Resource organisasi adalah node root dalam hierarki resource Google Cloud dan merupakan node super hierarkis pada project. Halaman ini menjelaskan cara mendapatkan dan mengelola resource organisasi.
Sebelum memulai
Baca ringkasan resource organisasi.
Mendapatkan resource organisasi
Resource organisasi tersedia untuk pelanggan Google Workspace dan Cloud Identity:
- Google Workspace: Daftar ke Google Workspace.
- Cloud Identity: Daftar ke Cloud Identity.
Setelah Anda membuat akun Google Workspace atau Cloud Identity dan mengaitkannya dengan domain, resource organisasi Anda akan otomatis dibuat untuk Anda. Resource akan disediakan pada waktu yang berbeda, bergantung pada status akun Anda:
- Jika Anda baru menggunakan Google Cloud dan belum membuat project, resource organisasi akan dibuat saat Anda login ke Konsol Google Cloud dan menyetujui persyaratan dan ketentuannya.
-
Jika Anda adalah pengguna Google Cloud lama, resource organisasi akan dibuat saat Anda membuat project atau akun penagihan baru. Setiap project yang Anda buat sebelumnya akan tercantum di bagian "Tidak ada organisasi", dan ini hal yang normal. Resource organisasi akan muncul dan project baru yang Anda buat akan otomatis ditautkan.
Anda harus memindahkan project apa pun yang dibuat di bagian "Tidak ada organisasi" ke resource organisasi baru. Untuk petunjuk cara memindahkan project, lihat Memigrasikan project ke dalam resource organisasi.
Resource organisasi yang dibuat akan ditautkan ke akun Google Workspace atau Cloud Identity Anda dengan project atau akun penagihan yang Anda buat akan ditetapkan sebagai resource turunan. Semua project dan akun penagihan yang dibuat dalam domain Google Workspace atau Cloud Identity Anda akan menjadi turunan dari resource organisasi ini.
- Untuk informasi tentang cara memigrasikan project yang sudah ada, lihat Memigrasikan project yang sudah ada.
Setiap akun Google Workspace atau Cloud Identity dikaitkan dengan tepat satu resource organisasi. Resource organisasi dikaitkan dengan satu domain saja, yang ditetapkan saat resource organisasi dibuat.
Saat resource organisasi dibuat, kami memberitahukan ketersediaannya kepada admin super Google Workspace atau Cloud Identity. Akun admin super ini harus digunakan dengan hati-hati karena akun tersebut memiliki banyak kontrol atas resource organisasi Anda dan semua resource di bawahnya. Karena alasan ini, sebaiknya jangan gunakan akun admin super Google Workspace atau Cloud Identity untuk mengelola resource organisasi Anda sehari-hari. Untuk mengetahui informasi lebih lanjut mengenai penggunaan akun admin super Google Workspace atau Cloud Identity di Google Cloud, lihat Praktik Terbaik Admin Super.
Untuk mengadopsi resource organisasi secara aktif, admin super Google Workspace atau Cloud Identity perlu menetapkan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin) ke Identity and Access Management (IAM) untuk pengguna atau grup. Untuk mengetahui langkah-langkah penyiapan resource organisasi, lihat
Menyiapkan resource organisasi.
- Saat resource organisasi dibuat, semua pengguna di domain Anda akan otomatis diberi peran IAM Project Creator (
roles/resourcemanager.projectCreator) dan Billing Account Creator (roles/billing.creator) di level resource organisasi. Dengan begitu, pengguna di domain Anda dapat terus membuat project tanpa gangguan. - Administrator Organisasi akan memutuskan kapan mereka ingin mulai aktif menggunakan resource organisasi. Mereka kemudian dapat mengubah izin default dan menerapkan kebijakan yang lebih ketat sesuai kebutuhan.
- Jika resource organisasi tersedia dan Anda tidak memiliki izin IAM untuk melihatnya, Anda masih dapat membuat project dan akun penagihan. Link ini dibuat secara otomatis di bagian resource organisasi, meskipun Anda tidak dapat melihatnya.
Mendapatkan ID resource organisasi Anda
ID resource organisasi adalah ID unik untuk resource organisasi dan dibuat secara otomatis saat resource organisasi Anda dibuat. ID resource organisasi diformat sebagai angka desimal dan tidak boleh memiliki angka nol di awal.
Anda bisa mendapatkan ID resource organisasi menggunakan Konsol Google Cloud, gcloud CLI, atau Cloud Resource Manager API.
console
Untuk mendapatkan ID resource organisasi menggunakan Konsol Google Cloud, lakukan langkah berikut:
- Buka Konsol Google Cloud:
- Dari pemilih project di bagian atas halaman, pilih resource organisasi Anda.
- Di sisi kanan, klik Lainnya, lalu klik Setelan.
Halaman Setelan akan menampilkan ID resource organisasi Anda.
gcloud
Untuk menemukan ID resource organisasi Anda, jalankan perintah berikut:
gcloud organizations list
Perintah ini mencantumkan semua resource organisasi tempat Anda berada, dan ID resource organisasinya yang sesuai.
API
Untuk menemukan ID resource organisasi menggunakan Cloud Resource Manager API, gunakan metode organizations.search(), termasuk kueri untuk domain Anda. Contoh:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
Respons berisi metadata resource organisasi yang
termasuk dalam altostrat.com, yang menyertakan ID resource organisasi.
Menyiapkan resource organisasi
Jika Anda adalah pelanggan Google Workspace atau Cloud Identity, resource organisasi akan otomatis disediakan untuk Anda.
Administrator super Google Workspace atau Cloud Identity adalah pengguna pertama yang dapat mengakses resource organisasi setelah pembuatan. Semua pengguna atau grup lain akan dapat menggunakan Google Cloud seperti sebelumnya. Mereka akan dapat melihat resource organisasi, tetapi mereka hanya dapat mengubahnya setelah izin yang benar ditetapkan.
Administrator super Google Workspace atau Cloud Identity dan Administrator Organisasi Google Cloud adalah peran penting selama proses penyiapan dan untuk kontrol siklus proses bagi resource organisasi. Kedua peran ini umumnya ditetapkan kepada pengguna atau grup yang berbeda, meskipun hal ini bergantung pada struktur dan kebutuhan resource organisasi.
Tanggung jawab administrator super Google Workspace atau Cloud Identity, dalam konteks penyiapan resource organisasi Google Cloud, adalah:
- Menetapkan peran Administrator Organisasi ke beberapa pengguna
- Menjadi kontak (POC) jika terjadi masalah pemulihan
- Mengontrol siklus proses akun dan resource organisasi Google Workspace atau Cloud Identity seperti yang dijelaskan di bagian Menghapus resource organisasi
Setelah ditetapkan, Administrator Organisasi dapat menetapkan peran Identity and Access Management untuk pengguna lain. Tanggung jawab peran Administrator Organisasi adalah:
- Menetapkan kebijakan IAM dan memberikan peran IAM kepada pengguna lain.
- Melihat struktur Hierarki Resource
Dengan mengikuti prinsip hak istimewa terendah, peran ini tidak menyertakan izin untuk melakukan tindakan lain, seperti membuat folder atau project. Untuk mendapatkan izin ini, Administrator Organisasi harus menetapkan peran tambahan ke akunnya.
Memiliki dua peran berbeda memastikan pemisahan tugas antara administrator super Google Workspace atau Cloud Identity dan Administrator Organisasi Google Cloud. Hal ini sering kali merupakan persyaratan karena dua produk Google biasanya dikelola oleh departemen yang berbeda di organisasi pelanggan.
Untuk mulai menggunakan resource organisasi secara aktif, ikuti langkah-langkah di bawah ini untuk menambahkan Administrator Organisasi:
Menambahkan Administrator Organisasi
Konsol
Untuk menambahkan Administrator Organisasi:
Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:
Pilih resource organisasi yang ingin Anda edit:
Klik menu drop-down project di bagian atas halaman.
Dalam dialog Select from, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahi Administrator Organisasi.
Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.
Klik Add, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.
Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.
Administrator Organisasi dapat melakukan hal berikut:
Kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super Google Workspace atau Cloud Identity dan administrator Google Cloud telah ditetapkan.
Delegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.
Seperti yang dijelaskan dalam Memperoleh resource organisasi, setelah pembuatan,
semua pengguna dalam domain diberi peran Project Creator dan Billing Account Creator
di tingkat resource organisasi secara default. Dengan begitu, pengguna Google Cloud tidak akan mengalami gangguan saat resource organisasi dibuat. Karena
Administrator Organisasi mengambil alih kendali, mereka mungkin ingin menghapus
izin tingkat organisasi ini untuk mulai mengunci akses secara terperinci (misalnya, di level folder atau project). Perlu diperhatikan bahwa karena kebijakan IAM diwariskan dalam hierarki, menetapkan peran Project Creator ke seluruh domain (domain:mycompany.com) di level resource organisasi menyiratkan bahwa setiap pengguna dalam domain dapat membuat project di mana pun dalam hierarki.
Membuat project di resource organisasi
Konsol
Anda dapat membuat project di resource organisasi menggunakan Konsol Google Cloud setelah resource organisasi diaktifkan untuk domain Anda.
Untuk membuat project baru di resource organisasi:
Untuk membuat project baru, lakukan hal berikut:
-
Buka halaman Manage resources di Konsol Google Cloud.
Langkah-langkah selanjutnya akan muncul secara otomatis di Konsol Google Cloud.
- Pada menu drop-down Select organization di bagian atas halaman, pilih resource organisasi tempat Anda ingin membuat project. Jika Anda adalah pengguna uji coba gratis, lewati langkah ini karena daftar ini tidak akan muncul.
- Klik Buat Project.
- Di jendela New Project yang muncul, masukkan nama project dan pilih akun penagihan yang berlaku. Nama project hanya boleh berisi huruf, angka, tanda kutip tunggal, tanda hubung, spasi, atau tanda seru, dan harus antara 4 hingga 30 karakter.
- Masukkan organisasi induk atau resource folder di kotak Location. Resource tersebut akan menjadi induk hierarkis project baru. Jika No organization dipilih, Anda dapat memilihnya untuk membuat project baru sebagai level teratas dalam hierarki resource-nya sendiri.
- Setelah selesai memasukkan detail project baru, klik Buat.
API
Anda dapat membuat project baru di resource organisasi dengan
membuat
project dan menetapkan kolom parent ke organizationId
resource organisasi.
Cuplikan kode berikut menunjukkan cara membuat project di resource organisasi:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Melihat project di resource organisasi
Pengguna hanya dapat melihat dan membuat daftar project yang aksesnya mereka miliki melalui peran IAM. Administrator Organisasi dapat melihat dan mencantumkan semua project di resource organisasi.
Konsol
Untuk melihat semua project dalam resource organisasi menggunakan Konsol Google Cloud:
Buka Konsol Google Cloud:
Klik drop-down Organisasi di bagian atas halaman.
Pilih resource organisasi Anda.
Klik drop-down Project di bagian atas halaman, lalu klik View more projects. Semua project di resource organisasi tercantum di halaman.
Opsi Tidak ada organisasi di drop-down Organisasi mencantumkan project berikut:
- Project yang belum termasuk dalam resource organisasi.
- Project yang dapat diakses pengguna, tetapi berada dalam resource organisasi yang tidak dapat diakses oleh pengguna.
gcloud
Untuk melihat semua project di resource organisasi, jalankan perintah berikut:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Gunakan
metode projects.list()
untuk mencantumkan semua project di bawah resource induk, seperti ditunjukkan dalam
cuplikan kode berikut:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Menghapus resource organisasi
Resource organisasi terikat dengan akun Google Workspace atau Cloud Identity Anda.
Jika Anda memilih untuk tidak menggunakan resource organisasi, sebaiknya pulihkan kebijakan IAM resource organisasi ke status asli menggunakan langkah-langkah berikut:
- Tambahkan domain Anda ke peran
Project CreatordanBilling Account Creator. - Hapus semua entri lain di kebijakan IAM resource organisasi.
Dengan demikian, pengguna dapat terus membuat Project dan Akun Penagihan sekaligus mengizinkan admin super Google Workspace atau Cloud Identity untuk memulihkan administrasi pusat nanti.
Jika Anda menghapus akun Google Workspace, resource organisasi dan semua resource yang terkait dengannya akan dihapus. Oleh karena itu, jika ingin menghapus resource organisasi, Anda dapat melakukannya dengan menghapus akun Google Workspace Anda. Untuk pengguna Cloud Identity, batalkan semua layanan Google lainnya, lalu hapus akun Google Anda. Tindakan ini berpotensi sangat merusak dan mungkin tidak mungkin untuk dikembalikan sepenuhnya. Jadi, sebaiknya hanya lakukan tindakan ini jika Anda yakin tidak ada resource yang aktif digunakan.
Cobalah sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis