La risorsa organizzazione è il nodo radice della gerarchia delle risorse di Google Cloud ed è il super nodo gerarchico di progetti. Questa pagina spiega come acquisire e gestire una risorsa dell'organizzazione.
Prima di iniziare
Leggi una panoramica della risorsa organizzazione.
Recupero di una risorsa dell'organizzazione
Per i clienti di Google Workspace e Cloud Identity è disponibile una risorsa dell'organizzazione:
- Google Workspace:registrati a Google Workspace.
- Cloud Identity:registrati a Cloud Identity.
Dopo aver creato l'account Google Workspace o Cloud Identity e averlo associato a un dominio, la risorsa della tua organizzazione verrà creata automaticamente. Il provisioning della risorsa verrà eseguito in momenti diversi in base allo stato del tuo account:
- Se non hai mai utilizzato Google Cloud e non hai ancora creato un progetto, la risorsa dell'organizzazione verrà creata automaticamente quando accedi alla console Google Cloud e accetti i Termini e condizioni.
-
Se sei un utente Google Cloud esistente, la risorsa organizzazione verrà creata automaticamente quando crei un nuovo progetto o un nuovo account di fatturazione. Tutti i progetti creati in precedenza verranno elencati nella sezione "Nessuna organizzazione" ed è normale. Verrà visualizzata la risorsa organizzazione e il nuovo progetto che hai creato verrà collegato automaticamente.
Dovrai spostare tutti i progetti creati in "Nessuna organizzazione" nella nuova risorsa dell'organizzazione. Per istruzioni su come spostare i progetti, vedi Migrazione dei progetti in una risorsa dell'organizzazione.
La risorsa dell'organizzazione creata verrà collegata al tuo account Google Workspace o Cloud Identity con l'account di progetto o di fatturazione creato impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno figli di questa risorsa dell'organizzazione.
- Per informazioni su come eseguire la migrazione dei progetti preesistenti, consulta Migrazione di progetti esistenti.
Ogni account Google Workspace o Cloud Identity è associato esattamente a una risorsa dell'organizzazione. Una risorsa dell'organizzazione è associata esattamente a un dominio, che viene impostato al momento della creazione della risorsa dell'organizzazione.
Quando viene creata la risorsa organizzazione, ne comunichiamo la disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore vanno usati con cautela perché il controllo che hanno sulla tua organizzazione e su tutte le risorse sottostanti è molto esteso. Per questo motivo, sconsigliamo di utilizzare gli account super amministratore Google Workspace o Cloud Identity per la gestione quotidiana della risorsa della tua organizzazione. Per ulteriori informazioni sull'utilizzo degli account super amministratore di Google Workspace o Cloud Identity in Google Cloud, consulta le Best practice per i super amministratori.
Per adottare attivamente la risorsa Organizzazione, i super amministratori di Google Workspace o Cloud Identity devono assegnare il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) a un utente o a un gruppo. Per la procedura di configurazione delle risorse dell'organizzazione, vedi Configurazione della risorsa dell'organizzazione.
- Alla creazione della risorsa dell'organizzazione, a tutti gli utenti del dominio vengono concessi automaticamente i ruoli IAM Autore progetto (
roles/resourcemanager.projectCreator) e Creatore account di fatturazione (roles/billing.creator) a livello di risorsa organizzazione. In questo modo gli utenti del dominio possono continuare a creare progetti senza interruzioni. - L'amministratore dell'organizzazione decide quando iniziare a utilizzare attivamente la risorsa dell'organizzazione. Possono quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi, se necessario.
- Se la risorsa dell'organizzazione è disponibile e non hai le autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Vengono create automaticamente nella risorsa Organizzazione, anche se non riesci a vederle.
Recupera l'ID risorsa dell'organizzazione
L'ID risorsa dell'organizzazione è un identificatore univoco di una risorsa dell'organizzazione e viene creato automaticamente quando questa viene creata. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono avere zeri iniziali.
Puoi ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, l'interfaccia alla gcloud CLI o l'API Resource Manager.
console
Per ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, segui questi passaggi:
- Vai alla console Google Cloud:
- Dal selettore di progetti nella parte superiore della pagina, seleziona la risorsa della tua organizzazione.
- Sul lato destro della pagina, fai clic su Altro e poi su Impostazioni.
Nella pagina Impostazioni viene visualizzato l'ID risorsa della tua organizzazione.
gcloud
Per trovare l'ID risorsa della tua organizzazione, esegui il comando seguente:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e gli ID risorsa dell'organizzazione corrispondenti.
API
Per trovare l'ID risorsa della tua organizzazione utilizzando l'API Resource Manager, utilizza il metodo organizations.search(), inclusa una query per il tuo dominio. Ecco alcuni esempi:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa dell'organizzazione che appartiene a altostrat.com, che include l'ID della risorsa dell'organizzazione.
Configurazione della risorsa della tua organizzazione
Se sei un cliente Google Workspace o Cloud Identity, ti viene fornita automaticamente una risorsa organizzazione.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa dell'organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Google Cloud come in precedenza. Potranno visualizzare la risorsa dell'organizzazione, ma potranno modificarla solo dopo che saranno state impostate le autorizzazioni corrette.
I super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa dell'organizzazione. Questi due ruoli vengono generalmente assegnati a utenti o gruppi diversi, ma dipende dalla struttura e dalle esigenze della risorsa dell'organizzazione.
Le responsabilità del super amministratore di Google Workspace o Cloud Identity nel contesto della configurazione delle risorse dell'organizzazione di Google Cloud sono:
- Assegnare il ruolo Amministratore organizzazione ad alcuni utenti
- Agire da punto di contatto in caso di problemi di ripristino
- Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity e della risorsa dell'organizzazione come descritto in Eliminazione di una risorsa dell'organizzazione
Una volta assegnato, l'amministratore dell'organizzazione può assegnare i ruoli Identity and Access Management per altri utenti. Le responsabilità del ruolo Amministratore organizzazione sono:
- Definizione dei criteri IAM e concessione di ruoli IAM ad altri utenti.
- La struttura della gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione per eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, un Amministratore organizzazione deve assegnare altri ruoli al proprio account.
La presenza di due ruoli distinti garantisce la separazione dei compiti tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazione di Google Cloud. Questo è spesso un requisito, in quanto i due prodotti Google sono generalmente gestiti da reparti diversi nell'organizzazione del cliente.
Per iniziare a utilizzare attivamente la risorsa organizzazione, segui questi passaggi per aggiungere un Amministratore organizzazione:
Aggiunta di un Amministratore organizzazione
Console
Per aggiungere un Amministratore organizzazione:
Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:
Seleziona la risorsa dell'organizzazione da modificare:
Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa Organizzazione a cui vuoi aggiungere un Amministratore organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa organizzazione per aprire la pagina Autorizzazioni IAM.
Fai clic su Aggiungi, quindi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, scegli Resource Manager > Amministratore organizzazione, quindi fai clic su Salva.
L'amministratore dell'organizzazione può:
Assumi il controllo completo della risorsa organizzazione. Viene stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Google Cloud.
Delega la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.
Come descritto nella sezione Acquisire una risorsa dell'organizzazione, al momento della creazione a tutti gli utenti del dominio vengono concessi per impostazione predefinita i ruoli Autore progetto e Creatore account di fatturazione a livello di risorsa dell'organizzazione. Questo garantisce che non venga causata alcuna interruzione per gli utenti di Google Cloud durante la creazione della risorsa dell'organizzazione. Poiché l'amministratore dell'organizzazione ha il controllo, potrebbe essere opportuno rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso in modo più granulare (ad esempio a livello di cartella o di progetto). Tieni presente che, poiché i criteri IAM vengono ereditati dalla gerarchia, l'assegnazione del ruolo Autore progetto all'intero dominio (domain:mycompany.com) a livello di risorsa dell'organizzazione implica che ogni utente del dominio può creare progetti in qualsiasi punto della gerarchia.
Creazione di progetti nella risorsa organizzazione
Console
Puoi creare un progetto nella risorsa organizzazione utilizzando la console Google Cloud dopo che la risorsa organizzazione è abilitata per il tuo dominio.
Per creare un nuovo progetto nella risorsa organizzazione:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella console Google Cloud.
I passaggi rimanenti verranno visualizzati automaticamente nella console Google Cloud.
- Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
- Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
- Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
API
Puoi creare un nuovo progetto nella risorsa organizzazione creando una project e impostando il relativo campo parent su organizationId della risorsa organizzazione.
Il seguente snippet di codice mostra come creare un progetto in una risorsa dell'organizzazione:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualizzazione dei progetti in una risorsa dell'organizzazione
Gli utenti possono visualizzare ed elencare solo i progetti a cui hanno accesso tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti nella risorsa organizzazione.
Console
Per visualizzare tutti i progetti in una risorsa dell'organizzazione utilizzando la console Google Cloud:
Vai alla console Google Cloud:
Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.
Seleziona la risorsa organizzazione.
Fai clic sul menu a discesa Progetto nella parte superiore della pagina e poi su Visualizza altri progetti. Tutti i progetti nella risorsa organizzazione sono elencati nella pagina.
L'opzione Nessuna organizzazione nel menu a discesa Organizzazione elenca i seguenti progetti:
- Progetti che non appartengono ancora alla risorsa organizzazione.
- Progetti a cui l'utente ha accesso, ma si trova all'interno di una risorsa organizzazione a cui l'utente non ha accesso.
gcloud
Per visualizzare tutti i progetti in una risorsa dell'organizzazione, esegui il comando seguente:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Utilizza il metodo projects.list() per elencare tutti i progetti in una risorsa padre, come mostrato nel seguente snippet di codice:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminazione di una risorsa dell'organizzazione
La risorsa organizzazione è associata al tuo account Google Workspace o Cloud Identity.
Se preferisci non utilizzare la risorsa organizzazione, ti consigliamo di ripristinare il criterio IAM della risorsa organizzazione nello stato originale seguendo questi passaggi:
- Aggiungi il tuo dominio ai ruoli
Project CreatoreBilling Account Creator. - Rimuovi tutte le altre voci nel criterio IAM della risorsa organizzazione.
In questo modo gli utenti potranno continuare a creare progetti e account di fatturazione, consentendo al tempo stesso ai super amministratori di Google Workspace o Cloud Identity di recuperare l'amministrazione centrale in un secondo momento.
Se elimini l'account Google Workspace, verranno eliminate la risorsa dell'organizzazione e tutte le risorse associate. Se vuoi eliminare la risorsa della tua organizzazione, puoi eliminare il tuo account Google Workspace. Per gli utenti di Cloud Identity, annulla tutti gli altri servizi Google, quindi elimina il tuo Account Google. Si tratta potenzialmente di un'azione molto dannosa che potrebbe essere impossibile da annullare completamente, quindi è consigliabile intraprenderla solo se hai la certezza che non siano presenti risorse in uso attivo.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente