Creazione e gestione delle organizzazioni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

La risorsa organizzazione è il nodo radice della gerarchia delle risorse di Google Cloud ed è il super nodo gerarchico dei progetti. In questa pagina viene spiegato come acquisire e gestire una risorsa dell'organizzazione.

Prima di iniziare

Leggi una panoramica della risorsa dell'organizzazione.

Recupero di una risorsa dell'organizzazione

Una risorsa dell'organizzazione è disponibile per i clienti di Google Workspace e Cloud Identity:

Dopo che avrai creato il tuo account Google Workspace o Cloud Identity e lo avrai associato a un dominio, la risorsa della tua organizzazione verrà creata automaticamente. Il provisioning della risorsa verrà eseguito in momenti diversi, a seconda dello stato dell'account:

  • Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, quando accedi a Google Cloud Console la risorsa organizzazione viene creata e accetti i Termini e condizioni.
  • Se sei un utente Google Cloud esistente, la risorsa organizzazione verrà creata automaticamente quando crei un nuovo progetto o account di fatturazione. Tutti i progetti che hai creato in precedenza verranno elencati in "Nessuna organizzazione", ed è normale. Verrà visualizzata la risorsa dell'organizzazione e il nuovo progetto che hai creato verrà collegato automaticamente.

    Dovrai spostare tutti i progetti che hai creato nella sezione "Nessuna organizzazione" nella nuova risorsa dell'organizzazione. Per istruzioni su come spostare i progetti, vedi Migrazione dei progetti in una risorsa dell'organizzazione.

La risorsa dell'organizzazione che viene creata sarà collegata al tuo account Google Workspace o Cloud Identity con l'account di progetto o di fatturazione che hai creato impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel dominio Google Workspace o Cloud Identity saranno figli di questa risorsa dell'organizzazione.

Ogni account Google Workspace o Cloud Identity è associato esattamente a una risorsa dell'organizzazione. Una risorsa dell'organizzazione è associata esattamente a un dominio, che viene impostato al momento della creazione della risorsa dell'organizzazione.

Una volta creata la risorsa dell'organizzazione, ne comunichiamo la disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore vanno usati con cautela perché il controllo che hanno sulla tua organizzazione e su tutte le risorse sottostanti è molto esteso. Per questo motivo, sconsigliamo di utilizzare gli account super amministratore Google Workspace o Cloud Identity per la gestione quotidiana della risorsa dell'organizzazione. Per ulteriori informazioni sull'utilizzo degli account super amministratore di Google Workspace o Cloud Identity in Google Cloud, consulta le best practice per i super amministratori.

Per adottare in modo attivo la risorsa organizzazione, i super amministratori di Google Workspace o Cloud Identity devono assegnare il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) a un utente o a un gruppo. Per i passaggi sulla configurazione della risorsa dell'organizzazione, vedi Configurare la risorsa dell'organizzazione.

  • Quando viene creata la risorsa dell'organizzazione, a tutti gli utenti del dominio vengono assegnati in automatico i ruoli IAM Autore progetto (roles/resourcemanager.projectCreator) e Creatore account di fatturazione (roles/billing.creator) a livello di organizzazione. In questo modo gli utenti del tuo dominio potranno continuare a creare progetti senza interruzioni.
  • L'amministratore dell'organizzazione decide quando vuole iniziare a utilizzare in modo attivo la risorsa organizzazione. Possono quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi, se necessario.
  • Se la risorsa dell'organizzazione è disponibile e non hai le autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Questi vengono creati automaticamente nella risorsa organizzazione, anche se non riesci a visualizzarli.

Recupero dell'ID risorsa dell'organizzazione

L'ID risorsa dell'organizzazione è un identificatore univoco di una risorsa dell'organizzazione e viene creato automaticamente al momento della creazione della risorsa dell'organizzazione. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono avere zeri iniziali.

Puoi ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, l'interfaccia a riga di comando gcloud o l'API Resource Manager.

console


Per ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud:

  1. Vai alla console Google Cloud:

    Vai a Google Cloud Console

  2. Nella parte superiore della pagina, fai clic sull'elenco a discesa di selezione del progetto.
  3. Nella finestra Seleziona da che appare, fai clic sull'elenco a discesa delle risorse dell'organizzazione e poi seleziona la risorsa dell'organizzazione.
  4. Sul lato destro, fai clic su Altro e poi su Impostazioni.

Nella pagina Impostazioni viene visualizzato l'ID risorsa della tua organizzazione.

gcloud


Per trovare l'ID risorsa dell'organizzazione, esegui il comando seguente:

gcloud organizations list

Verranno elencate tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione corrispondenti.

Server


Per trovare l'ID risorsa della tua organizzazione utilizzando l'API Resource Manager, chiama il metodo organizations.search() con il filtro domain:[company.com]. La risposta conterrà i metadati della risorsa organizzazione, che include l'ID risorsa dell'organizzazione.

Configurazione della risorsa dell'organizzazione

Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa dell'organizzazione.

I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa dell'organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno vedere la risorsa dell'organizzazione, ma potranno modificarla solo dopo che saranno impostate le autorizzazioni corrette.

I super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa organizzazione. I due ruoli vengono generalmente assegnati a utenti o gruppi diversi, ma dipende dalla struttura e dalle esigenze dell'organizzazione.

Le responsabilità dei super amministratori di Google Workspace o Cloud Identity nel contesto della configurazione delle risorse dell'organizzazione Google Cloud sono:

  • Assegnazione del ruolo Amministratore organizzazione ad alcuni utenti
  • Essere un punto di contatto in caso di problemi di ripristino
  • Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity come spiegato nella sezione Eliminare una risorsa dell'organizzazione

Una volta assegnato, l'amministratore dell'organizzazione può assegnare i ruoli di gestione di identità e accessi ad altri utenti. Le responsabilità del ruolo Amministratore organizzazione sono:

  • Definizione dei criteri IAM e concessione dei ruoli IAM ad altri utenti.
  • Alla luce della struttura della gerarchia di risorse

Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione a eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, un amministratore dell'organizzazione deve assegnare ruoli aggiuntivi al proprio account.

La presenza di due ruoli distinti assicura la separazione dei compiti tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud. Questo è spesso un requisito, in quanto i due prodotti Google sono generalmente gestiti da reparti diversi dell'organizzazione del cliente.

Per iniziare a utilizzare attivamente la risorsa organizzazione, aggiungi un amministratore dell'organizzazione seguendo questi passaggi:

Aggiunta di un amministratore dell'organizzazione

console

Per aggiungere un amministratore dell'organizzazione:

  1. Accedi a Google Cloud Console come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:

    Apri la pagina Amministrazione di IAM

  2. Seleziona la risorsa dell'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa dell'organizzazione e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere un amministratore dell'organizzazione.

    3. Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.

  3. Fai clic su Aggiungi, quindi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore organizzazione, quindi fai clic su Salva.

    L'amministratore dell'organizzazione può:

    • Assumi il controllo completo delle risorse dell'organizzazione. Viene stabilita la separazione delle responsabilità tra i super amministratori di Google Workspace o Cloud Identity e gli amministratori di Google Cloud.

    • Delega la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.

Come spiegato in Acquisizione di una risorsa dell'organizzazione, al momento della creazione a tutti gli utenti del dominio vengono assegnati i ruoli Autore progetto e Creatore account di fatturazione a livello di organizzazione per impostazione predefinita. Questo garantisce che non venga applicata alcuna interruzione agli utenti di Google Cloud quando viene creata la risorsa dell'organizzazione. Quando l'Amministratore dell'organizzazione assume il controllo, può decidere di rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso a una granularità maggiore (ad esempio a livello di cartella o progetto). Tieni presente che, poiché i criteri IAM vengono ereditati nella gerarchia, l'assegnazione del ruolo Autore progetto all'intero dominio (domain:mycompany.com) a livello di organizzazione implica che ogni utente del dominio possa creare progetti in qualsiasi punto della gerarchia.

Creazione di progetti nella risorsa dell'organizzazione

console


Puoi creare un progetto nella risorsa dell'organizzazione utilizzando la console Google Cloud dopo che la risorsa dell'organizzazione è stata abilitata per il dominio.

Per creare un nuovo progetto nella risorsa organizzazione:

Per creare un nuovo progetto, segui questi passaggi:

  1. Vai alla pagina Gestisci risorse nella console Google Cloud.
  2. Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
  3. Fai clic su Crea progetto.
  4. Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
  5. Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
  6. Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.

Server


Puoi creare un nuovo progetto nella risorsa dell'organizzazione creando una project e impostando il relativo campo parent sul organizationId della risorsa dell'organizzazione.

Il seguente snippet di codice mostra come creare un progetto in una risorsa dell'organizzazione:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Visualizzazione di progetti in una risorsa dell'organizzazione

Gli utenti possono visualizzare ed elencare solo i progetti a cui hanno accesso tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti nella risorsa dell'organizzazione.

console


Per visualizzare tutti i progetti in una risorsa dell'organizzazione utilizzando la console Google Cloud:

  1. Vai alla console Google Cloud:

    Vai a Google Cloud Console

  2. Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.

  3. Seleziona la risorsa dell'organizzazione.

  4. Fai clic sul menu a discesa Progetto nella parte superiore della pagina, quindi fai clic su Visualizza altri progetti. Tutti i progetti nella risorsa dell'organizzazione sono elencati nella pagina.

L'opzione Nessuna organizzazione nell'elenco a discesa Organizzazione elenca i seguenti progetti:

  • Progetti che non appartengono ancora alla risorsa organizzazione.
  • Progetti a cui l'utente ha accesso, ma che si trovano all'interno di una risorsa dell'organizzazione a cui l'utente non ha accesso.

gcloud


Per visualizzare tutti i progetti in una risorsa dell'organizzazione, esegui il comando seguente:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

Server


Utilizza il metodo projects.list() per elencare tutti i progetti in una risorsa padre, come mostrato nel seguente snippet di codice:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Eliminazione di una risorsa dell'organizzazione

La risorsa dell'organizzazione è associata al tuo account Google Workspace o Cloud Identity.

Se preferisci non utilizzare la risorsa dell'organizzazione, ti consigliamo di ripristinare il criterio IAM della risorsa dell'organizzazione allo stato originale seguendo questa procedura:

  1. Aggiungi il tuo dominio ai ruoli Project Creator e Billing Account Creator.
  2. Rimuovi tutte le altre voci nel criterio IAM della risorsa dell'organizzazione.

In questo modo, i tuoi utenti potranno continuare a creare progetti e account di fatturazione, consentendo al contempo ai super amministratori di Google Workspace o Cloud Identity di recuperare l'amministrazione centrale in un secondo momento.

Se elimini il tuo account Google Workspace, verranno eliminate la risorsa dell'organizzazione e tutte le risorse associate. Se vuoi eliminare la risorsa della tua organizzazione, puoi farlo eliminando il tuo account Google Workspace. Per gli utenti di Cloud Identity, annulla tutti gli altri servizi Google, quindi elimina il tuo Account Google. Si tratta potenzialmente di un'azione molto dannosa che potrebbe essere impossibile da annullare completamente, quindi è consigliabile eseguire questa azione solo se hai la certezza che non ci siano risorse in uso attivo.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente