La risorsa organizzazione è il nodo radice Gerarchia delle risorse di Google Cloud ed è il super nodo gerarchico dei progetti. In questa pagina viene spiegato come acquisire e gestire una risorsa dell'organizzazione.
Prima di iniziare
Leggi una panoramica della risorsa dell'organizzazione.
Recupero di una risorsa dell'organizzazione
Per i clienti di Google Workspace e Cloud Identity è disponibile una risorsa dell'organizzazione:
- Google Workspace: registrati a Google Workspace.
- Cloud Identity: registrati a Cloud Identity.
Dopo aver creato il tuo account Google Workspace o Cloud Identity e averlo associato a un dominio, la risorsa della tua organizzazione verrà creata automaticamente. La risorsa sarà il provisioning è stato eseguito in momenti diversi a seconda dello stato dell'account:
- Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, verrà creata automaticamente una risorsa organizzazione quando accederai console Google Cloud e accetta i Termini e condizioni.
-
Se sei già un utente di Google Cloud, la risorsa organizzazione quando crei un nuovo progetto o un nuovo account di fatturazione. Tutti i progetti che hai creato sarà elencato nella sezione "Nessuna organizzazione" e questo è normale. L'organizzazione e il nuovo progetto che hai creato verrà collegato automaticamente al progetto.
Dovrai spostare tutti i progetti che hai creato in "Nessuna organizzazione" nel tuo nuovo risorsa dell'organizzazione. Per istruzioni su come spostare i progetti, consulta Migrazione dei progetti in una risorsa dell'organizzazione.
La risorsa organizzazione creata sarà collegata a Google Workspace oppure Account Cloud Identity con il progetto o l'account di fatturazione che hai creato e impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno figli di questa risorsa dell'organizzazione.
- Per informazioni su come eseguire la migrazione di progetti preesistenti, consulta Migrazione di progetti esistenti.
A ogni account Google Workspace o Cloud Identity è associato esattamente risorsa dell'organizzazione. Una risorsa organizzazione è associata esattamente un dominio, che viene impostato al momento della creazione della risorsa dell'organizzazione.
Quando la risorsa dell'organizzazione viene creata, ne comunichiamo la disponibilità a i super amministratori di Google Workspace o Cloud Identity. Questi gli account super amministratore devono essere usati con cautela perché hanno molto controllo sulla risorsa dell'organizzazione e su tutte le risorse sottostanti. Per questo motivo, sconsigliano l'utilizzo di account super amministratore Google Workspace o Cloud Identity per la gestione quotidiana delle risorse della tua organizzazione. Per ulteriori informazioni sull'utilizzo gli account super amministratore di Google Workspace o Cloud Identity in Google Cloud consulta le best practice per i super amministratori.
Per adottare attivamente la risorsa dell'organizzazione,
I super amministratori di Cloud Identity devono assegnare
Amministratore dell'organizzazione
(roles/resourcemanager.organizationAdmin
) Ruolo Identity and Access Management (IAM) per un
come utente o gruppo. Per la procedura di configurazione della risorsa dell'organizzazione, consulta
Configura la risorsa dell'organizzazione.
- Quando viene creata la risorsa dell'organizzazione, tutti gli utenti del dominio vengono automaticamente
ha concesso l'accesso a Autore progetto (
roles/resourcemanager.projectCreator
) e Ruoli IAM Creatore account di fatturazione (roles/billing.creator
) a livello di risorsa dell'organizzazione. Questa operazione consente agli utenti del tuo dominio di continuare creando progetti senza interruzioni. - L'amministratore dell'organizzazione deciderà quando iniziare a usare attivamente la risorsa dell'organizzazione. Può quindi modificare l'impostazione predefinita autorizzazioni e applicare criteri più restrittivi, se necessario.
- Se la risorsa organizzazione è disponibile e non hai il ruolo IAM autorizzazioni per visualizzarlo, puoi comunque creare progetti e account di fatturazione. Vengono creati automaticamente nella risorsa organizzazione, anche se non lo vedo.
Recupero dell'ID risorsa dell'organizzazione
L'ID risorsa organizzazione è un identificatore univoco di una risorsa organizzazione ed è automaticamente quando viene creata la risorsa dell'organizzazione. Risorsa organizzazione Gli ID sono formattati come numeri decimali e non possono avere zeri iniziali.
Puoi ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud. gcloud CLI o l'API Cloud Resource Manager.
console
Per ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud, procedi nel seguente modo: le seguenti:
- Vai alla console Google Cloud:
- Dal selettore di progetti nella parte superiore della pagina, seleziona la tua organizzazione. risorsa.
- Sul lato destro, fai clic su Altro e poi su Impostazioni.
La pagina Impostazioni mostra l'ID risorsa dell'organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse organizzazione a cui appartieni e gli ID risorsa dell'organizzazione corrispondenti.
API
Per trovare l'ID risorsa dell'organizzazione mediante l'API Cloud Resource Manager, utilizza la classe
organizations.search()
inclusa una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa dell'organizzazione che
appartiene a altostrat.com
, che include l'ID risorsa dell'organizzazione.
Configurazione della risorsa dell'organizzazione
Se sei cliente di Google Workspace o Cloud Identity, un'organizzazione che ti viene fornita automaticamente.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno vedere dell'organizzazione, ma potranno modificarla solo dopo autorizzazioni impostate.
I super amministratori di Google Workspace o Cloud Identity e L'amministratore dell'organizzazione di Google Cloud è i ruoli chiave durante la configurazione del processo e il controllo del ciclo di vita per la risorsa dell'organizzazione. I due ruoli sono generalmente assegnati a utenti o gruppi diversi, anche se questo dipende della struttura e delle esigenze della risorsa dell'organizzazione.
Responsabilità dei super amministratori di Google Workspace o Cloud Identity il contesto della configurazione delle risorse dell'organizzazione Google Cloud:
- Assegnare il ruolo Amministratore organizzazione ad alcuni utenti
- Essere un punto di contatto in caso di problemi di ripristino
- Controllo del ciclo di vita di Google Workspace o Cloud Identity dell'account e della risorsa dell'organizzazione come spiegato Eliminazione di una risorsa organizzazione
Una volta assegnato, l'amministratore dell'organizzazione può assegnare i ruoli di Identity and Access Management. ad altri utenti. Le responsabilità del ruolo Amministratore organizzazione sono:
- Definizione dei criteri IAM e concessione dei ruoli IAM ad altri utenti.
- Vedere la struttura del Gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include per eseguire altre azioni, come la creazione di cartelle o progetti. A ottenere queste autorizzazioni, un Amministratore organizzazione deve assegnare ruoli al proprio account.
Avere due ruoli distinti assicura la separazione dei compiti tra I super amministratori di Google Workspace o Cloud Identity e il Amministratore dell'organizzazione Google Cloud. Questo è spesso un requisito, in quanto i due prodotti Google sono generalmente gestiti reparti diversi dell'organizzazione del cliente.
Per iniziare a utilizzare attivamente la risorsa dell'organizzazione, segui questi passaggi per aggiungere Un Amministratore organizzazione:
Aggiungere un Amministratore organizzazione
Console
Per aggiungere un Amministratore organizzazione:
Accedi alla console Google Cloud come Google Workspace oppure il super amministratore di Cloud Identity e vai alla IAM e Pagina Amministrazione:
Seleziona la risorsa dell'organizzazione che vuoi modificare:
Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa delle organizzazioni e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere Amministratore organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprirne Autorizzazioni IAM.
Fai clic su Aggiungi e inserisci l'indirizzo email di uno o più utenti che da impostare come Amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager. > Amministratore dell'organizzazione, quindi fai clic su Salva.
L'amministratore dell'organizzazione può effettuare le seguenti operazioni:
Assumi il controllo completo della risorsa dell'organizzazione. Separazione di responsabilità tra Google Workspace o Cloud Identity un super amministratore e un amministratore di Google Cloud la creazione di un progetto.
Delegare la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.
Come spiegato in Acquisire una risorsa organizzazione, al momento della creazione,
a tutti gli utenti del dominio è stato concesso il ruolo Autore progetto e Creatore account di fatturazione
ruoli predefiniti a livello
di risorsa dell'organizzazione. In questo modo eviterai interruzioni
causato agli utenti di Google Cloud al momento della creazione della risorsa organizzazione. Come
Amministratore organizzazione prende il controllo e potrebbe voler rimuovere questi
a livello di organizzazione per bloccare l'accesso in modo più preciso
granularità (ad esempio, a livello di cartella o progetto). Poiché
I criteri IAM vengono ereditati verso il basso nella gerarchia,
Il ruolo Autore progetto assegnato all'intero dominio
(domain:mycompany.com
) a livello di risorsa dell'organizzazione implica che ogni utente
del dominio possono creare progetti in qualsiasi punto della gerarchia.
Creazione di progetti nella risorsa dell'organizzazione
Console
Puoi creare un progetto nella risorsa organizzazione utilizzando console Google Cloud dopo che la risorsa organizzazione è stata abilitata per il tuo dominio.
Per creare un nuovo progetto nella risorsa dell'organizzazione:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella console Google Cloud.
I passaggi rimanenti vengono visualizzati nella console Google Cloud.
- Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
- Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
- Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
API
Puoi creare un nuovo progetto nella risorsa organizzazione
la creazione di uno
project
e impostando il campo parent
sul organizationId
del
risorsa dell'organizzazione.
Il seguente snippet di codice mostra come creare un progetto in un risorsa dell'organizzazione:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualizzazione dei progetti in una risorsa dell'organizzazione
Gli utenti possono solo visualizzare ed elencare i progetti a cui hanno accesso tramite IAM ruoli. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti nel risorsa dell'organizzazione.
Console
Per visualizzare tutti i progetti in una risorsa dell'organizzazione utilizzando la console Google Cloud:
Vai alla console Google Cloud:
Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.
Seleziona la risorsa dell'organizzazione.
Fai clic sul menu a discesa Progetto nella parte superiore della pagina, quindi fai clic su Visualizza altri progetti. Sono elencati tutti i progetti nella risorsa organizzazione sulla pagina.
L'opzione Nessuna organizzazione nel menu a discesa Organizzazione elenca le seguenti progetti:
- Progetti che non appartengono ancora alla risorsa organizzazione.
- Progetti a cui l'utente ha accesso, ma che fanno parte di un'organizzazione risorsa a cui l'utente non ha accesso.
gcloud
Per visualizzare tutti i progetti in una risorsa dell'organizzazione, esegui questo comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Utilizza la
projects.list()
per elencare tutti i progetti all'interno di una risorsa padre, come mostrato
seguente snippet di codice:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminazione di una risorsa dell'organizzazione
La risorsa dell'organizzazione è associata a Google Workspace o Cloud Identity. .
Se preferisci non utilizzare la risorsa dell'organizzazione, ti consigliamo ripristinando lo stato originale del criterio IAM della risorsa dell'organizzazione utilizzando seguenti passaggi:
- Aggiungi il tuo dominio ai ruoli
Project Creator
eBilling Account Creator
. - Rimuovi tutte le altre voci nel criterio IAM della risorsa dell'organizzazione.
In questo modo gli utenti potranno continuare a creare progetti e account di fatturazione consentendo ai super amministratori di Google Workspace o Cloud Identity di e il ripristino dell'amministrazione centrale in un secondo momento.
Se elimini il tuo account Google Workspace l'account, la risorsa dell'organizzazione e tutte le risorse associate . Pertanto, se vuoi eliminare la risorsa dell'organizzazione, puoi farlo eliminazione del tuo account Google Workspace. Per Cloud Identity utenti, annulla tutti gli altri servizi Google, quindi elimina il tuo Account Google. Questo si tratta di un'azione potenzialmente molto dannosa che potrebbe essere impossibile annullare completamente, pertanto ti consigliamo di eseguire questa azione solo se hai la certezza che in uso attivo.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente