La risorsa organizzazione è il nodo radice della gerarchia delle risorse di Google Cloud ed è il super nodo gerarchico dei progetti. In questa pagina viene spiegato come acquisire e gestire una risorsa dell'organizzazione.
Prima di iniziare
Consultare una panoramica della risorsa dell'organizzazione.
Recupero di una risorsa organizzazione
Una risorsa dell'organizzazione è disponibile per i clienti di Google Workspace e Cloud Identity:
- Google Workspace:registrati a Google Workspace.
- Cloud Identity:registrati a Cloud Identity.
Dopo che avrai creato il tuo account Google Workspace o Cloud Identity e l'hai associato a un dominio, la risorsa della tua organizzazione verrà creata automaticamente. Il provisioning della risorsa verrà eseguito in momenti diversi a seconda dello stato dell'account:
- Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, la risorsa Organizzazione verrà creata automaticamente quando accedi alla console Google Cloud e accetti i Termini e condizioni.
-
Se sei un utente Google Cloud esistente, la risorsa organizzazione verrà creata automaticamente quando crei un nuovo progetto o un nuovo account di fatturazione. Tutti i progetti creati in precedenza verranno elencati nella sezione "Nessuna organizzazione" e questo è normale. Verrà visualizzata la risorsa organizzazione e il nuovo progetto creato verrà collegato automaticamente.
Dovrai spostare tutti i progetti creati in "Nessuna organizzazione" nella nuova risorsa dell'organizzazione. Per istruzioni su come spostare i tuoi progetti, vedi Migrazione dei progetti in una risorsa dell'organizzazione.
La risorsa dell'organizzazione che viene creata sarà collegata al tuo account Google Workspace o Cloud Identity con il progetto o l'account di fatturazione che hai creato impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno figli di questa risorsa organizzazione.
- Per informazioni su come eseguire la migrazione dei progetti preesistenti, consulta l'articolo Migrazione dei progetti esistenti.
Ogni account Google Workspace o Cloud Identity è associato esattamente a una risorsa dell'organizzazione. Una risorsa dell'organizzazione è associata esattamente a un dominio, che viene impostata al momento della creazione della risorsa dell'organizzazione.
Quando la risorsa dell'organizzazione viene creata, comunichiamo la sua disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore vanno usati con cautela perché il controllo che hanno sulla tua organizzazione e su tutte le risorse sottostanti è molto esteso. Per questo motivo, sconsigliamo di utilizzare gli account super amministratore Google Workspace o Cloud Identity per la gestione quotidiana della risorsa dell'organizzazione. Per saperne di più sull'utilizzo degli account super amministratore di Google Workspace o Cloud Identity in Google Cloud, consulta le Best practice per i super amministratori.
Per adottare attivamente la risorsa Organizzazione, i super amministratori di Google Workspace o Cloud Identity devono assegnare il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) a un utente o a un gruppo. Per i passaggi di configurazione della risorsa dell'organizzazione, vedi Configurazione della risorsa dell'organizzazione.
- Alla creazione della risorsa dell'organizzazione, a tutti gli utenti del dominio vengono concessi automaticamente i ruoli IAM di autore del progetto (
roles/resourcemanager.projectCreator) e dell'autore dell'account di fatturazione (roles/billing.creator) a livello di organizzazione. In questo modo gli utenti del tuo dominio possono continuare a creare progetti senza interruzioni. - L'amministratore dell'organizzazione decide quando iniziare a utilizzare attivamente la risorsa dell'organizzazione. Possono quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi secondo necessità.
- Se la risorsa dell'organizzazione è disponibile e non hai le autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Vengono create automaticamente nella risorsa organizzazione, anche se non riesci a vederle.
Recupera l'ID risorsa della tua organizzazione
L'ID risorsa dell'organizzazione è un identificatore univoco della risorsa dell'organizzazione e viene creato automaticamente alla creazione della risorsa dell'organizzazione. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono contenere zeri iniziali.
Puoi ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, l'interfaccia a riga di comando gcloud o l'API Resource Manager.
console
Per recuperare l'ID risorsa dell'organizzazione utilizzando la console Google Cloud:
- Vai alla console Google Cloud:
- Nella parte superiore della pagina, fai clic sull'elenco a discesa per la selezione dei progetti.
- Nella finestra Seleziona da che viene visualizzata, fai clic sull'elenco a discesa Risorsa dell'organizzazione e seleziona la risorsa Organizzazione che preferisci.
- Sul lato destro del riquadro, fai clic su Altro e poi su Impostazioni.
Nella pagina Impostazioni viene visualizzato l'ID risorsa della tua organizzazione.
gcloud
Per trovare l'ID risorsa della tua organizzazione, esegui questo comando:
gcloud organizations list
Verranno elencate tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione corrispondenti.
API
Per trovare l'ID risorsa della tua organizzazione utilizzando l'API Resource Manager, chiama il metodo organizations.search() con il filtro domain:[company.com]. La risposta conterrà i metadati della risorsa dell'organizzazione, che include l'ID della risorsa dell'organizzazione.
Configurazione della risorsa organizzazione
Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa dell'organizzazione.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa dell'organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno visualizzare la risorsa organizzazione, ma potranno modificarla solo dopo che saranno impostate le autorizzazioni corrette.
I super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa dell'organizzazione. I due ruoli vengono generalmente assegnati a utenti o gruppi diversi, ma dipende dalla struttura e dalle esigenze dell'organizzazione.
Le responsabilità del super amministratore di Google Workspace o Cloud Identity nel contesto della configurazione delle risorse dell'organizzazione Google Cloud sono:
- Assegnare il ruolo Amministratore organizzazione ad alcuni utenti
- Essere un punto di contatto in caso di problemi di ripristino
- Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity e della risorsa dell'organizzazione come spiegato in Eliminazione di una risorsa dell'organizzazione
Una volta assegnato, l'amministratore dell'organizzazione può assegnare ruoli ad Identity and Access Management ad altri utenti. Le responsabilità del ruolo Amministratore organizzazione sono:
- Definizione dei criteri IAM e concessione di ruoli IAM ad altri utenti.
- Osservare la struttura della gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione a eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, un amministratore dell'organizzazione deve assegnare ruoli aggiuntivi al proprio account.
La presenza di due ruoli distinti assicura la separazione dei compiti tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud. Questa operazione è spesso un requisito perché i due prodotti Google sono generalmente gestiti da reparti diversi dell'organizzazione del cliente.
Per iniziare a utilizzare attivamente la risorsa organizzazione, segui questi passaggi per aggiungere un amministratore dell'organizzazione:
Aggiunta di un amministratore dell'organizzazione
Console
Per aggiungere un amministratore dell'organizzazione:
Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:
Seleziona la risorsa dell'organizzazione che vuoi modificare:
Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa Organizzazione a cui vuoi aggiungere un Amministratore organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa organizzazione per aprire la relativa pagina Autorizzazioni IAM.
Fai clic su Aggiungi, quindi inserisci l'indirizzo email di uno o più utenti da impostare come amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore organizzazione, quindi fai clic su Salva.
L'amministratore dell'organizzazione può:
Assumi il controllo completo della risorsa organizzazione. La separazione delle responsabilità tra Google Workspace o il super amministratore di Cloud Identity e Google Cloud è stabilita.
Delega la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.
Come spiegato in Acquisizione di una risorsa dell'organizzazione, al momento della creazione a tutti gli utenti del dominio vengono concessi i ruoli di Autore progetto e Account di fatturazione per impostazione predefinita a livello di organizzazione. Questo garantisce che non vengano causate interruzioni agli utenti di Google Cloud quando viene creata la risorsa dell'organizzazione. Dal momento che l'amministratore dell'organizzazione ha il controllo, potrebbe essere opportuno rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso a una granularità più dettagliata (ad esempio a livello di cartella o progetto). Tieni presente che, poiché i criteri IAM vengono ereditati dalla gerarchia, l'assegnazione del ruolo Autore progetto all'intero dominio (domain:mycompany.com) a livello di organizzazione implica che ogni utente del dominio possa creare progetti in qualsiasi punto della gerarchia.
Creazione di progetti nella risorsa dell'organizzazione
Console
Puoi creare un progetto nella risorsa Organizzazione utilizzando la console Google Cloud dopo che questa è stata attivata per il dominio.
Per creare un nuovo progetto nella risorsa organizzazione:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella console Google Cloud.
Vai a Gestisci risorse
I passaggi rimanenti verranno visualizzati automaticamente nella console Google Cloud. - Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
- Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
- Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
API
Puoi creare un nuovo progetto nella risorsa Organizzazione creando un project e impostando il relativo campo parent su organizationId della risorsa organizzazione.
Lo snippet di codice seguente mostra come creare un progetto in una risorsa dell'organizzazione:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualizzazione dei progetti in una risorsa organizzazione
Gli utenti possono visualizzare ed elencare solo i progetti a cui hanno accesso tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti presenti nella risorsa organizzazione.
Console
Per visualizzare tutti i progetti in una risorsa organizzazione utilizzando la console Google Cloud:
Vai alla console Google Cloud:
Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.
Seleziona la risorsa organizzazione.
Fai clic sul menu a discesa Progetto nella parte superiore della pagina, poi fai clic su Visualizza altri progetti. Tutti i progetti nella risorsa dell'organizzazione sono elencati nella pagina.
L'opzione Nessuna organizzazione nel menu a discesa Organizzazione elenca i seguenti progetti:
- Progetti che non appartengono ancora alla risorsa organizzazione.
- Progetti a cui l'utente ha accesso, ma si trova in una risorsa dell'organizzazione a cui l'utente non ha accesso.
gcloud
Per visualizzare tutti i progetti in una risorsa organizzazione, esegui il comando seguente:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Utilizza il metodo projects.list() per elencare tutti i progetti all'interno di una risorsa padre, come mostrato nel seguente snippet di codice:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminazione di una risorsa dell'organizzazione
La risorsa organizzazione è associata al tuo account Google Workspace o Cloud Identity.
Se preferisci non utilizzare la risorsa organizzazione, ti consigliamo di ripristinare il criterio IAM della risorsa dell'organizzazione nello stato originale seguendo questi passaggi:
- Aggiungi il tuo dominio ai ruoli
Project CreatoreBilling Account Creator. - Rimuovi tutte le altre voci nel criterio IAM della risorsa dell'organizzazione.
Questo consentirà agli utenti di continuare a creare progetti e account di fatturazione, consentendo al contempo ai super amministratori Google Workspace o Cloud Identity di recuperare l'amministrazione centrale in un secondo momento.
Se elimini il tuo account Google Workspace, verranno eliminate la risorsa della tua organizzazione e tutte le risorse associate. Per questo, se vuoi eliminare la tua risorsa dell'organizzazione puoi eliminare il tuo account Google Workspace. Per gli utenti di Cloud Identity, annulla tutti gli altri servizi Google, quindi elimina il tuo Account Google. Si tratta potenzialmente di un'azione molto dannosa che potrebbe essere impossibile annullare completamente, quindi ti consigliamo di intraprendere questa azione solo se non hai la certezza che ci siano risorse in uso.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente