il risultato dei criteri applicati direttamente alla risorsa e dei criteri ereditati dai suoi antenati.

Il diagramma seguente rappresenta un esempio di gerarchia delle risorse di Google Cloud nella sua forma completa:

Risorsa dell'organizzazione

La risorsa organizzazione rappresenta un'organizzazione (ad esempio un'azienda) ed è il nodo radice della gerarchia delle risorse di Google Cloud, se presente. La risorsa organizzazione è l'antenato gerarchico delle risorse di cartelle e progetti. I criteri di controllo dell'accesso IAM applicati alla risorsa dell'organizzazione si applicano all'intera gerarchia di tutte le risorse dell'organizzazione.

Gli utenti di Google Cloud non devono disporre di una risorsa organizzazione, ma alcune funzionalità di Resource Manager non saranno utilizzabili senza. La risorsa organizzazione è strettamente associata a un account Google Workspace o Cloud Identity. Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa di progetto Google Cloud, gli viene assegnata automaticamente una risorsa organizzazione.

È possibile eseguire il provisioning di un'unica risorsa dell'organizzazione Google Workspace o Cloud Identity tramite l'account. Una volta creata una risorsa dell'organizzazione per un dominio, tutte le nuove risorse di progetto Google Cloud create dai membri del dominio dell'account apparterranno per impostazione predefinita alla risorsa dell'organizzazione. Quando un utente gestito crea una risorsa del progetto, il requisito deve essere in una risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni appropriate, il progetto viene assegnato a tale organizzazione. In caso contrario, il valore predefinito sarà la risorsa dell'organizzazione a cui è associato l'utente. Per gli account associati a una risorsa dell'organizzazione è impossibile creare risorse di progetto non associate a una risorsa dell'organizzazione.

Per semplicità, faremo riferimento a Google Workspace, ovvero agli utenti di Google Workspace e Cloud Identity.

L'account Google Workspace o Cloud Identity rappresenta un'azienda ed è un prerequisito per accedere alla risorsa organizzazione. Nel contesto di Google Cloud, fornisce gestione delle identità, meccanismo di recupero, proprietà e gestione del ciclo di vita. L'immagine seguente mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorse di Google Cloud.


Il super amministratore di Google Workspace è la persona responsabile della verifica della proprietà del dominio e del contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare i ruoli IAM per impostazione predefinita. Il compito principale del super amministratore di Google Workspace in relazione a Google Cloud è assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati nel dominio. In questo modo verrà creata la separazione tra le responsabilità di amministrazione di Google Workspace e Google Cloud che gli utenti cercano in genere.

Vantaggi della risorsa organizzazione

Con una risorsa dell'organizzazione, le risorse del progetto appartengono alla tua organizzazione anziché al dipendente che ha creato il progetto. Ciò significa che le risorse del progetto non vengono più eliminate quando un dipendente lascia l'azienda, ma seguirà il ciclo di vita della risorsa dell'organizzazione su Google Cloud.

Inoltre, gli amministratori dell'organizzazione hanno il controllo centrale di tutte le risorse. Possono visualizzare e gestire tutte le risorse di progetto della tua azienda. Questa applicazione significa che non possono più essere presenti progetti shadow o amministratori non autorizzati.

Inoltre, puoi assegnare ruoli a livello di organizzazione, che vengono ereditati da tutte le risorse di progetto e cartella nella risorsa organizzazione. Ad esempio, puoi concedere il ruolo Amministratore di rete al team di rete a livello di organizzazione, in modo da poter gestire tutte le reti in tutte le risorse del progetto nella tua azienda, anziché concederlo a tutte le singole risorse di progetto.

Una risorsa dell'organizzazione esposta dall'API Resource Manager è composta da:

  • Un ID risorsa dell'organizzazione, ovvero un identificatore univoco di un'organizzazione.
  • Un nome visualizzato, generato dal nome di dominio principale in Google Workspace o Cloud Identity.
  • L'ora di creazione della risorsa organizzazione.
  • L'ora dell'ultima modifica della risorsa organizzazione.
  • Il proprietario della risorsa organizzazione. Il proprietario viene specificato durante la creazione della risorsa dell'organizzazione. Una volta impostata, non può essere modificata. Si tratta dell'ID cliente Google Workspace specificato nell'API Directory.

Il seguente snippet di codice mostra la struttura di una risorsa dell'organizzazione:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Il criterio IAM iniziale per una risorsa dell'organizzazione appena creata concede i ruoli Autore progetto e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come avveniva prima dell'esistenza della risorsa dell'organizzazione. Non vengono create altre risorse al momento della creazione di una risorsa dell'organizzazione.

La risorsa cartella

Le risorse delle cartelle offrono facoltativamente un ulteriore meccanismo di raggruppamento e limiti di isolamento tra i progetti. Possono essere considerate organizzazioni secondarie all'interno della risorsa organizzazione. Le risorse delle cartelle possono essere utilizzate per modellare diverse persone giuridiche, reparti, e team all'interno di un'azienda. Ad esempio, un primo livello di risorse di cartelle potrebbe essere utilizzato per rappresentare i reparti principali della risorsa della tua organizzazione. Poiché le risorse delle cartelle possono contenere risorse di progetto e altre cartelle, ognuna di queste potrebbe includere altre sottocartelle per rappresentare i vari team. Ogni cartella del team potrebbe contenere altre sottocartelle per rappresentare varie applicazioni. Per ulteriori dettagli sull'utilizzo delle risorse delle cartelle, vedi Creazione e gestione delle risorse delle cartelle.

Se le risorse della cartella esistono nella risorsa organizzazione e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle dalla console Google Cloud. Per istruzioni più dettagliate, consulta Visualizzare o elencare le risorse di cartelle e progetti.

Le risorse delle cartelle consentono la delega dei diritti di amministrazione. Quindi, ad esempio, a ogni persona a capo di un reparto può essere concessa la proprietà totale di tutte le risorse Google Cloud che appartengono ai suoi reparti. Analogamente, è possibile limitare l'accesso alle risorse in base alla risorsa della cartella, in modo che gli utenti di un reparto possano creare risorse Google Cloud e accedervi solo all'interno di quella cartella.

Il seguente snippet di codice mostra la struttura di una risorsa cartella:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Analogamente alle risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di ereditarietà dei criteri per IAM e criteri dell'organizzazione. I ruoli IAM concessi a una risorsa della cartella vengono ereditati automaticamente da tutte le risorse del progetto e della cartella incluse nella cartella.

La risorsa del progetto

La risorsa del progetto è l'entità organizzativa di livello base. Le risorse dell'organizzazione e della cartella possono contenere più progetti. Per utilizzare Google Cloud è necessaria una risorsa di progetto che costituisce la base per creare, abilitare e utilizzare tutti i servizi Google Cloud, gestire le API, abilitare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.

Tutte le risorse del progetto sono costituite da quanto segue:

  • Due identificatori:
    1. ID risorsa di progetto, un identificatore univoco della risorsa di progetto.
    2. Numero di risorse del progetto, che viene assegnato automaticamente quando crei il progetto. È di sola lettura.
  • Un nome visualizzato modificabile.
  • Lo stato del ciclo di vita della risorsa di progetto, ad esempio ACTIVE o DELETE_VERIFICATION.
  • Una raccolta di etichette utilizzabili per filtrare i progetti.
  • L'ora in cui è stata creata la risorsa di progetto.

Il seguente snippet di codice mostra la struttura di una risorsa di progetto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Per interagire con la maggior parte delle risorse Google Cloud, devi fornire le informazioni identificative sulla risorsa del progetto per ogni richiesta. Puoi identificare una risorsa di progetto in due modi: un ID risorsa di progetto o un numero di risorsa di progetto (projectId e projectNumber nello snippet di codice).

Un ID risorsa di progetto è il nome personalizzato che hai scelto durante la creazione della risorsa di progetto. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di creare una risorsa di progetto o di selezionare una risorsa di progetto utilizzando il relativo ID risorsa di progetto. Tieni presente che la stringa name, visualizzata nell'interfaccia utente, non è uguale all'ID risorsa del progetto.

Google Cloud genera automaticamente un numero di risorsa di progetto. Puoi trovare l'ID e il numero della risorsa del progetto nella dashboard della risorsa del progetto nella console Google Cloud. Per informazioni su come ottenere gli identificatori di progetto e altre attività di gestione per le risorse di progetto, consulta Creazione e gestione delle risorse di progetto.

Il criterio IAM iniziale per la risorsa di progetto appena creata concede il ruolo di proprietario all'autore del progetto.

Eredità dei criteri IAM

Google Cloud offre IAM, che consente di assegnare l'accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM sulle risorse.

Puoi impostare un criterio IAM a livello di organizzazione, a livello di cartella, a livello di progetto o, in alcuni casi, a livello di risorsa. Le risorse secondarie ereditano i criteri della risorsa principale. Se imposti un criterio a livello di organizzazione, viene ereditato da tutte le risorse figlio della cartella e del progetto. Se imposti un criterio a livello di progetto, viene ereditato da tutte le risorse figlio.

Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per quella risorsa e del criterio ereditato dai relativi antenati. Questa ereditarietà è transitoria. In altre parole, le risorse ereditano i criteri dal progetto, che ne ereditano la risorsa. Di conseguenza, i criteri a livello di risorsa organizzazione si applicano anche a livello di risorsa.

Ad esempio, nel diagramma di gerarchia delle risorse riportato sopra, se imposti un criterio sulla cartella "Reparto Y" che concede il ruolo Editor di progetto a bob@example.com, Bob avrà il ruolo di Editor sui progetti "Progetto di sviluppo", "Progetto di test" e "Progetto di produzione". Al contrario, se assegni a alice@example.com il ruolo Amministratore istanza sul progetto "Progetto di test", questa potrà gestire solo le istanze Compute Engine nel progetto.

I ruoli vengono sempre ereditati e non è possibile rimuovere in modo esplicito un'autorizzazione per una risorsa di livello inferiore che viene concessa a un livello superiore nella gerarchia delle risorse. Dato l'esempio precedente, anche se rimuovessi il ruolo di Editor del progetto da Roberto nel "Progetto di prova", quest'ultimo erediterebbe comunque il ruolo dalla cartella "Reparto Y", quindi avrà comunque le autorizzazioni per il ruolo selezionato su "Progetto di prova".

La gerarchia dei criteri IAM segue lo stesso percorso della gerarchia delle risorse di Google Cloud. Se modifichi la gerarchia delle risorse, cambia anche la gerarchia dei criteri. Ad esempio, lo spostamento di un progetto in una risorsa dell'organizzazione aggiorna il criterio IAM del progetto in modo che erediti dal criterio IAM della risorsa dell'organizzazione. Allo stesso modo, il trasferimento di una risorsa di progetto da una risorsa della cartella a un'altra modificherà le autorizzazioni ereditate. Le autorizzazioni ereditate dalla risorsa del progetto dalla risorsa padre originale andranno perse quando la risorsa del progetto viene spostata in una nuova risorsa della cartella. Le autorizzazioni impostate nella risorsa cartella di destinazione verranno ereditate dalla risorsa di progetto durante lo spostamento.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente