Gestione di più risorse dell'organizzazione

La risorsa organizzazione stabilisce la proprietà dei progetti e delle cartelle in basso nella gerarchia delle risorse della piattaforma Google Cloud. Il tuo account Google Workspace o Cloud Identity è associato esattamente a un account risorsa dell'organizzazione. Ogni account Google Workspace o Cloud Identity è associato anche a un dominio principale, come example.com. Per maggiori dettagli sull'utilizzo di più domini, consulta Aggiungere un dominio di alias utente o un dominio secondario dominio. Per informazioni dettagliate sulla modifica del dominio principale di un account Google Workspace, vedi Cambiare il dominio principale per Google Workspace.

È meglio utilizzare le cartelle in un'unica risorsa dell'organizzazione per la maggior parte dei casi d'uso. Se vuoi mantenere le organizzazioni secondarie o i reparti all'interno della tua azienda entità isolate senza amministrazione centrale, puoi configurare Account Google Workspace o Cloud Identity. Ogni account sono costituiti da un'unica risorsa dell'organizzazione associata a un dominio principale.

Effetti dell'utilizzo di più risorse dell'organizzazione

Utilizza più risorse dell'organizzazione quando non vuoi che gli utenti da un account Google Workspace o Cloud Identity per accedere risorse create da utenti provenienti da un altro account Google Workspace, Account Cloud Identity. Separazione delle risorse in più organizzazioni ha diverse conseguenze:

  • Per impostazione predefinita, nessun singolo utente avrà una visibilità e un controllo centralizzati su tutti Google Cloud.

  • I criteri comuni alle organizzazioni secondarie dovranno essere replicati per ogni risorsa dell'organizzazione.

  • Lo spostamento di cartelle da una risorsa dell'organizzazione a un'altra non è supportato operativa. È possibile spostare progetti da una risorsa dell'organizzazione a un'altra completata seguendo la guida qui.

  • Ogni risorsa dell'organizzazione richiede un account Google Workspace. Operativa più risorse dell'organizzazione richiedono quindi più Google Workspace account e la possibilità di gestire le identità al loro interno.

Utilizzo di un'unica risorsa dell'organizzazione

La maggior parte delle organizzazioni che desiderano mantenere organizzazioni secondarie separate può farlo utilizzando un'unica risorsa e cartelle dell'organizzazione. Se hai un singolo Google Workspace, questo account è mappato alla risorsa dell'organizzazione e le organizzazioni secondarie mappano alle cartelle.

Scegli un Amministratore organizzazione

Scegli uno o più utenti che agiscano come organizzazione IAM Amministratore della risorsa organizzazione.

Console

Per aggiungere un Amministratore organizzazione:

  1. Accedi alla console Google Cloud come Google Workspace oppure il super amministratore di Cloud Identity e vai alla IAM e Pagina Amministrazione:

    Apri lo strumento IAM & pagina Amministrazione

  2. Seleziona la risorsa dell'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa delle organizzazioni e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere Amministratore organizzazione.

    3. Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprirne Autorizzazioni IAM.

  3. Fai clic su Aggiungi e inserisci l'indirizzo email di uno o più utenti che da impostare come Amministratori dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager. > Amministratore dell'organizzazione, quindi fai clic su Salva.

    L'amministratore dell'organizzazione può effettuare le seguenti operazioni:

    • Assumi il controllo completo della risorsa dell'organizzazione. È stata stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Google Cloud.

    • Delegare la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.

Crea cartelle per le organizzazioni secondarie

Crea una cartella sotto la risorsa organizzazione per ogni organizzazione secondaria.

Per creare cartelle, devi disporre del ruolo Amministratore cartelle o Creatore cartelle a livello principale. Ad esempio, per creare cartelle a livello di organizzazione, devi avere uno di questi ruoli a livello di organizzazione.

Durante la creazione di una cartella, devi assegnarle un nome. I nomi delle cartelle devono soddisfare i seguenti requisiti:

  • Il nome può contenere lettere, cifre, spazi, trattini e trattini bassi.
  • Il nome visualizzato della cartella deve iniziare e terminare con una lettera o una cifra.
  • Il nome deve essere compreso tra 3 e 30 caratteri.
  • Il nome deve essere diverso da tutte le altre cartelle che condividono l'elemento principale.

Per creare una cartella:

Console

Le cartelle possono essere create nell'interfaccia utente utilizzando il menu Cartelle" .

  1. Vai alla pagina Gestisci risorse nella console Google Cloud:

    Apri la scheda Gestisci risorse

  2. Assicurati che il nome della risorsa dell'organizzazione sia selezionato nel organizzazione nella parte superiore della pagina.

  3. Fai clic su Crea cartella e seleziona una delle opzioni seguenti:

  4. Nella casella Nome cartella, inserisci il nome della nuova cartella.

  5. In Destination (Destinazione), fai clic su Sfoglia, quindi seleziona l'organizzazione. alla risorsa o alla cartella in cui vuoi creare la nuova cartella.

    1. Fai clic su Crea.

gcloud

Le cartelle possono essere create in modo programmatico utilizzando Google Cloud CLI.

Per creare una cartella nella risorsa organizzazione utilizzando gcloud a strumento a riga di comando, esegui questo comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Per creare una cartella il cui principale è un'altra:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della cartella. Non esistono due cartelle con lo stesso genitore può condividere un nome visualizzato. Il nome visualizzato deve iniziare e terminare con una lettera o una cifra, può contenere lettere, cifre, spazi e trattini e trattini bassi e non possono superare i 30 caratteri.
  • [ORGANIZATION_ID]è l'ID della risorsa dell'organizzazione padre se la risorsa padre è una risorsa dell'organizzazione.
  • [FOLDER_ID] è l'ID della cartella principale, se quella principale è una cartella.

API

Le cartelle possono essere vengono creati con una richiesta API.

Il codice JSON della richiesta:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La richiesta curl Crea cartella:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della nuova cartella, ad esempio "La mia cartella Awesome."
  • [ORGANIZATION_NAME] è il nome della risorsa dell'organizzazione in cui stai creando la cartella, ad esempio organizations/123.

La risposta Crea cartella:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La richiesta Get Operation curl:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La risposta per ottenere l'operazione:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Concedi ruoli di amministratore della cartella

Per ogni cartella di un'organizzazione secondaria che crei, concedi a uno o più utenti il Amministratore cartelle. Questi utenti avranno il controllo amministrativo sulle cartella e l'organizzazione secondaria che rappresenta.

Per configurare l'accesso alle cartelle, devi avere l'amministratore IAM della cartella o Amministratore cartelle a livello principale.

Console

  1. Nella console Google Cloud, apri la pagina Gestisci risorse.

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione in alto a sinistra e poi seleziona la risorsa dell'organizzazione.

  3. Seleziona la casella di controllo accanto al progetto da modificare. autorizzazioni aggiuntive.

    1. Nel riquadro informazioni a destra, in Autorizzazioni, inserisci il gli indirizzi email dei membri che vuoi aggiungere.

    2. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo che vuoi concedere a questi membri.

    3. Fai clic su Aggiungi. Viene visualizzata una notifica per confermare l'aggiunta o l'aggiornamento dei membri nuovo ruolo.

gcloud

Puoi configurare l'accesso alle cartelle in modo programmatico utilizzando Google Cloud CLI o l'API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

In alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dove:

  • [FOLDER_ID] è l'ID della nuova cartella.
  • [POLICY_FILE] è il percorso di un file dei criteri per la cartella.

API

Il metodo setIamPolicy imposta il criterio di controllo dell'accesso su una cartella sostituendo eventuali criteri esistenti. Il campo resource deve essere il nome della risorsa della cartella, ad esempio folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La richiesta curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dove:

  • [FOLDER_NAME] è il nome della cartella di cui viene impostato il criterio IAM, per esempio cartelle/123.

Limitazione dei ruoli delle organizzazioni secondarie

Ogni Amministratore cartelle può limitare il ruolo Autore progetto ai membri di alla propria organizzazione secondaria. Può rimuovere il dominio dall'Autore progetto anche nel criterio IAM della risorsa dell'organizzazione.

I super amministratori di Google Workspace hanno un'organizzazione irrevocabile Privilegi amministrativi. Questi super amministratori in genere gestiscono i criteri di identità, invece di gestire le risorse dei criteri delle risorse.

Console

Per rimuovere i ruoli assegnati agli utenti per impostazione predefinita utilizzando la console Google Cloud:

  1. Vai alla pagina Gestisci risorse nella console Google Cloud:

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione nella parte superiore della pagina e seleziona risorsa della tua organizzazione.

  3. Seleziona la casella di controllo della risorsa dell'organizzazione per la quale vuoi modificare le autorizzazioni. Se non disponi di una risorsa Cartella, risorsa dell'organizzazione non sarà visibile. Per continuare, consulta istruzioni per revocare i ruoli tramite IAM .

  4. Nel riquadro informazioni a destra, in Autorizzazioni, fai clic per espandere il ruolo da cui vuoi rimuovere gli utenti.

  5. Nell'elenco dei ruoli espanso, accanto all'entità da cui vuoi rimuovere ruolo, fai clic su Rimuovi. Screenshot dell'interfaccia utente

  6. Nella finestra di dialogo Rimuovi entità? visualizzata, fai clic su Rimuovi per confermare la rimozione del ruolo dall'entità specificata.

  7. Ripeti i due passaggi precedenti per ciascun ruolo che vuoi rimuovere.

Esempio

Il diagramma seguente illustra un'organizzazione che ha utilizzato cartelle per separare due reparti. I responsabili dei dipartimenti di ingegneria e finanza hanno il controllo amministrativo e ad altri utenti viene impedito di creare progetti.

Diagramma della gerarchia

Gestione di più organizzazioni all'interno di una risorsa organizzazione principale

Se la tua organizzazione ha più account Google Workspace, avrai più risorse dell'organizzazione per impostazione predefinita. Per mantenere una visibilità centralizzata devi scegliere una risorsa organizzazione come organizzazione principale risorsa. I super amministratori dell'account Google Workspace associato con la risorsa principale dell'organizzazione avrà il controllo amministrativo su tutti di risorse, incluse quelle create dagli utenti Google Workspace. Gli utenti di Google Workspace agli account verrà concesso l'accesso a una cartella nella risorsa principale dell'organizzazione, in cui potranno creare progetti.

Scegli un Amministratore organizzazione

Scegli uno o più utenti che agiscano come organizzazione IAM Amministratore della risorsa organizzazione.

Console

Per aggiungere un Amministratore organizzazione:

  1. Accedi alla console Google Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:

    Apri lo strumento IAM & pagina Amministrazione

  2. Seleziona la risorsa dell'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa delle organizzazioni e seleziona la risorsa dell'organizzazione a cui vuoi aggiungere Amministratore organizzazione.

    3. Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprirne Autorizzazioni IAM.

  3. Fai clic su Aggiungi e inserisci l'indirizzo email di uno o più utenti che da impostare come Amministratori dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager. > Amministratore dell'organizzazione, quindi fai clic su Salva.

    L'amministratore dell'organizzazione può effettuare le seguenti operazioni:

    • Assumi il controllo completo della risorsa dell'organizzazione. È stata stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Google Cloud.

    • Delegare la responsabilità sulle funzioni critiche assegnando i ruoli IAM pertinenti.

Rimuovi il ruolo Autore progetto

Rimuovi il ruolo Autore progetto dalla risorsa dell'organizzazione per assicurarti che che le risorse non vengano create nelle altre risorse dell'organizzazione.

Console

Per rimuovere i ruoli assegnati agli utenti per impostazione predefinita utilizzando la console Google Cloud:

  1. Vai alla pagina Gestisci risorse nella console Google Cloud:

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione nella parte superiore della pagina e seleziona risorsa della tua organizzazione.

  3. Seleziona la casella di controllo della risorsa dell'organizzazione per la quale vuoi modificare le autorizzazioni. Se non disponi di una risorsa Cartella, risorsa dell'organizzazione non sarà visibile. Per continuare, consulta istruzioni per revocare i ruoli tramite IAM .

  4. Nel riquadro informazioni a destra, in Autorizzazioni, fai clic per espandere il ruolo da cui vuoi rimuovere gli utenti.

  5. Nell'elenco dei ruoli espanso, accanto all'entità da cui vuoi rimuovere ruolo, fai clic su Rimuovi. Screenshot dell'interfaccia utente

  6. Nella finestra di dialogo Rimuovi entità? visualizzata, fai clic su Rimuovi per confermare la rimozione del ruolo dall'entità specificata.

  7. Ripeti i due passaggi precedenti per ciascun ruolo che vuoi rimuovere.

Crea cartelle per gli account Google Workspace

Crea una cartella sotto la risorsa organizzazione per ogni Google Workspace .

Per creare cartelle, devi disporre del ruolo Amministratore cartelle o Creatore cartelle a livello principale. Ad esempio, per creare cartelle a livello di organizzazione, devi avere uno di questi ruoli a livello di organizzazione.

Durante la creazione di una cartella, devi assegnarle un nome. I nomi delle cartelle devono soddisfare i seguenti requisiti:

  • Il nome può contenere lettere, cifre, spazi, trattini e trattini bassi.
  • Il nome visualizzato della cartella deve iniziare e terminare con una lettera o una cifra.
  • Il nome deve essere compreso tra 3 e 30 caratteri.
  • Il nome deve essere diverso da tutte le altre cartelle che condividono l'elemento principale.

Per creare una cartella:

Console

Le cartelle possono essere create nell'interfaccia utente utilizzando il menu Cartelle" .

  1. Vai alla pagina Gestisci risorse nella console Google Cloud:

    Apri la scheda Gestisci risorse

  2. Assicurati che il nome della risorsa dell'organizzazione sia selezionato nel organizzazione nella parte superiore della pagina.

  3. Fai clic su Crea cartella e seleziona una delle opzioni seguenti:

  4. Nella casella Nome cartella, inserisci il nome della nuova cartella.

  5. In Destination (Destinazione), fai clic su Sfoglia, quindi seleziona l'organizzazione. alla risorsa o alla cartella in cui vuoi creare la nuova cartella.

    1. Fai clic su Crea.

gcloud

Le cartelle possono essere create in modo programmatico utilizzando Google Cloud CLI.

Per creare una cartella nella risorsa organizzazione utilizzando gcloud a strumento a riga di comando, esegui questo comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Per creare una cartella il cui principale è un'altra:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della cartella. Non esistono due cartelle con lo stesso genitore può condividere un nome visualizzato. Il nome visualizzato deve iniziare e terminare con una lettera o una cifra, può contenere lettere, cifre, spazi e trattini e trattini bassi e non possono superare i 30 caratteri.
  • [ORGANIZATION_ID]è l'ID della risorsa dell'organizzazione padre se la risorsa padre è una risorsa dell'organizzazione.
  • [FOLDER_ID] è l'ID della cartella principale, se quella principale è una cartella.

API

Le cartelle possono essere vengono creati con una richiesta API.

Il codice JSON della richiesta:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La richiesta curl Crea cartella:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della nuova cartella, ad esempio "La mia cartella Awesome."
  • [ORGANIZATION_NAME] è il nome della risorsa dell'organizzazione in cui stai creando la cartella, ad esempio organizations/123.

La risposta Crea cartella:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La richiesta Get Operation curl:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La risposta per ottenere l'operazione:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Concedi ruoli di amministratore della cartella

Per ciascuna delle cartelle create, assegna a uno o più utenti l'autorizzazione Amministratore cartelle ruolo. A questi utenti verrà delegato il controllo amministrativo sulla cartella dell'organizzazione secondaria che rappresenta.

Per configurare l'accesso alle cartelle, devi avere l'amministratore IAM della cartella o Amministratore cartelle a livello principale.

Console

  1. Nella console Google Cloud, apri la pagina Gestisci risorse.

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione in alto a sinistra e poi seleziona la risorsa della tua organizzazione.

  3. Seleziona la casella di controllo accanto al progetto da modificare. autorizzazioni aggiuntive.

    1. Nel riquadro informazioni a destra, in Autorizzazioni, inserisci il gli indirizzi email dei membri che vuoi aggiungere.

    2. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo che vuoi concedere a questi membri.

    3. Fai clic su Aggiungi. Viene visualizzata una notifica per confermare l'aggiunta o l'aggiornamento dei membri nuovo ruolo.

gcloud

Puoi configurare l'accesso alle cartelle in modo programmatico utilizzando Google Cloud CLI o l'API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

In alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dove:

  • [FOLDER_ID] è l'ID della nuova cartella.
  • [POLICY_FILE] è il percorso di un file dei criteri per la cartella.

API

Il metodo setIamPolicy imposta il criterio di controllo dell'accesso su una cartella sostituendo eventuali criteri esistenti. Il campo resource deve essere il nome della risorsa della cartella, ad esempio folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La richiesta curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dove:

  • [FOLDER_NAME] è il nome della cartella di cui viene impostato il criterio IAM, per esempio cartelle/123.

Ogni amministratore della cartella può quindi concedere agli utenti del dominio associato il ruolo Autore progetto.

Esempio

Il diagramma seguente illustra un'organizzazione con un dominio principale isolati da un dominio secondario acquisito. Ciascuno dei due domini ha i propri account Google Workspace, e hypothetical.com è risorsa principale dell'organizzazione.

Diagramma della gerarchia