La risorsa organizzazione è il nodo radice della gerarchia delle risorse Google Cloud ed è il supernodo gerarchico dei progetti. Questa pagina spiega come acquistare e gestire una risorsa dell'organizzazione.
Prima di iniziare
Leggi una panoramica della risorsa organizzazione.
Ottenere una risorsa dell'organizzazione
Per i clienti di Google Workspace e Cloud Identity è disponibile una risorsa Organizzazione:
- Google Workspace: registrati a Google Workspace.
- Cloud Identity: registrati a Cloud Identity.
Dopo aver creato il tuo account Google Workspace o Cloud Identity e averlo associato a un dominio, la risorsa organizzazione verrà creata automaticamente per te. Il provisioning della risorsa verrà eseguito in momenti diversi a seconda dello stato del tuo account:
- Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, la risorsa dell'organizzazione verrà creata per te quando accedi alla console Google Cloud e accetti i termini e le condizioni.
-
Se sei già un utente Google Cloud, la risorsa organizzazione verrà creata per te quando crei un nuovo progetto o account di fatturazione. È normale che i progetti creati in precedenza vengano elencati in "Nessuna organizzazione". Verrà visualizzata la risorsa dell'organizzazione e il nuovo progetto che hai creato verrà collegato automaticamente.
Dovrai spostare i progetti creati in "Nessuna organizzazione" nella nuova risorsa dell'organizzazione. Per istruzioni su come spostare i progetti, consulta Eseguire la migrazione dei progetti in una risorsa dell'organizzazione.
La risorsa organizzazione creata verrà collegata al tuo account Google Workspace o Cloud Identity con il progetto o l'account di fatturazione che hai creato impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno secondari di questa risorsa dell'organizzazione.
- Per informazioni su come eseguire la migrazione dei progetti preesistenti, consulta Eseguire la migrazione dei progetti esistenti.
Ogni account Google Workspace o Cloud Identity è associato a esattamente una risorsa dell'organizzazione. Una risorsa organizzazione è associata a esattamente un dominio, che viene impostato al momento della creazione della risorsa.
Quando viene creata la risorsa dell'organizzazione, comunichiamo la sua disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore vanno usati con cautela perché il controllo che hanno sulla tua organizzazione e su tutte le risorse sottostanti è molto esteso. Per questo motivo, sconsigliamo di utilizzare gli account super amministratore di Google Workspace o Cloud Identity per la gestione quotidiana della risorsa dell'organizzazione. Per ulteriori informazioni sull'utilizzo degli account super amministratore di Google Workspace o Cloud Identity in Google Cloud, consulta le Best practice per i super amministratori.
Per adottare attivamente la risorsa organizzazione, i super amministratori di Google Workspace o Cloud Identity devono assegnare il ruolo IAM Amministratore organizzazione (roles/resourcemanager.organizationAdmin
) a un utente o un gruppo. Per la procedura di configurazione della risorsa dell'organizzazione, vedi
Configurare la risorsa dell'organizzazione.
- Quando viene creata la risorsa organizzazione, a tutti gli utenti del tuo dominio vengono assegnati automaticamente i ruoli IAM Autore progetto (
roles/resourcemanager.projectCreator
) e Creatore account di fatturazione (roles/billing.creator
) a livello di risorsa organizzazione. In questo modo, gli utenti del tuo dominio possono continuare a creare progetti senza interruzioni. - L'amministratore dell'organizzazione deciderà quando iniziare a utilizzare attivamente la risorsa dell'organizzazione. Potranno quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi, se necessario.
- Se la risorsa dell'organizzazione è disponibile e non disponi delle autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Vengono creati automaticamente nella risorsa dell'organizzazione, anche se non li vedi.
Ottenere l'ID risorsa dell'organizzazione
L'ID risorsa dell'organizzazione è un identificatore univoco per una risorsa dell'organizzazione e viene creato automaticamente quando viene creata la risorsa. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono avere zeri iniziali.
Puoi ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud, gCloud CLI o l'API Cloud Resource Manager.
console
Per recuperare l'ID della risorsa dell'organizzazione utilizzando la console Google Cloud, segui questi passaggi:
- Vai alla console Google Cloud:
- Dal selettore di progetti nella parte superiore della pagina, seleziona la risorsa della tua organizzazione.
- Sul lato destro, fai clic su Altro e poi su Impostazioni.
La pagina Impostazioni mostra l'ID risorsa dell'organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui il seguente comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione.
API
Per trovare l'ID risorsa della tua organizzazione utilizzando l'API Cloud Resource Manager, utilizza il metodo
organizations.search()
, includendo una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa dell'organizzazione appartenente a altostrat.com
, inclusi l'ID della risorsa dell'organizzazione.
Configurazione della risorsa dell'organizzazione
Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa organizzazione.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno vedere la risorsa dell'organizzazione, ma potranno modificarla solo dopo che saranno state impostate le autorizzazioni corrette.
I super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa organizzazione. Questi due ruoli vengono generalmente assegnati a utenti o gruppi diversi, anche se questa scelta dipende dalla struttura e dalle esigenze della risorsa dell'organizzazione.
Nell'ambito della configurazione della risorsa organizzazione Google Cloud, le responsabilità del super amministratore di Google Workspace o Cloud Identity sono:
- Assegnare il ruolo Amministratore dell'organizzazione ad alcuni utenti
- Agisce da punto di contatto in caso di problemi di ripristino
- Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity e della risorsa organizzazione come spiegato in Eliminare una risorsa organizzazione
Una volta assegnato, il ruolo Amministratore dell'organizzazione può assegnare ruoli di Identity and Access Management ad altri utenti. Le responsabilità del ruolo Amministratore dell'organizzazione sono:
- Definire i criteri IAM e concedere ruoli IAM ad altri utenti.
- Visualizzare la struttura della gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione a eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, è necessario che un Amministratore organizzazione assegni ruoli aggiuntivi al proprio account.
La presenza di due ruoli distinti garantisce la separazione delle responsabilità tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione Google Cloud. Spesso si tratta di un requisito, in quanto i due prodotti Google sono in genere gestiti da reparti diversi dell'organizzazione del cliente.
Per iniziare a utilizzare attivamente la risorsa dell'organizzazione, segui questi passaggi per aggiungere un Amministratore organizzazione:
Aggiunta di un Amministratore organizzazione
Console
Per aggiungere un Amministratore organizzazione:
Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:
Seleziona la risorsa dell'organizzazione che vuoi modificare:
Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa dell'organizzazione e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere un Amministratore organizzazione dell'organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.
Fai clic su Aggiungi e inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore dell'organizzazione e poi fai clic su Salva.
L'amministratore dell'organizzazione può:
Assumere il pieno controllo della risorsa dell'organizzazione. È stata stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Google Cloud.
Delegare la responsabilità per le funzioni critiche assegnando i ruoli IAM pertinenti.
Come spiegato in Acquisizione di una risorsa dell'organizzazione, al momento della creazione, per impostazione predefinita a tutti gli utenti del dominio vengono assegnati i ruoli Autore progetto e Creatore account di fatturazione a livello di risorsa dell'organizzazione. In questo modo, non viene causata alcuna interruzione per gli utenti di Google Cloud quando viene creata la risorsa dell'organizzazione. Quando l'amministratore dell'organizzazione prende il controllo, potrebbe voler rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso con una granularità più fine (ad esempio a livello di cartella o progetto). Tieni presente che, poiché
i criteri IAM vengono ereditati nella gerarchia, avere assigned
il ruolo Autore progetto all'intero dominio
(domain:mycompany.com
) a livello di risorsa dell'organizzazione implica che ogni utente
nel dominio può creare progetti in qualsiasi posizione della gerarchia.
Creazione di progetti nella risorsa dell'organizzazione
Console
Puoi creare un progetto nella risorsa organizzazione utilizzando la console Google Cloud dopo che la risorsa organizzazione è stata attivata per il tuo dominio.
Per creare un nuovo progetto nella risorsa dell'organizzazione:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella console Google Cloud.
I passaggi rimanenti vengono visualizzati nella console Google Cloud.
- Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
- Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
- Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
API
Puoi creare un nuovo progetto nella risorsa dell'organizzazione creando un project
e impostando il relativo campo parent
sul organizationId
della risorsa dell'organizzazione.
Il seguente snippet di codice mostra come creare un progetto in una risorsa dell'organizzazione:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualizzazione dei progetti in una risorsa dell'organizzazione
Gli utenti possono visualizzare ed elencare solo i progetti a cui hanno accesso tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare e elencare tutti i progetti nella risorsa dell'organizzazione.
Console
Per visualizzare tutti i progetti in una risorsa dell'organizzazione utilizzando la console Google Cloud:
Vai alla console Google Cloud:
Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.
Seleziona la risorsa dell'organizzazione.
Fai clic sul menu a discesa Progetto nella parte superiore della pagina e poi su Visualizza altri progetti. Nella pagina sono elencati tutti i progetti della risorsa dell'organizzazione.
L'opzione Nessuna organizzazione nell'elenco a discesa Organizzazione elenca i seguenti progetti:
- Progetti che non appartengono ancora alla risorsa dell'organizzazione.
- Progetti a cui l'utente ha accesso, ma che fanno parte di una risorsa dell'organizzazione a cui l'utente non ha accesso.
gcloud
Per visualizzare tutti i progetti in una risorsa dell'organizzazione, esegui il seguente comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Utilizza il metodo
projects.list()
per elencare tutti i progetti di una risorsa principale, come mostrato nel
seguente snippet di codice:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminazione di una risorsa dell'organizzazione
La risorsa organizzazione è associata al tuo account Google Workspace o Cloud Identity.
Se preferisci non utilizzare la risorsa dell'organizzazione, ti consigliamo di ripristinare lo stato originale del criterio IAM della risorsa dell'organizzazione seguendo questi passaggi:
- Aggiungi il tuo dominio ai ruoli
Project Creator
eBilling Account Creator
. - Rimuovi tutte le altre voci nel criterio IAM della risorsa dell'organizzazione.
In questo modo, gli utenti potranno continuare a creare progetti e account di fatturazione, mentre i super amministratori di Google Workspace o Cloud Identity potranno recuperare l'amministrazione centrale in un secondo momento.
Se elimini il tuo account Google Workspace, verranno eliminate la risorsa dell'organizzazione e tutte le risorse associate. Pertanto, se vuoi eliminare la risorsa della tua organizzazione, puoi farlo eliminando il tuo account Google Workspace. Gli utenti di Cloud Identity devono annullare tutti gli altri servizi Google, quindi eliminare il proprio Account Google. Si tratta di un'azione potenzialmente molto dannosa che potrebbe essere impossibile annullare completamente, pertanto ti consigliamo di intraprenderla solo se hai la certezza che non ci siano risorse in uso.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente