Gerarchia delle risorse

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive la gerarchia delle risorse di Google Cloud e le risorse che possono essere gestite utilizzando Resource Manager.

Lo scopo della gerarchia delle risorse di Google Cloud è duplice:

  • Fornisci una gerarchia di proprietà, che associa il ciclo di vita di una risorsa all'elemento padre immediato nella gerarchia.
  • Specifica i punti di collegamento e l'ereditarietà per i criteri di controllo dell'accesso e dell'organizzazione.

Dal punto di vista metaforico, la gerarchia di risorse Google Cloud assomiglia al file system dei sistemi operativi tradizionali e permette di organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha esattamente un elemento padre. Questa organizzazione gerarchica delle risorse consente di configurare i criteri di controllo dell'accesso e le impostazioni di configurazione di una risorsa principale, i quali i criteri e le impostazioni di Identity and Access Management (IAM) vengono ereditati dalle risorse figlio.

Gerarchia delle risorse Google Cloud in dettaglio

Le risorse Google Cloud sono strutturate in modo gerarchico. Tutte le risorse, ad eccezione della risorsa più alta di una gerarchia, hanno esattamente un'unità padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali che costituiscono tutti i servizi Google Cloud. Esempi di risorse di servizio includono macchine virtuali (VM) di Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, istanze App Engine. Tutte queste risorse di livello inferiore hanno risorse di progetto principali, che rappresentano il primo meccanismo di raggruppamento della gerarchia di risorse Google Cloud.

Tutti gli utenti, inclusi gli utenti con prova gratuita, gli utenti con livello gratuito e i clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del programma gratuito di Google Cloud possono creare risorse di progetto e servizi solo all'interno dei progetti. Le risorse del progetto possono essere in cima alla gerarchia, ma solo se create da un utente in prova gratuita o da un utente del livello gratuito. I clienti di Google Workspace e Cloud Identity hanno accesso alle funzionalità aggiuntive della gerarchia di risorse Google Cloud, ad esempio le risorse dell'organizzazione e delle cartelle. Scopri di più nella panoramica di Cloud Identity. Le risorse di progetto nella parte superiore della gerarchia non hanno risorse padre, ma possono essere migrate a una risorsa dell'organizzazione dopo che è stata creata per il dominio. Per ulteriori dettagli sulla migrazione delle risorse di progetto, consulta la sezione Migrazione delle risorse di progetto.

I clienti di Google Workspace e Cloud Identity possono creare risorse dell'organizzazione. Ogni account Google Workspace o Cloud Identity è associato a una risorsa dell'organizzazione. Quando una risorsa dell'organizzazione esiste, si trova in cima alla gerarchia delle risorse di Google Cloud e tutte le risorse che appartengono a un'organizzazione sono raggruppate nella risorsa dell'organizzazione. Questo offre visibilità e controllo centrali su ogni risorsa che appartiene a un'organizzazione.

Le risorse delle cartelle sono un meccanismo di raggruppamento aggiuntivo e facoltativo tra le risorse dell'organizzazione e le risorse di progetto. Per utilizzare le cartelle è necessaria una risorsa dell'organizzazione. Le risorse delle cartelle e le relative risorse progetto secondario sono mappate sotto la risorsa dell'organizzazione.

La gerarchia di risorse Google Cloud, in particolare nella sua forma più completa, che include una risorsa dell'organizzazione e le risorse della cartella, consente alle aziende di mappare la propria organizzazione su Google Cloud e fornisce punti di collegamento logici per i criteri di gestione degli accessi (IAM) e i criteri dell'organizzazione. Sia i criteri IAM sia i criteri dell'organizzazione vengono ereditati tramite la gerarchia e il criterio efficace per ciascuna risorsa della gerarchia è il risultato dei criteri applicati direttamente alla risorsa e dei criteri ereditati dai predecessori.

Il diagramma riportato di seguito rappresenta un esempio di gerarchia delle risorse di Google Cloud nella sua forma completa:

Risorsa dell'organizzazione

La risorsa organizzazione rappresenta un'organizzazione (ad esempio una società) ed è il nodo radice nella gerarchia delle risorse di Google Cloud, se presente. La risorsa dell'organizzazione è il predecessore gerarchico delle risorse di cartelle e progetti. I criteri di controllo dell'accesso IAM applicati alla risorsa dell'organizzazione vengono applicati a tutta la gerarchia di tutte le risorse dell'organizzazione.

Gli utenti di Google Cloud non devono disporre di una risorsa dell'organizzazione, ma alcune funzionalità di Resource Manager non saranno utilizzabili senza una risorsa. La risorsa dell'organizzazione è strettamente associata a un account Google Workspace o Cloud Identity. Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa di progetto Google Cloud, viene eseguito automaticamente il provisioning di una risorsa dell'organizzazione.

È possibile eseguire il provisioning di una risorsa organizzazione per un account Google Workspace o Cloud Identity. Una volta creata una risorsa dell'organizzazione per un dominio, tutte le nuove risorse del progetto Google Cloud create dai membri del dominio dell'account apparterranno per impostazione predefinita alla risorsa dell'organizzazione. Quando un utente gestito crea una risorsa di progetto, il requisito è che si trovi in una risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni appropriate, il progetto viene assegnato a tale organizzazione. In caso contrario, verrà utilizzata automaticamente la risorsa dell'organizzazione a cui è associato l'utente. È impossibile per gli account associati a una risorsa dell'organizzazione creare risorse di progetto che non sono associate a una risorsa dell'organizzazione.

Per semplicità, faremo riferimento a Google Workspace, ovvero agli utenti sia di Google Workspace che di Cloud Identity.

L'account Google Workspace o Cloud Identity rappresenta una società ed è un prerequisito per accedere alla risorsa dell'organizzazione. Nel contesto di Google Cloud, offre gestione delle identità, meccanismo di recupero, proprietà e gestione del ciclo di vita. L'immagine seguente mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorse di Google Cloud.


Il super amministratore di Google Workspace è la persona responsabile della verifica della proprietà del dominio e del contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa per impostazione predefinita la possibilità di assegnare ruoli IAM. Il compito principale del super amministratore di Google Workspace per Google Cloud è assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati nel suo dominio. In questo modo, verrà creata la separazione tra le responsabilità di amministrazione di Google Workspace e Google Cloud che gli utenti in genere cercano.

Vantaggi della risorsa organizzazione

Con una risorsa dell'organizzazione, le risorse del progetto appartengono alla tua organizzazione anziché al dipendente che ha creato il progetto. Ciò significa che le risorse del progetto non vengono più eliminate quando un dipendente lascia l'azienda, ma seguono il ciclo di vita della risorsa dell'organizzazione su Google Cloud.

Inoltre, gli amministratori dell'organizzazione hanno il controllo centrale di tutte le risorse. Possono visualizzare e gestire tutte le risorse di progetto della tua azienda. Questa applicazione significa che non possono più essere presenti progetti shadow o amministratori non autorizzati.

Inoltre, puoi concedere ruoli a livello di organizzazione che vengono ereditati da tutte le risorse del progetto e della cartella all'interno della risorsa dell'organizzazione. Ad esempio, puoi concedere il ruolo Amministratore di rete al team di networking a livello di organizzazione, permettendogli di gestire tutte le reti in tutte le risorse del progetto della tua azienda, invece di concedergli il ruolo di tutte le risorse del singolo progetto.

Una risorsa dell'organizzazione esposta dall'API Resource Manager è costituita da:

  • Un ID risorsa dell'organizzazione, che è un identificatore univoco di un'organizzazione.
  • Un nome visualizzato, che viene generato dal nome del dominio principale in Google Workspace o Cloud Identity.
  • L'ora di creazione della risorsa dell'organizzazione.
  • Ora dell'ultima modifica della risorsa dell'organizzazione.
  • Il proprietario della risorsa dell'organizzazione. Il proprietario viene specificato al momento della creazione della risorsa dell'organizzazione. Non può essere modificato dopo averlo impostato. Si tratta dell'ID cliente Google Workspace specificato nell'API Directory.

Il seguente snippet di codice mostra la struttura di una risorsa dell'organizzazione:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Il criterio IAM iniziale per una risorsa dell'organizzazione appena creata concede i ruoli Autore progetto e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come facevano prima dell'esistenza della risorsa dell'organizzazione. Non vengono create altre risorse quando viene creata una risorsa dell'organizzazione.

La risorsa cartella

Facoltativamente, le risorse delle cartelle forniscono un meccanismo di raggruppamento aggiuntivo e limiti di isolamento tra i progetti. Possono essere visualizzate come organizzazioni secondarie all'interno della risorsa dell'organizzazione. Le risorse delle cartelle possono essere utilizzate per creare modelli per le diverse persone giuridiche, i reparti e i team di un'azienda. Ad esempio, un primo livello di risorse delle cartelle potrebbe essere utilizzato per rappresentare i reparti principali della tua organizzazione. Poiché le risorse delle cartelle possono contenere risorse di progetto e altre, ogni risorsa potrebbe includere altre sottocartelle per rappresentare team diversi. Ogni cartella del team potrebbe contenere sottocartelle aggiuntive che rappresentano applicazioni diverse. Per ulteriori dettagli sull'utilizzo delle risorse delle cartelle, consulta la sezione Creare e gestire le risorse delle cartelle.

Se le risorse della cartella esistono nella risorsa dell'organizzazione e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle da Google Cloud Console. Per istruzioni più dettagliate, consulta la sezione Visualizzare o elencare le risorse delle cartelle e dei progetti.

Le risorse delle cartelle consentono la delega dei diritti di amministrazione, quindi, ad esempio, a ciascun responsabile di un reparto può essere concessa la proprietà completa di tutte le risorse Google Cloud che appartengono ai suoi reparti. Allo stesso modo, l'accesso alle risorse può essere limitato dalla risorsa della cartella, quindi gli utenti di un dipartimento possono solo accedere e creare risorse Google Cloud all'interno della risorsa della cartella.

Il seguente snippet di codice mostra la struttura di una risorsa della cartella:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Analogamente alle risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di ereditarietà dei criteri per IAM e i criteri dell'organizzazione. I ruoli IAM concessi a una risorsa della cartella vengono ereditati automaticamente da tutte le risorse del progetto e della cartella incluse in tale cartella.

Risorsa del progetto

La risorsa del progetto è l'entità organizzativa di livello base. Le risorse dell'organizzazione e della cartella possono contenere più progetti. Per utilizzare Google Cloud è necessaria una risorsa di progetto, che costituisce la base per creare, attivare e utilizzare tutti i servizi Google Cloud, gestire le API, abilitare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.

Tutte le risorse del progetto sono costituite da:

  • Due identificatori:
    1. L'ID risorsa del progetto, che è un identificatore univoco della risorsa di progetto.
    2. Numero della risorsa del progetto, che viene assegnato automaticamente quando crei il progetto. È di sola lettura.
  • Un nome visualizzato modificabile.
  • Lo stato del ciclo di vita della risorsa del progetto, ad esempio ACTIVE o DELETE_REQUESTED.
  • Una raccolta di etichette che possono essere utilizzate per filtrare i progetti.
  • La data e l'ora di creazione della risorsa del progetto.

Il seguente snippet di codice mostra la struttura di una risorsa di progetto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Per interagire con la maggior parte delle risorse Google Cloud, devi fornire le informazioni identificative delle risorse del progetto per ogni richiesta. Puoi identificare una risorsa di progetto in due modi: un ID risorsa di progetto o un numero di risorsa di progetto (projectId e projectNumber nello snippet di codice).

Un ID risorsa del progetto è il nome personalizzato che hai scelto durante la creazione della risorsa. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di crearne una o di selezionarne una utilizzando l'ID. Tieni presente che la stringa name, visualizzata nell'interfaccia utente, non corrisponde a quella dell'ID risorsa del progetto.

Il numero di risorsa del progetto viene generato automaticamente da Google Cloud. L'ID risorsa del progetto e il numero della risorsa del progetto sono disponibili nella dashboard della risorsa del progetto in Google Cloud Console. Per informazioni su come ottenere gli identificatori di progetto e altre attività di gestione per le risorse di progetto, consulta la sezione Creare e gestire le risorse di progetto.

Il criterio IAM iniziale per la risorsa di progetto appena creato concede il ruolo di proprietario all'autore del progetto.

Eredità IAM dei criteri

Google Cloud offre IAM, che consente di assegnare accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM consente di controllare chi (utenti) dispone dell'accesso (ruoli) a cui risorse impostando i criteri IAM sulle risorse.

Puoi impostare un criterio IAM a livello di organizzazione, a livello di cartella, a livello di progetto o, in alcuni casi, a livello di risorsa. Le risorse secondarie ereditano i criteri della risorsa principale. Un criterio impostato a livello di organizzazione viene ereditato da tutte le relative cartelle secondarie e da tutte le risorse di progetto. Se viene impostato a livello di progetto, viene ereditato da tutte le relative risorse figlio.

Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per quella risorsa più il criterio ereditato dai suoi predecessori. Questa ereditarietà è transitoria. In altre parole, le risorse ereditano i criteri dal progetto, che ereditano i criteri dalla risorsa dell'organizzazione. Pertanto, i criteri a livello di organizzazione si applicano anche a livello di risorsa.

Ad esempio, nel diagramma della gerarchia delle risorse riportato sopra, se imposti un criterio sulla cartella "Reparto Y" che concede il ruolo Editor progetto a bob@example.com, allora Mario avrà il ruolo di editor sui progetti "Progetto di sviluppo", "Progetto di test" e "Progetto di produzione". Al contrario, se assegni ad alice@example.com il ruolo di amministratore istanza per il progetto "Testa il progetto", potrà gestire solo le istanze di Compute Engine in tale progetto.

I ruoli sono sempre ereditati e non è possibile rimuovere in modo esplicito un'autorizzazione per una risorsa di livello inferiore che viene concessa a un livello superiore nella gerarchia delle risorse. Considerando l'esempio precedente, anche se rimuovi il ruolo Editor del progetto da Roberto nel progetto di test, continuerà a ereditare tale ruolo dalla cartella "Reparto Y", quindi avrà comunque le autorizzazioni per il ruolo in questione in "Progetto di test".

La gerarchia di criteri IAM segue lo stesso percorso della gerarchia di risorse Google Cloud. Se cambi la gerarchia delle risorse, cambia anche la gerarchia dei criteri. Ad esempio, lo spostamento di un progetto in una risorsa dell'organizzazione aggiorna il criterio IAM del progetto per ereditare il criterio IAM della risorsa dell'organizzazione. Allo stesso modo, lo spostamento di una risorsa di progetto da una risorsa della cartella a un'altra modificherà le autorizzazioni ereditate. Le autorizzazioni ereditate dalla risorsa del progetto dalla risorsa principale originale andranno perse quando la risorsa del progetto viene spostata in una nuova risorsa della cartella. Le autorizzazioni impostate nella risorsa cartella di destinazione verranno ereditate dalla risorsa progetto mentre viene spostata.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente