La risorsa organizzazione è il nodo radice nella gerarchia delle risorse di Google Cloud ed è il super nodo gerarchico dei progetti. Questa pagina spiega come acquisire e gestire una risorsa organizzazione.
Prima di iniziare
Leggi una panoramica della risorsa organizzazione.
Ottenere una risorsa dell'organizzazione
È disponibile una risorsa dell'organizzazione per i clienti di Google Workspace e Cloud Identity:
- Google Workspace: registrati a Google Workspace.
- Cloud Identity: registrati a Cloud Identity.
Dopo aver creato il tuo account Google Workspace o Cloud Identity e averlo associato a un dominio, la risorsa dell'organizzazione verrà creata automaticamente. Il provisioning della risorsa verrà eseguito in momenti diversi a seconda dello stato dell'account:
- Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, la risorsa organizzazione verrà creata per te quando accedi alla console Google Cloud e accetti i Termini e condizioni.
-
Se sei un utente Google Cloud esistente, la risorsa organizzazione verrà creata per te quando crei un nuovo progetto o account di fatturazione. Tutti i progetti che hai creato in precedenza saranno elencati nella sezione "Nessuna organizzazione", e questo è normale. La risorsa dell'organizzazione verrà visualizzata e il nuovo progetto che hai creato vi verrà collegato automaticamente.
Dovrai spostare tutti i progetti che hai creato in "Nessuna organizzazione" nella nuova risorsa dell'organizzazione. Per istruzioni su come spostare i progetti, consulta Migrazione dei progetti in una risorsa dell'organizzazione.
La risorsa dell'organizzazione creata sarà collegata al tuo account Google Workspace o Cloud Identity al progetto o all'account di fatturazione che hai creato, impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno secondari di questa risorsa dell'organizzazione.
- Per informazioni su come eseguire la migrazione dei progetti preesistenti, consulta Migrazione dei progetti esistenti.
Ogni account Google Workspace o Cloud Identity è associato a una sola risorsa dell'organizzazione. Una risorsa dell'organizzazione è associata a un solo dominio, che viene impostato al momento della creazione della risorsa dell'organizzazione.
Al momento della creazione della risorsa organizzazione, ne comunichiamo la disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore devono essere usati con cautela perché il controllo che hanno sulla tua risorsa dell'organizzazione e su tutte le risorse sottostanti è molto esteso. Per questo motivo, sconsigliamo di utilizzare account super amministratore di Google Workspace o Cloud Identity per la gestione quotidiana delle risorse dell'organizzazione. Per saperne di più sull'utilizzo degli account super amministratore di Google Workspace o Cloud Identity in Google Cloud, consulta le best practice per i super amministratori.
Per adottare attivamente la risorsa dell'organizzazione, i super amministratori di Google Workspace o
Cloud Identity devono assegnare il ruolo
Amministratore dell'organizzazione
(roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) a un
utente o gruppo. Per la procedura di configurazione della risorsa dell'organizzazione, consulta Configurazione della risorsa dell'organizzazione.
- Quando viene creata la risorsa dell'organizzazione, a tutti gli utenti del dominio vengono automaticamente assegnati i ruoli IAM Autore progetto (
roles/resourcemanager.projectCreator) e Creatore account di fatturazione (roles/billing.creator) a livello di risorsa dell'organizzazione. Ciò consente agli utenti del tuo dominio di continuare a creare progetti senza interruzioni. - L'amministratore dell'organizzazione deciderà quando iniziare a usare attivamente la risorsa dell'organizzazione. Possono quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi in base alle esigenze.
- Se la risorsa dell'organizzazione è disponibile e non disponi delle autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Questi vengono creati automaticamente all'interno della risorsa dell'organizzazione, anche se non puoi vederli.
Recupero dell'ID risorsa dell'organizzazione
L'ID risorsa dell'organizzazione è un identificatore univoco di una risorsa dell'organizzazione e viene creato automaticamente quando viene creata la risorsa dell'organizzazione. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono avere zero iniziali.
Puoi ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, gcloud CLI o l'API Cloud Resource Manager.
console
Per ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud:
- Vai alla console Google Cloud:
- Dal selettore dei progetti nella parte superiore della pagina, seleziona la risorsa della tua organizzazione.
- Sul lato destro, fai clic su Altro e poi su Impostazioni.
La pagina Impostazioni mostra l'ID risorsa dell'organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa organizzazione.
API
Per trovare l'ID risorsa dell'organizzazione utilizzando l'API Cloud Resource Manager, utilizza il metodo organizations.search(), includendo una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa dell'organizzazione che appartiene a altostrat.com, tra cui l'ID risorsa dell'organizzazione.
Configurazione della risorsa dell'organizzazione
Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa organizzazione.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa dell'organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno vedere la risorsa dell'organizzazione, ma potranno modificarla solo dopo aver impostato le autorizzazioni corrette.
I super amministratori di Google Workspace o Cloud Identity e l'Amministratore dell'organizzazione di Google Cloud sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa organizzazione. I due ruoli vengono generalmente assegnati a utenti o gruppi diversi, anche se ciò dipende dalla struttura e dalle esigenze della risorsa dell'organizzazione.
Le responsabilità del super amministratore di Google Workspace o Cloud Identity, nel contesto della configurazione delle risorse dell'organizzazione Google Cloud, sono:
- Assegnazione del ruolo Amministratore organizzazione ad alcuni utenti
- Agisce da punto di contatto in caso di problemi di ripristino
- Controllo del ciclo di vita dell'account e della risorsa organizzazione di Google Workspace o Cloud Identity, come spiegato nella sezione Eliminazione di una risorsa dell'organizzazione
Una volta assegnato, l'Amministratore dell'organizzazione può assegnare i ruoli Identity and Access Management ad altri utenti. Le responsabilità del ruolo Amministratore organizzazione sono:
- la definizione dei criteri IAM e la concessione dei ruoli IAM ad altri utenti.
- Visualizzare la struttura della gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione a eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, un Amministratore organizzazione deve assegnare ruoli aggiuntivi al proprio account.
La presenza di due ruoli distinti assicura la separazione dei compiti tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud. Questo è spesso un requisito, poiché i due prodotti Google sono in genere gestiti da reparti diversi dell'organizzazione del cliente.
Per iniziare a utilizzare attivamente la risorsa dell'organizzazione, segui questi passaggi per aggiungere un Amministratore organizzazione:
Aggiunta di un Amministratore organizzazione
Console
Per aggiungere un Amministratore organizzazione:
Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:
Seleziona la risorsa dell'organizzazione che vuoi modificare:
Fai clic sull'elenco a discesa dei progetti nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere un Amministratore organizzazione#39;organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.
Fai clic su Aggiungi, quindi inserisci l'indirizzo email di uno o più utenti da impostare come amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore organizzazione e fai clic su Salva.
L'amministratore dell'organizzazione può:
Assumi il controllo completo della risorsa dell'organizzazione. Viene stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Google Cloud.
Delegare la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.
Come spiegato nella sezione Acquisizione di una risorsa dell'organizzazione, al momento della creazione a tutti gli utenti del dominio vengono assegnati per impostazione predefinita i ruoli Autore progetto e Creatore account di fatturazione a livello di risorsa dell'organizzazione. Ciò garantisce che non vengano causate interruzioni per gli utenti di Google Cloud quando viene creata la risorsa dell'organizzazione. Poiché l'amministratore dell'organizzazione assume il controllo, potrebbe voler rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso a un livello più granulare (ad esempio, a livello di cartella o di progetto). Tieni presente che, poiché i criteri IAM vengono ereditati ai livelli inferiori della gerarchia, l'assegnazione del ruolo Autore progetto all'intero dominio (domain:mycompany.com) a livello di risorsa dell'organizzazione implica che ogni utente del dominio può creare progetti in qualsiasi punto della gerarchia.
Creazione di progetti nella risorsa dell'organizzazione
Console
Puoi creare un progetto nella risorsa organizzazione utilizzando la console Google Cloud dopo che la risorsa organizzazione è stata abilitata per il tuo dominio.
Per creare un nuovo progetto nella risorsa organizzazione:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella console Google Cloud.
I passaggi rimanenti verranno visualizzati automaticamente nella console Google Cloud.
- Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
- Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
- Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
API
Puoi creare un nuovo progetto nella risorsa dell'organizzazione creando un project e impostando il relativo campo parent su organizationId della risorsa dell'organizzazione.
Lo snippet di codice seguente mostra come creare un progetto in una risorsa dell'organizzazione:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualizzazione dei progetti in una risorsa dell'organizzazione
Gli utenti possono visualizzare ed elencare i progetti a cui hanno accesso solo tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti nella risorsa dell'organizzazione.
Console
Per visualizzare tutti i progetti in una risorsa dell'organizzazione utilizzando la console Google Cloud:
Vai alla console Google Cloud:
Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.
Seleziona la risorsa dell'organizzazione.
Fai clic sul menu a discesa Progetto nella parte superiore della pagina e poi su Visualizza altri progetti. Tutti i progetti nella risorsa organizzazione sono elencati nella pagina.
L'opzione Nessuna organizzazione nel menu a discesa Organizzazione elenca i seguenti progetti:
- I progetti che non appartengono ancora alla risorsa dell'organizzazione.
- I progetti per i quali l'utente ha accesso, ma che si trovano in una risorsa dell'organizzazione a cui l'utente non ha accesso.
gcloud
Per visualizzare tutti i progetti in una risorsa dell'organizzazione, esegui questo comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Utilizza il metodo projects.list() per elencare tutti i progetti in una risorsa padre, come illustrato nel seguente snippet di codice:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminazione di una risorsa dell'organizzazione
La risorsa dell'organizzazione è associata al tuo account Google Workspace o Cloud Identity.
Se preferisci non utilizzare la risorsa dell'organizzazione, ti consigliamo di ripristinare lo stato originale del criterio IAM della risorsa dell'organizzazione seguendo questi passaggi:
- Aggiungi il tuo dominio ai ruoli
Project CreatoreBilling Account Creator. - Rimuovi tutte le altre voci nel criterio IAM della risorsa dell'organizzazione.
Ciò consentirà agli utenti di continuare a creare progetti e account di fatturazione, consentendo ai super amministratori di Google Workspace o Cloud Identity di recuperare l'amministrazione centrale in un secondo momento.
Se elimini il tuo account Google Workspace, verranno eliminate la risorsa dell'organizzazione e tutte le risorse associate. Pertanto, se vuoi eliminare la risorsa dell'organizzazione, puoi eliminare il tuo account Google Workspace. Per gli utenti di Cloud Identity, annulla tutti gli altri servizi Google, quindi elimina il tuo Account Google. Questa azione potrebbe essere molto dannosa e quindi impossibile da annullare completamente, perciò consigliamo di eseguire questa operazione solo se hai la certezza che non ci siano risorse in uso.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente