Creazione e gestione delle organizzazioni

La risorsa dell'organizzazione è il nodo radice nella gerarchia delle risorse di Google Cloud ed è il super nodo gerarchico dei progetti. Questa pagina spiega come acquisire e gestire una risorsa dell'organizzazione.

Prima di iniziare

Consulta una panoramica della risorsa dell'organizzazione.

Recupero di una risorsa dell'organizzazione

Per i clienti di Google Workspace e Cloud Identity è disponibile una risorsa per l'organizzazione:

Dopo che avrai creato il tuo account Google Workspace o Cloud Identity e lo avrai associato a un dominio, la risorsa della tua organizzazione verrà creata automaticamente. Il provisioning della risorsa verrà eseguito in momenti diversi, a seconda dello stato del tuo account:

  • Se sei un nuovo utente di Google Cloud e non hai ancora creato un progetto, la risorsa dell'organizzazione verrà creata automaticamente quando accedi a Google Cloud Console e accetti i Termini e condizioni.
  • Se sei un utente Google Cloud esistente, la risorsa dell'organizzazione verrà creata automaticamente quando crei un nuovo progetto o un nuovo account di fatturazione. Tutti i progetti che hai creato in precedenza saranno elencati sotto "Nessuna organizzazione", e questo è normale. Verrà visualizzata la risorsa dell'organizzazione a cui verrà collegato automaticamente il nuovo progetto che hai creato.

    Dovrai spostare tutti i progetti che hai creato in "Nessuna organizzazione" nella nuova risorsa dell'organizzazione. Per istruzioni su come spostare i progetti, vedi Migrazione dei progetti in una risorsa dell'organizzazione.

La risorsa dell'organizzazione creata verrà collegata al tuo account Google Workspace o Cloud Identity con il progetto o l'account di fatturazione che hai creato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel dominio Google Workspace o Cloud Identity saranno secondari di questa risorsa dell'organizzazione.

Ogni account Google Workspace o Cloud Identity è associato esattamente a una risorsa dell'organizzazione. Una risorsa dell'organizzazione è associata esattamente a un dominio, che viene impostato al momento della creazione della risorsa dell'organizzazione.

Quando la risorsa dell'organizzazione viene creata, comunichiamo la sua disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore devono essere utilizzati con attenzione perché hanno un elevato controllo sulla risorsa della tua organizzazione e di tutte le risorse sottostanti. Per questo motivo, ti sconsigliamo di utilizzare un account super amministratore di Google Workspace o Cloud Identity per la gestione quotidiana della risorsa della tua organizzazione. Per ulteriori informazioni sull'utilizzo degli account super amministratore di Google Workspace o Cloud Identity in Google Cloud, consulta le best practice per i super amministratori.

Per adottare attivamente la risorsa organizzazione, i super amministratori di Google Workspace o Cloud Identity devono assegnare il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) a un utente o a un gruppo. Per i passaggi relativi alla configurazione di una risorsa dell'organizzazione, vedi Configurare la risorsa dell'organizzazione.

  • Quando viene creata la risorsa dell'organizzazione, a tutti gli utenti del dominio vengono assegnati automaticamente i ruoli IAM di Autore progetto (roles/resourcemanager.projectCreator) e Creatore account di fatturazione (roles/billing.creator) a livello di organizzazione. In questo modo gli utenti del tuo dominio possono continuare a creare progetti senza interruzioni.
  • L'amministratore dell'organizzazione decide quando vuole iniziare a utilizzare attivamente la risorsa dell'organizzazione. Possono quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi, se necessario.
  • Se la risorsa dell'organizzazione è disponibile e non hai le autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Vengono create automaticamente nella risorsa dell'organizzazione, anche se non è possibile vederla.

Recupero dell'ID risorsa della tua organizzazione

L'ID risorsa dell'organizzazione è un identificatore univoco di una risorsa dell'organizzazione, che viene creato automaticamente al momento della creazione della risorsa dell'organizzazione. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono contenere zeri iniziali.

Puoi ottenere l'ID risorsa della tua organizzazione utilizzando la console, l'interfaccia a riga di comando gcloud o l'API Resource Manager.

console


Per recuperare l'ID della tua organizzazione utilizzando la console:

  1. Vai alla console:

    Vai alla console

  2. Nella parte superiore della pagina, fai clic sull'elenco a discesa per la selezione dei progetti.
  3. Nella finestra Seleziona da che viene visualizzata, fai clic sull'elenco a discesa delle risorse dell'organizzazione e poi seleziona la risorsa che ti interessa.
  4. Sul lato destro, fai clic su Altro e poi su Impostazioni.

Nella pagina Impostazioni viene visualizzato l'ID risorsa della tua organizzazione.

gcloud


Per trovare l'ID risorsa della tua organizzazione, esegui questo comando:

gcloud organizations list

Verranno elencate tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione corrispondenti.

Server


Per trovare l'ID risorsa della tua organizzazione utilizzando l'API Resource Manager, chiama il metodo organizations.search() con il filtro domain:[company.com]. La risposta conterrà i metadati della risorsa dell'organizzazione, che include l'ID della risorsa dell'organizzazione.

Configurazione della risorsa della tua organizzazione

Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa dell'organizzazione.

I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa dell'organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come prima. Potranno visualizzare la risorsa dell'organizzazione, ma potranno modificarla solo dopo aver impostato le autorizzazioni corrette.

I super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud sono ruoli chiave durante la procedura di configurazione e per il controllo del ciclo di vita della risorsa dell'organizzazione. I due ruoli vengono in genere assegnati a utenti o gruppi diversi, anche se questo dipende dalla struttura e dalle esigenze dell'organizzazione.

Le responsabilità dei super amministratori di Google Workspace o Cloud Identity nel contesto della configurazione delle risorse dell'organizzazione Google Cloud sono:

  • Assegnazione del ruolo Amministratore organizzazione ad alcuni utenti
  • Essere un punto di contatto in caso di problemi di recupero
  • Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity e delle risorse dell'organizzazione come spiegato in Eliminare una risorsa dell'organizzazione

Una volta assegnato, l'amministratore dell'organizzazione può assegnare ruoli di Identity and Access Management ad altri utenti. Le responsabilità del ruolo Amministratore organizzazione sono:

  • Definizione di criteri IAM e concessione di ruoli IAM ad altri utenti.
  • La struttura della gerarchia delle risorse

In base al principio del privilegio minimo, questo ruolo non include l'autorizzazione per eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, un amministratore dell'organizzazione deve assegnare ruoli aggiuntivi al proprio account.

La presenza di due ruoli distinti assicura la separazione dei compiti tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione Google Cloud. Si tratta spesso di un requisito, in quanto i due prodotti Google sono generalmente gestiti da reparti diversi nell'organizzazione del cliente.

Per iniziare a utilizzare attivamente la risorsa dell'organizzazione, segui questi passaggi per aggiungere un amministratore dell'organizzazione:

Aggiunta di un amministratore dell'organizzazione

console

Per aggiungere un amministratore dell'organizzazione:

  1. Accedi a Google Cloud Console come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:

    Apri la pagina Amministrazione IAM &AMP

  2. Seleziona la risorsa dell'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa dell'organizzazione e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere un amministratore dell'organizzazione.

    3. Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la relativa pagina Autorizzazioni IAM.

  3. Fai clic su Aggiungi, quindi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Gestione risorse > Amministratore organizzazione, quindi fai clic su Salva.

    L'amministratore dell'organizzazione può:

    • Assumi il controllo completo della risorsa dell'organizzazione. Viene stabilita la separazione delle responsabilità tra i super amministratori di Google Workspace e Cloud Identity e gli amministratori di Google Cloud.

    • Delega la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.

Come spiegato in Acquisizione di una risorsa dell'organizzazione, al momento della creazione vengono concessi i ruoli di Creatore progetto e Creatore account di fatturazione a livello di organizzazione per impostazione predefinita. In questo modo, non verrà applicata alcuna interruzione agli utenti di Google Cloud durante la creazione della risorsa dell'organizzazione. Man mano che l'amministratore dell'organizzazione assume il controllo, potrebbe voler rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso a una granularità maggiore (ad esempio a livello di cartella o progetto). Tieni presente che, poiché i criteri IAM vengono ereditati nella gerarchia, l'assegnazione del ruolo Autore progetto all'intero dominio (domain:mycompany.com) a livello di organizzazione implica che ogni utente del dominio possa creare progetti in qualsiasi punto della gerarchia.

Creazione di progetti nella risorsa dell'organizzazione

console


Dopo aver attivato la risorsa per il tuo dominio, puoi creare un progetto nella risorsa dell'organizzazione utilizzando la console.

Per creare un nuovo progetto nella risorsa dell'organizzazione:

Per creare un nuovo progetto, segui questi passaggi:

  1. Vai alla pagina Gestisci risorse nella console.
  2. Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, seleziona la risorsa dell'organizzazione in cui vuoi creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
  3. Fai clic su Crea progetto.
  4. Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
  5. Inserisci l'organizzazione principale o la risorsa della cartella nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
  6. Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.

Server


Puoi creare un nuovo progetto nella risorsa dell'organizzazione creando una project e impostando il relativo campo parent su organizationId della risorsa dell'organizzazione.

Il seguente snippet di codice mostra come creare un progetto in una risorsa dell'organizzazione:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Visualizzazione dei progetti in una risorsa dell'organizzazione

Gli utenti possono visualizzare ed elencare solo i progetti a cui hanno accesso tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti contenuti nella risorsa dell'organizzazione.

console


Per visualizzare tutti i progetti in una risorsa dell'organizzazione utilizzando la console:

  1. Vai a Google Cloud Console:

    Vai a Google Cloud Console

  2. Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.

  3. Seleziona la risorsa della tua organizzazione.

  4. Fai clic sul menu a discesa Progetto nella parte superiore della pagina, quindi fai clic su Visualizza altri progetti. Tutti i progetti nella risorsa dell'organizzazione sono elencati nella pagina.

L'opzione Nessuna organizzazione nel menu a discesa Organizzazione elenca i seguenti progetti:

  • Progetti che non appartengono ancora alla risorsa dell'organizzazione.
  • Progetti a cui l'utente ha accesso, ma che si trovano in una risorsa dell'organizzazione a cui l'utente non è autorizzato ad accedere.

gcloud


Per visualizzare tutti i progetti in una risorsa dell'organizzazione, esegui il comando seguente:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

Server


Utilizza il metodo projects.list() per elencare tutti i progetti contenuti in una risorsa principale, come mostrato nel seguente snippet di codice:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Eliminazione di una risorsa dell'organizzazione

La risorsa dell'organizzazione è associata al tuo account Google Workspace o Cloud Identity.

Se preferisci non utilizzare la risorsa dell'organizzazione, ti consigliamo di ripristinare il criterio IAM della risorsa dell'organizzazione allo stato originale seguendo questi passaggi:

  1. Aggiungi il dominio ai ruoli Project Creator e Billing Account Creator.
  2. Rimuovi tutte le altre voci nel criterio IAM della risorsa dell'organizzazione.

In questo modo, gli utenti potranno continuare a creare progetti e account di fatturazione, consentendo al contempo ai super amministratori di Google Workspace o Cloud Identity di recuperare l'amministrazione centrale in un secondo momento.

Se elimini il tuo account Google Workspace, verranno eliminate anche la risorsa dell'organizzazione e tutte le risorse associate. Pertanto, se vuoi eliminare la risorsa della tua organizzazione, puoi farlo eliminando il tuo account Google Workspace. Per gli utenti di Cloud Identity, annulla tutti gli altri servizi Google, quindi elimina il tuo Account Google. Si tratta di un'azione potenzialmente dannosa che potrebbe essere impossibile da annullare, pertanto ti consigliamo di intraprendere questa azione solo se hai la certezza che non ci siano risorse in uso attivo.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente