Gerarchia delle risorse

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina viene descritta la gerarchia delle risorse di Google Cloud e le risorse che possono essere gestite tramite Resource Manager.

Lo scopo della gerarchia delle risorse di Google Cloud è duplice:

  • Fornire una gerarchia di proprietà, che vincola il ciclo di vita di una risorsa al suo padre immediato nella gerarchia.
  • Specifica i punti di collegamento e l'ereditarietà per i criteri di controllo dell'accesso e dell'organizzazione.

In termini metabolici, la gerarchia delle risorse di Google Cloud è simile al file system presente nei sistemi operativi tradizionali per organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha un solo genitore. Questa organizzazione gerarchica delle risorse consente di definire i criteri di controllo dell'accesso e le impostazioni di configurazione su una risorsa principale, mentre le impostazioni dei criteri e di Identity and Access Management (IAM) vengono ereditate dalle risorse figlio.

Gerarchia delle risorse di Google Cloud in dettaglio

Le risorse Google Cloud sono organizzate in modo gerarchico. Tutte le risorse, ad eccezione della risorsa più alta di una gerarchia, hanno esattamente un elemento padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali che costituiscono tutti i servizi Google Cloud. Esempi di risorse di servizio includono macchine virtuali (VM) di Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, istanze App Engine. Tutte queste risorse di livello inferiore hanno risorse di progetto come padre, che rappresentano il primo meccanismo di raggruppamento della gerarchia delle risorse di Google Cloud.

Tutti gli utenti, inclusi quelli che utilizzano la prova gratuita, gli utenti del livello gratuito e i clienti di Google Workspace e Cloud Identity possono creare risorse di progetto. Gli utenti del programma Google Cloud Free possono creare risorse di servizio e risorse di servizio solo all'interno dei progetti. Le risorse del progetto possono essere il top della gerarchia, ma solo se vengono create da un utente di prova gratuita o da un utente di livello gratuito. I clienti di Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse di Google Cloud, come le risorse dell'organizzazione e delle cartelle. Scopri di più nella panoramica di Cloud Identity. Le risorse di progetto nella parte superiore della gerarchia non hanno risorse padre, ma è possibile eseguirne la migrazione in una risorsa organizzazione una volta che è stata creata per il dominio. Per maggiori dettagli sulla migrazione delle risorse di progetto, consulta la sezione Migrazione delle risorse di progetto.

I clienti di Google Workspace e Cloud Identity possono creare risorse dell'organizzazione. Ogni account Google Workspace o Cloud Identity è associato a una risorsa dell'organizzazione. Quando esiste una risorsa dell'organizzazione, si tratta della parte superiore della gerarchia delle risorse di Google Cloud e tutte le risorse che appartengono a un'organizzazione vengono raggruppate sotto la risorsa dell'organizzazione. Questo offre visibilità e controllo centrali su ogni risorsa che appartiene a un'organizzazione.

Le risorse delle cartelle sono un meccanismo di raggruppamento facoltativo aggiuntivo tra le risorse dell'organizzazione e le risorse di progetto. Per utilizzare le cartelle è necessario disporre di una risorsa dell'organizzazione. Le risorse delle cartelle e le relative risorse di progetto figlio sono mappate sotto la risorsa organizzazione.

La gerarchia di risorse Google Cloud, soprattutto nella sua forma più completa, che include risorse e cartelle delle organizzazioni, consente alle aziende di mappare la propria organizzazione su Google Cloud e fornisce punti di collegamento logici per i criteri di gestione degli accessi (IAM) e i criteri dell'organizzazione. Sia i criteri IAM sia i criteri dell'organizzazione vengono ereditati dalla gerarchia e il criterio effettivo per ciascuna risorsa della gerarchia è il risultato dei criteri applicati direttamente alla risorsa e dei criteri ereditati dai predecessori.

Il diagramma seguente rappresenta un esempio di gerarchia delle risorse di Google Cloud nella sua forma completa:

La risorsa organizzazione

La risorsa organizzazione rappresenta un'organizzazione (ad esempio un'azienda) e, se presente, il nodo radice nella gerarchia delle risorse Google Cloud. La risorsa organizzazione è l'antenato gerarchico delle risorse di cartelle e progetti. I criteri di controllo dell'accesso IAM applicati alla risorsa dell'organizzazione vengono applicati a tutta la gerarchia dell'organizzazione.

Gli utenti di Google Cloud non hanno bisogno di avere una risorsa dell'organizzazione, ma alcune funzionalità di Resource Manager non saranno utilizzabili senza. La risorsa organizzazione è strettamente associata a un account Google Workspace o Cloud Identity. Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa del progetto Google Cloud, gli viene assegnata automaticamente una risorsa dell'organizzazione.

È possibile eseguire il provisioning di una risorsa organizzazione per un account Google Workspace o Cloud Identity. Una volta creata una risorsa dell'organizzazione per un dominio, tutte le nuove risorse del progetto Google Cloud create dai membri del dominio dell'account apparterranno per impostazione predefinita alla risorsa dell'organizzazione. Quando un utente gestito crea una risorsa di progetto, il requisito è che la risorsa deve trovarsi in una risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni corrette, il progetto viene assegnato a tale organizzazione. In caso contrario, per impostazione predefinita verrà utilizzata la risorsa organizzazione a cui è associato l'utente. Per gli account associati a una risorsa dell'organizzazione è impossibile creare risorse di progetto che non sono associate a una risorsa dell'organizzazione.

Per semplicità, faremo riferimento a Google Workspace, ovvero agli utenti di Google Workspace e Cloud Identity.

L'account Google Workspace o Cloud Identity rappresenta una società ed è un prerequisito per avere accesso alla risorsa organizzazione. Nel contesto di Google Cloud, offre gestione delle identità, meccanismo di ripristino, proprietà e gestione del ciclo di vita. L'immagine seguente mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorse di Google Cloud.


Il super amministratore di Google Workspace è la persona responsabile della verifica della proprietà del dominio e del contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare ruoli IAM per impostazione predefinita. Il compito principale del super amministratore di Google Workspace in relazione a Google Cloud è quello di assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati nel loro dominio. In questo modo verrà creata la separazione tra le responsabilità di amministrazione di Google Workspace e Google Cloud generalmente richieste dagli utenti.

Vantaggi della risorsa organizzazione

Con una risorsa dell'organizzazione, le risorse del progetto appartengono alla tua organizzazione anziché al dipendente che ha creato il progetto. Ciò significa che le risorse del progetto non vengono più eliminate quando un dipendente lascia l'azienda; seguiranno invece il ciclo di vita della risorsa dell'organizzazione su Google Cloud.

Inoltre, gli amministratori dell'organizzazione hanno il controllo centrale di tutte le risorse. Possono visualizzare e gestire tutte le risorse di progetto della tua azienda. Questa applicazione significa che non possono più essere presenti progetti shadow o amministratori non autorizzati.

Inoltre, puoi assegnare ruoli a livello di organizzazione che vengono ereditati da tutte le risorse di progetto e cartella all'interno della risorsa dell'organizzazione. Ad esempio, puoi concedere il ruolo Amministratore di rete al team di networking a livello di organizzazione, in modo che possa gestire tutte le reti in tutte le risorse del progetto nella tua azienda, invece di concedergli il ruolo per tutte le singole risorse del progetto.

Una risorsa dell'organizzazione esposta dall'API Resource Manager è costituita da:

  • L'ID risorsa di un'organizzazione, che è un identificatore univoco per un'organizzazione.
  • Un nome visualizzato, che viene generato dal nome di dominio principale in Google Workspace o Cloud Identity.
  • L'ora di creazione della risorsa dell'organizzazione.
  • Ultima modifica della risorsa organizzazione.
  • Il proprietario della risorsa dell'organizzazione. Il proprietario viene specificato durante la creazione della risorsa dell'organizzazione. Non può essere modificato una volta impostato. È l'ID cliente Google Workspace specificato nell'API Directory.

Il seguente snippet di codice mostra la struttura di una risorsa dell'organizzazione:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Il criterio IAM iniziale per una risorsa dell'organizzazione appena creata concede i ruoli di Autore progetto e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come facevano prima dell'esistenza della risorsa dell'organizzazione. Non viene creata nessun'altra risorsa quando viene creata una risorsa dell'organizzazione.

La risorsa cartella

Le risorse delle cartelle offrono facoltativamente un meccanismo di raggruppamento aggiuntivo e limiti di isolamento tra i progetti. Possono essere considerate organizzazioni secondarie all'interno della risorsa organizzazione. Le risorse delle cartelle possono essere utilizzate per modellare diverse persone giuridiche, reparti, e team all'interno di un'azienda. Ad esempio, si può utilizzare un primo livello di risorse delle cartelle per rappresentare i reparti principali dell'organizzazione. Poiché le risorse delle cartelle possono contenere risorse di progetto e altre cartelle, ognuna di esse potrebbe includere altre sottocartelle per rappresentare i vari team. Ogni cartella del team può contenere altre sottocartelle per rappresentare le varie applicazioni. Per maggiori dettagli sull'utilizzo delle risorse delle cartelle, consulta la sezione Creazione e gestione delle risorse delle cartelle.

Se le risorse delle cartelle esistono nella risorsa della tua organizzazione e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle da Google Cloud Console. Per istruzioni più dettagliate, consulta la sezione Visualizzare o elencare le risorse di cartelle e progetti.

Le risorse delle cartelle consentono la delega dei diritti di amministrazione. Quindi, ad esempio, a ogni persona a capo di un reparto può essere concessa la proprietà totale di tutte le risorse Google Cloud che appartengono ai suoi reparti. Analogamente, l'accesso alle risorse può essere limitato dalla risorsa di cartelle, in modo che gli utenti di un reparto possano creare risorse di Google Cloud e accedervi solo all'interno di quella risorsa della cartella.

Il seguente snippet di codice mostra la struttura di una risorsa di cartella:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Analogamente alle risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di ereditarietà dei criteri per i criteri IAM e dell'organizzazione. I ruoli IAM concessi a una risorsa di cartella vengono ereditati automaticamente da tutte le risorse di progetto e cartella incluse in quella cartella.

La risorsa del progetto

La risorsa di progetto è l'entità di organizzazione di base. Le risorse dell'organizzazione e della cartella possono contenere più progetti. Per utilizzare Google Cloud è necessaria una risorsa di progetto che costituisce la base per creare, abilitare e utilizzare tutti i servizi Google Cloud, gestire le API, abilitare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.

Tutte le risorse del progetto sono costituite da:

  • Due identificatori:
    1. ID risorsa del progetto, che è un identificatore univoco della risorsa di progetto.
    2. Numero della risorsa del progetto, che viene assegnato automaticamente quando crei il progetto. È di sola lettura.
  • Un nome visualizzato modificabile.
  • Lo stato del ciclo di vita della risorsa del progetto, ad esempio ACTIVE o DELETE_REQUEST.
  • Una raccolta di etichette che possono essere utilizzate per filtrare i progetti.
  • L'ora in cui è stata creata la risorsa di progetto.

Il seguente snippet di codice mostra la struttura di una risorsa di progetto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Per interagire con la maggior parte delle risorse Google Cloud, devi fornire le informazioni identificative del progetto di progetto per ogni richiesta. Puoi identificare una risorsa di progetto in uno dei due modi seguenti: un ID risorsa di progetto o il numero di risorsa del progetto (projectId e projectNumber nello snippet di codice).

Un ID risorsa del progetto è il nome personalizzato che hai scelto durante la creazione della risorsa del progetto. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di creare una risorsa di progetto o di selezionarne una utilizzando l'ID risorsa di progetto. Tieni presente che la stringa name, che viene visualizzata nell'interfaccia utente, non corrisponde all'ID risorsa del progetto.

Il numero di risorse del progetto viene generato automaticamente da Google Cloud. L'ID risorsa del progetto e il numero della risorsa del progetto sono disponibili nella dashboard della risorsa del progetto in Google Cloud Console. Per informazioni su come ottenere gli identificatori dei progetti e altre attività di gestione per le risorse del progetto, consulta Creazione e gestione delle risorse del progetto.

Il criterio IAM iniziale per la risorsa del progetto appena creato concede il ruolo di proprietario all'autore del progetto.

Eredità dei criteri IAM

Google Cloud offre IAM, che ti consente di assegnare l'accesso granulare a determinate risorse Google Cloud e di impedire l'accesso indesiderato ad altre risorse. IAM ti consente di controllare chi (utenti) ha quale accesso (ruoli) a cui risorse impostando i criteri IAM sulle risorse.

Puoi impostare un criterio IAM a livello di organizzazione, a livello di cartella, a livello di progetto o, in alcuni casi, a livello di risorsa. Le risorse secondarie ereditano i criteri della risorsa principale. I criteri che imposti al livello dell'organizzazione vengono ereditati da tutte le cartelle figlio e dalle risorse di progetto e, se li imposti a livello di progetto, vengono ereditate da tutte le relative risorse figlio.

Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per la risorsa e del criterio ereditato dai suoi predecessori. L'ereditarietà è temporanea. In altre parole, le risorse ereditano i criteri dal progetto, che ereditano i criteri dalla risorsa dell'organizzazione. Di conseguenza, i criteri a livello di organizzazione si applicano anche a livello di risorsa.

Ad esempio, nel diagramma della gerarchia delle risorse riportato sopra, se imposti un criterio sulla cartella "Dipartimento Y" che concede il ruolo Editor di progetto a bob@example.com, Bob avrà il ruolo di editor sui progetti "Progetto di sviluppo", "Progetto di test" e "Progetto di produzione". Al contrario, se assegni a alice@example.com il ruolo Amministratore di istanze sul progetto "Testa progetto", potrà gestire solo le istanze di Compute Engine in tale progetto.

I ruoli vengono sempre ereditati e non è possibile rimuovere in modo esplicito un'autorizzazione per una risorsa di livello inferiore che viene concessa a un livello superiore nella gerarchia delle risorse. Considerando l'esempio precedente, anche se rimuovi il ruolo Editor di progetto da Bob in "Progetto di test", questo erediterà comunque dalla cartella "Dipartimento Y", quindi continuerà ad avere le autorizzazioni per tale ruolo in "Progetto di test".

La gerarchia dei criteri IAM segue lo stesso percorso della gerarchia delle risorse di Google Cloud. Se modifichi la gerarchia delle risorse, cambia anche la gerarchia dei criteri. Ad esempio, lo spostamento di un progetto in una risorsa dell'organizzazione comporta l'aggiornamento del criterio IAM del progetto per ereditare dai criteri della risorsa dell'organizzazione. Analogamente, lo spostamento di una risorsa di progetto da una risorsa di cartella a un'altra modifica le autorizzazioni ereditate. Le autorizzazioni ereditate dalla risorsa di progetto dalla risorsa principale originale andranno perse quando la risorsa di progetto viene spostata in una nuova risorsa di cartella. Le autorizzazioni impostate nella risorsa cartella di destinazione verranno ereditate dalla risorsa del progetto durante lo spostamento.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente