Membuat dan mengelola resource organisasi

Resource organisasi adalah node root dalam hierarki resource Google Cloud dan merupakan node super hierarkis pada project. Halaman ini menjelaskan cara mendapatkan dan mengelola resource organisasi.

Sebelum memulai

Baca ringkasan resource organisasi.

Mendapatkan resource organisasi

Resource organisasi tersedia untuk pelanggan Google Workspace dan Cloud Identity:

Setelah Anda membuat akun Google Workspace atau Cloud Identity dan mengaitkannya dengan domain, resource organisasi Anda akan otomatis dibuat untuk Anda. Resource akan disediakan pada waktu yang berbeda, bergantung pada status akun Anda:

  • Jika Anda baru menggunakan Google Cloud dan belum membuat project, resource organisasi akan dibuat saat Anda login ke Konsol Google Cloud dan menyetujui persyaratan dan ketentuannya.

  • Jika Anda adalah pengguna Google Cloud lama, resource organisasi akan dibuat saat Anda membuat project atau akun penagihan baru. Setiap project yang Anda buat sebelumnya akan tercantum di bagian "Tidak ada organisasi", dan ini hal yang normal. Resource organisasi akan muncul dan project baru yang Anda buat akan otomatis ditautkan.

    Anda harus memindahkan project apa pun yang dibuat di bagian "Tidak ada organisasi" ke resource organisasi baru. Untuk petunjuk cara memindahkan project, lihat Memigrasikan project ke dalam resource organisasi.

Resource organisasi yang dibuat akan ditautkan ke akun Google Workspace atau Cloud Identity Anda dengan project atau akun penagihan yang Anda buat akan ditetapkan sebagai resource turunan. Semua project dan akun penagihan yang dibuat dalam domain Google Workspace atau Cloud Identity Anda akan menjadi turunan dari resource organisasi ini.

Setiap akun Google Workspace atau Cloud Identity dikaitkan dengan tepat satu resource organisasi. Resource organisasi dikaitkan dengan satu domain saja, yang ditetapkan saat resource organisasi dibuat.

Saat resource organisasi dibuat, kami memberitahukan ketersediaannya kepada admin super Google Workspace atau Cloud Identity. Akun admin super ini harus digunakan dengan hati-hati karena akun tersebut memiliki banyak kontrol atas resource organisasi Anda dan semua resource di bawahnya. Karena alasan ini, sebaiknya jangan gunakan akun admin super Google Workspace atau Cloud Identity untuk mengelola resource organisasi Anda sehari-hari. Untuk mengetahui informasi lebih lanjut mengenai penggunaan akun admin super Google Workspace atau Cloud Identity di Google Cloud, lihat Praktik Terbaik Admin Super.

Untuk mengadopsi resource organisasi secara aktif, admin super Google Workspace atau Cloud Identity perlu menetapkan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin) ke Identity and Access Management (IAM) untuk pengguna atau grup. Untuk mengetahui langkah-langkah penyiapan resource organisasi, lihat Menyiapkan resource organisasi.

  • Saat resource organisasi dibuat, semua pengguna di domain Anda akan otomatis diberi peran IAM Project Creator (roles/resourcemanager.projectCreator) dan Billing Account Creator (roles/billing.creator) di level resource organisasi. Dengan begitu, pengguna di domain Anda dapat terus membuat project tanpa gangguan.
  • Administrator Organisasi akan memutuskan kapan mereka ingin mulai aktif menggunakan resource organisasi. Mereka kemudian dapat mengubah izin default dan menerapkan kebijakan yang lebih ketat sesuai kebutuhan.
  • Jika resource organisasi tersedia dan Anda tidak memiliki izin IAM untuk melihatnya, Anda masih dapat membuat project dan akun penagihan. Link ini dibuat secara otomatis di bagian resource organisasi, meskipun Anda tidak dapat melihatnya.

Mendapatkan ID resource organisasi Anda

ID resource organisasi adalah ID unik untuk resource organisasi dan dibuat secara otomatis saat resource organisasi Anda dibuat. ID resource organisasi diformat sebagai angka desimal dan tidak boleh memiliki angka nol di awal.

Anda bisa mendapatkan ID resource organisasi menggunakan Konsol Google Cloud, gcloud CLI, atau Cloud Resource Manager API.

console

Untuk mendapatkan ID resource organisasi menggunakan Konsol Google Cloud, lakukan langkah berikut:

  1. Buka Konsol Google Cloud:

    Buka konsol Google Cloud.

  2. Dari pemilih project di bagian atas halaman, pilih resource organisasi Anda.
  3. Di sisi kanan, klik Lainnya, lalu klik Setelan.

Halaman Setelan akan menampilkan ID resource organisasi Anda.

gcloud

Untuk menemukan ID resource organisasi Anda, jalankan perintah berikut:

gcloud organizations list

Perintah ini mencantumkan semua resource organisasi tempat Anda berada, dan ID resource organisasinya yang sesuai.

API

Untuk menemukan ID resource organisasi menggunakan Cloud Resource Manager API, gunakan metode organizations.search(), termasuk kueri untuk domain Anda. Contoh:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Respons berisi metadata resource organisasi yang termasuk dalam altostrat.com, yang menyertakan ID resource organisasi.

Menyiapkan resource organisasi

Jika Anda adalah pelanggan Google Workspace atau Cloud Identity, resource organisasi akan otomatis disediakan untuk Anda.

Administrator super Google Workspace atau Cloud Identity adalah pengguna pertama yang dapat mengakses resource organisasi setelah pembuatan. Semua pengguna atau grup lain akan dapat menggunakan Google Cloud seperti sebelumnya. Mereka akan dapat melihat resource organisasi, tetapi mereka hanya dapat mengubahnya setelah izin yang benar ditetapkan.

Administrator super Google Workspace atau Cloud Identity dan Administrator Organisasi Google Cloud adalah peran penting selama proses penyiapan dan untuk kontrol siklus proses bagi resource organisasi. Kedua peran ini umumnya ditetapkan kepada pengguna atau grup yang berbeda, meskipun hal ini bergantung pada struktur dan kebutuhan resource organisasi.

Tanggung jawab administrator super Google Workspace atau Cloud Identity, dalam konteks penyiapan resource organisasi Google Cloud, adalah:

  • Menetapkan peran Administrator Organisasi ke beberapa pengguna
  • Menjadi kontak (POC) jika terjadi masalah pemulihan
  • Mengontrol siklus proses akun dan resource organisasi Google Workspace atau Cloud Identity seperti yang dijelaskan di bagian Menghapus resource organisasi

Setelah ditetapkan, Administrator Organisasi dapat menetapkan peran Identity and Access Management untuk pengguna lain. Tanggung jawab peran Administrator Organisasi adalah:

  • Menetapkan kebijakan IAM dan memberikan peran IAM kepada pengguna lain.
  • Melihat struktur Hierarki Resource

Dengan mengikuti prinsip hak istimewa terendah, peran ini tidak menyertakan izin untuk melakukan tindakan lain, seperti membuat folder atau project. Untuk mendapatkan izin ini, Administrator Organisasi harus menetapkan peran tambahan ke akunnya.

Memiliki dua peran berbeda memastikan pemisahan tugas antara administrator super Google Workspace atau Cloud Identity dan Administrator Organisasi Google Cloud. Hal ini sering kali merupakan persyaratan karena dua produk Google biasanya dikelola oleh departemen yang berbeda di organisasi pelanggan.

Untuk mulai menggunakan resource organisasi secara aktif, ikuti langkah-langkah di bawah ini untuk menambahkan Administrator Organisasi:

Menambahkan Administrator Organisasi

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Dalam dialog Select from, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahi Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Add, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super Google Workspace atau Cloud Identity dan administrator Google Cloud telah ditetapkan.

    • Delegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Seperti yang dijelaskan dalam Memperoleh resource organisasi, setelah pembuatan, semua pengguna dalam domain diberi peran Project Creator dan Billing Account Creator di tingkat resource organisasi secara default. Dengan begitu, pengguna Google Cloud tidak akan mengalami gangguan saat resource organisasi dibuat. Karena Administrator Organisasi mengambil alih kendali, mereka mungkin ingin menghapus izin tingkat organisasi ini untuk mulai mengunci akses secara terperinci (misalnya, di level folder atau project). Perlu diperhatikan bahwa karena kebijakan IAM diwariskan dalam hierarki, menetapkan peran Project Creator ke seluruh domain (domain:mycompany.com) di level resource organisasi menyiratkan bahwa setiap pengguna dalam domain dapat membuat project di mana pun dalam hierarki.

Membuat project di resource organisasi

Konsol


Anda dapat membuat project di resource organisasi menggunakan Konsol Google Cloud setelah resource organisasi diaktifkan untuk domain Anda.

Untuk membuat project baru di resource organisasi:

Untuk membuat project baru, lakukan hal berikut:

  1. Buka halaman Manage resources di Konsol Google Cloud.

    Buka Kelola Resource

    Langkah-langkah selanjutnya akan muncul secara otomatis di Konsol Google Cloud.

  2. Pada menu drop-down Select organization di bagian atas halaman, pilih resource organisasi tempat Anda ingin membuat project. Jika Anda adalah pengguna uji coba gratis, lewati langkah ini karena daftar ini tidak akan muncul.
  3. Klik Buat Project.
  4. Di jendela New Project yang muncul, masukkan nama project dan pilih akun penagihan yang berlaku. Nama project hanya boleh berisi huruf, angka, tanda kutip tunggal, tanda hubung, spasi, atau tanda seru, dan harus antara 4 hingga 30 karakter.
  5. Masukkan organisasi induk atau resource folder di kotak Location. Resource tersebut akan menjadi induk hierarkis project baru. Jika No organization dipilih, Anda dapat memilihnya untuk membuat project baru sebagai level teratas dalam hierarki resource-nya sendiri.
  6. Setelah selesai memasukkan detail project baru, klik Buat.

API


Anda dapat membuat project baru di resource organisasi dengan membuat project dan menetapkan kolom parent ke organizationId resource organisasi.

Cuplikan kode berikut menunjukkan cara membuat project di resource organisasi:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Melihat project di resource organisasi

Pengguna hanya dapat melihat dan membuat daftar project yang aksesnya mereka miliki melalui peran IAM. Administrator Organisasi dapat melihat dan mencantumkan semua project di resource organisasi.

Konsol


Untuk melihat semua project dalam resource organisasi menggunakan Konsol Google Cloud:

  1. Buka Konsol Google Cloud:

    Buka konsol Google Cloud

  2. Klik drop-down Organisasi di bagian atas halaman.

  3. Pilih resource organisasi Anda.

  4. Klik drop-down Project di bagian atas halaman, lalu klik View more projects. Semua project di resource organisasi tercantum di halaman.

Opsi Tidak ada organisasi di drop-down Organisasi mencantumkan project berikut:

  • Project yang belum termasuk dalam resource organisasi.
  • Project yang dapat diakses pengguna, tetapi berada dalam resource organisasi yang tidak dapat diakses oleh pengguna.

gcloud


Untuk melihat semua project di resource organisasi, jalankan perintah berikut:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Gunakan metode projects.list() untuk mencantumkan semua project di bawah resource induk, seperti ditunjukkan dalam cuplikan kode berikut:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Menghapus resource organisasi

Resource organisasi terikat dengan akun Google Workspace atau Cloud Identity Anda.

Jika Anda memilih untuk tidak menggunakan resource organisasi, sebaiknya pulihkan kebijakan IAM resource organisasi ke status asli menggunakan langkah-langkah berikut:

  1. Tambahkan domain Anda ke peran Project Creator dan Billing Account Creator.
  2. Hapus semua entri lain di kebijakan IAM resource organisasi.

Dengan demikian, pengguna dapat terus membuat Project dan Akun Penagihan sekaligus mengizinkan admin super Google Workspace atau Cloud Identity untuk memulihkan administrasi pusat nanti.

Jika Anda menghapus akun Google Workspace, resource organisasi dan semua resource yang terkait dengannya akan dihapus. Oleh karena itu, jika ingin menghapus resource organisasi, Anda dapat melakukannya dengan menghapus akun Google Workspace Anda. Untuk pengguna Cloud Identity, batalkan semua layanan Google lainnya, lalu hapus akun Google Anda. Tindakan ini berpotensi sangat merusak dan mungkin tidak mungkin untuk dikembalikan sepenuhnya. Jadi, sebaiknya hanya lakukan tindakan ini jika Anda yakin tidak ada resource yang aktif digunakan.

Cobalah sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Mulai secara gratis