Mengelola banyak resource organisasi

Resource organisasi menetapkan kepemilikan project dan folder di bawahnya dalam hierarki resource Google Cloud Platform. Akun Google Workspace atau Cloud Identity Anda hanya dikaitkan dengan satu resource organisasi. Setiap akun Google Workspace atau Cloud Identity juga dikaitkan dengan domain primer, seperti example.com. Untuk mengetahui detail tentang penggunaan beberapa domain, lihat Menambahkan domain alias pengguna atau domain sekunder. Untuk mengetahui detail tentang cara mengubah domain primer untuk akun Google Workspace, lihat Mengubah domain primer untuk Google Workspace.

Sebaiknya gunakan folder dalam satu resource organisasi untuk sebagian besar kasus penggunaan. Jika Anda ingin mempertahankan sub-organisasi atau departemen dalam perusahaan sebagai entitas terisolasi tanpa administrasi pusat, Anda dapat menyiapkan beberapa akun Google Workspace atau Cloud Identity. Setiap akun akan disertai dengan satu resource organisasi yang terkait dengan domain primer.

Efek penggunaan beberapa resource organisasi

Gunakan beberapa resource organisasi jika Anda tidak ingin pengguna dari satu akun Google Workspace atau Cloud Identity mengakses resource yang dibuat oleh pengguna dari akun Google Workspace atau Cloud Identity lain. Memisahkan resource menjadi beberapa resource organisasi memiliki beberapa konsekuensi:

  • Secara default, tidak ada satu pengguna pun yang akan memiliki visibilitas dan kontrol terpusat atas semua resource.

  • Kebijakan yang umum di seluruh sub-organisasi harus direplikasi di setiap resource organisasi.

  • Memindahkan folder dari satu resource organisasi ke resource organisasi lainnya bukan operasi yang didukung. Memindahkan project dari satu resource organisasi ke resource organisasi lainnya dapat dilakukan dengan mengikuti panduan di sini.

  • Setiap resource organisasi memerlukan akun Google Workspace. Oleh karena itu, pengoperasian beberapa resource organisasi memerlukan beberapa akun Google Workspace dan kemampuan untuk mengelola identitas di seluruh resource tersebut.

Menggunakan satu resource organisasi

Sebagian besar organisasi yang ingin mempertahankan sub-organisasi terpisah dapat melakukannya menggunakan satu resource dan folder organisasi. Jika Anda memiliki satu akun Google Workspace, akun ini akan dipetakan ke resource organisasi, dan sub-organisasi akan dipetakan ke folder.

Memilih Administrator Organisasi

Pilih satu atau beberapa pengguna untuk bertindak sebagai Administrator Organisasi IAM untuk resource organisasi.

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Pada dialog Select from, klik menu drop-down organisasi, lalu pilih resource organisasi tempat Anda ingin menambahkan Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Tambahkan, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Pada menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Ambil kendali penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super Google Workspace atau Cloud Identity dan administrator Google Cloud telah dilakukan.

    • Mendelegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Membuat folder untuk sub-organisasi

Buat folder di bagian resource organisasi untuk setiap sub-organisasi.

Untuk membuat folder, Anda harus memiliki peran Folder Admin atau Folder Creator di tingkat induk. Misalnya, untuk membuat folder di tingkat organisasi, Anda harus memiliki salah satu peran ini di tingkat organisasi.

Sebagai bagian dari pembuatan folder, Anda harus menetapkan nama untuk folder tersebut. Nama folder harus memenuhi persyaratan berikut:

  • Nama dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah.
  • Nama tampilan folder harus diawali dan diakhiri dengan huruf atau angka.
  • Panjang nama harus antara 3 hingga 30 karakter.
  • Nama harus berbeda dari semua folder lain yang memiliki induk yang sama.

Untuk membuat folder:

Konsol

Folder dapat dibuat di UI menggunakan bagian "Kelola Project dan Folder".

  1. Buka halaman Mengelola resource di konsol Google Cloud:

    Buka halaman Kelola resource

  2. Pastikan nama resource organisasi Anda dipilih di menu drop-down organisasi di bagian atas halaman.

  3. Klik Buat folder, lalu pilih salah satu opsi berikut:

    • Folder standar: Resource folder standar.
    • Folder yang mematuhi kebijakan: Folder Assured Workloads, yang menyediakan kontrol peraturan, regional, atau kedaulatan tambahan untuk resource Google Cloud. Memilih opsi ini akan mengarahkan Anda ke Assured Workloads untuk membuat folder.

  4. Di kotak Nama folder, masukkan nama folder baru Anda.

  5. Di bagian Destination, klik Browse, lalu pilih resource organisasi atau folder tempat Anda ingin membuat folder baru.

    1. Klik Create.

gcloud

Folder dapat dibuat secara terprogram menggunakan Google Cloud CLI.

Untuk membuat folder di resource organisasi menggunakan alat command line gcloud, jalankan perintah berikut.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Untuk membuat folder yang induknya adalah folder lain:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder. Tidak ada dua folder dengan induk yang sama yang dapat memiliki nama tampilan yang sama. Nama tampilan harus diawali dan diakhiri dengan huruf atau angka, dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah, dan tidak boleh lebih dari 30 karakter.
  • [ORGANIZATION_ID] adalah ID resource organisasi induk jika induk adalah resource organisasi.
  • [FOLDER_ID] adalah ID folder induk, jika induk adalah folder.

API

Folder dapat dibuat dengan permintaan API.

JSON permintaan:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Permintaan curl Buat Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder baru, misalnya "My Awesome Folder".
  • [ORGANIZATION_NAME] adalah nama resource organisasi tempat Anda membuat folder, misalnya organizations/123.

Respons Buat Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Permintaan curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respons Operasi Get:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Memberikan peran administrator folder

Untuk setiap folder sub-organisasi yang Anda buat, berikan peran Folder Admin kepada satu atau beberapa pengguna. Pengguna ini akan memiliki kontrol administratif atas folder dan sub-organisasi yang diwakilinya.

Untuk mengonfigurasi akses ke folder, Anda harus memiliki peran Administrator IAM Folder atau Admin Folder di tingkat induk.

Konsol

  1. Di konsol Google Cloud, buka halaman Manage Resources.

    Buka halaman Kelola Resource

  2. Klik menu drop-down Organization di kiri atas, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang di samping project yang izinnya ingin Anda ubah.

    1. Di sebelah kanan Panel info, pada bagian Izin, masukkan alamat email anggota yang ingin Anda tambahkan.

    2. Di menu drop-down Select a role, pilih peran yang ingin Anda berikan kepada anggota tersebut.

    3. Klik Tambahkan. Notifikasi akan muncul untuk mengonfirmasi penambahan atau pembaruan peran baru anggota.

gcloud

Anda dapat mengonfigurasi akses ke Folder secara terprogram menggunakan Google Cloud CLI atau API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Sebagai alternatif:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dengan keterangan:

  • [FOLDER_ID] adalah ID folder baru.
  • [POLICY_FILE] adalah jalur ke file kebijakan untuk folder.

API

Metode setIamPolicy menetapkan kebijakan kontrol akses pada folder, menggantikan kebijakan yang ada. Kolom resource harus berupa nama resource folder, misalnya, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Permintaan curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dengan keterangan:

  • [FOLDER_NAME] adalah nama folder yang kebijakan IAM-nya sedang ditetapkan, misalnya folders/123.

Membatasi peran suborganisasi

Setiap Folder Admin dapat membatasi peran Project Creator untuk anggota sub-organisasinya. Mereka juga dapat menghapus domain dari peran Project Creator dalam kebijakan IAM resource organisasi.

Administrator super Google Workspace memiliki hak istimewa Administrator Organisasi yang tidak dapat dibatalkan. Admin super ini biasanya mengelola identitas dan kebijakan identitas, bukan mengelola resource Google Cloud dan kebijakan resource.

Konsol

Untuk menghapus peran yang ditetapkan kepada pengguna secara default menggunakan konsol Google Cloud:

  1. Buka halaman Mengelola resource di konsol Google Cloud:

    Buka halaman Kelola resource

  2. Klik menu drop-down Organization di bagian atas halaman, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang untuk resource organisasi yang izinnya ingin Anda ubah. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, lihat petunjuk mencabut peran melalui halaman IAM.

  4. Di sisi kanan Panel Info, pada bagian Izin, klik untuk meluaskan peran yang penggunanya ingin Anda hapus.

  5. Di bagian daftar peran yang diperluas, di samping akun utama yang ingin Anda hapus dari peran, klik hapus. Screenshot UI

  6. Pada dialog Hapus akun utama? yang muncul, klik Hapus untuk mengonfirmasi penghapusan peran dari akun utama yang ditentukan.

  7. Ulangi dua langkah di atas untuk setiap peran yang ingin Anda hapus.

Contoh

Diagram di bawah mengilustrasikan organisasi yang telah menggunakan folder untuk memisahkan dua departemen. Kepala departemen teknik dan keuangan memiliki kontrol administratif, dan pengguna lain tidak dapat membuat project.

Diagram hierarki

Mengelola beberapa organisasi dalam resource organisasi utama

Jika organisasi Anda memiliki beberapa akun Google Workspace, Anda akan memiliki beberapa resource organisasi secara default. Untuk mempertahankan visibilitas dan kontrol sentral, Anda harus memilih satu resource organisasi sebagai resource organisasi utama. Admin super akun Google Workspace yang terkait dengan resource organisasi primer Anda akan memiliki kontrol administratif atas semua resource, termasuk yang dibuat oleh pengguna dari akun Google Workspace lainnya. Pengguna dari akun Google Workspace tersebut akan diberi akses ke folder dalam resource organisasi utama, tempat mereka dapat membuat project.

Memilih Administrator Organisasi

Pilih satu atau beberapa pengguna untuk bertindak sebagai Administrator Organisasi IAM untuk resource organisasi.

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Pada dialog Select from, klik menu drop-down organisasi, lalu pilih resource organisasi tempat Anda ingin menambahkan Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Tambahkan, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Pada menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Ambil kendali penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super Google Workspace atau Cloud Identity dan administrator Google Cloud telah dilakukan.

    • Mendelegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Menghapus peran Project Creator

Hapus peran Project Creator dari resource organisasi untuk memastikan bahwa resource tidak dibuat di resource organisasi lainnya.

Konsol

Untuk menghapus peran yang ditetapkan kepada pengguna secara default menggunakan konsol Google Cloud:

  1. Buka halaman Mengelola resource di konsol Google Cloud:

    Buka halaman Kelola resource

  2. Klik menu drop-down Organization di bagian atas halaman, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang untuk resource organisasi yang izinnya ingin Anda ubah. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, lihat petunjuk mencabut peran melalui halaman IAM.

  4. Di sisi kanan Panel Info, pada bagian Izin, klik untuk meluaskan peran yang penggunanya ingin Anda hapus.

  5. Di bagian daftar peran yang diperluas, di samping akun utama yang ingin Anda hapus dari peran, klik hapus. Screenshot UI

  6. Pada dialog Hapus akun utama? yang muncul, klik Hapus untuk mengonfirmasi penghapusan peran dari akun utama yang ditentukan.

  7. Ulangi dua langkah di atas untuk setiap peran yang ingin Anda hapus.

Membuat folder untuk akun Google Workspace

Buat folder di bagian resource organisasi untuk setiap akun Google Workspace.

Untuk membuat folder, Anda harus memiliki peran Folder Admin atau Folder Creator di tingkat induk. Misalnya, untuk membuat folder di tingkat organisasi, Anda harus memiliki salah satu peran ini di tingkat organisasi.

Sebagai bagian dari pembuatan folder, Anda harus menetapkan nama untuk folder tersebut. Nama folder harus memenuhi persyaratan berikut:

  • Nama dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah.
  • Nama tampilan folder harus diawali dan diakhiri dengan huruf atau angka.
  • Panjang nama harus antara 3 hingga 30 karakter.
  • Nama harus berbeda dari semua folder lain yang memiliki induk yang sama.

Untuk membuat folder:

Konsol

Folder dapat dibuat di UI menggunakan bagian "Kelola Project dan Folder".

  1. Buka halaman Mengelola resource di konsol Google Cloud:

    Buka halaman Kelola resource

  2. Pastikan nama resource organisasi Anda dipilih di menu drop-down organisasi di bagian atas halaman.

  3. Klik Buat folder, lalu pilih salah satu opsi berikut:

    • Folder standar: Resource folder standar.
    • Folder yang mematuhi kebijakan: Folder Assured Workloads, yang menyediakan kontrol peraturan, regional, atau kedaulatan tambahan untuk resource Google Cloud. Memilih opsi ini akan mengarahkan Anda ke Assured Workloads untuk membuat folder.

  4. Di kotak Nama folder, masukkan nama folder baru Anda.

  5. Di bagian Destination, klik Browse, lalu pilih resource organisasi atau folder tempat Anda ingin membuat folder baru.

    1. Klik Create.

gcloud

Folder dapat dibuat secara terprogram menggunakan Google Cloud CLI.

Untuk membuat folder di resource organisasi menggunakan alat command line gcloud, jalankan perintah berikut.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Untuk membuat folder yang induknya adalah folder lain:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder. Tidak ada dua folder dengan induk yang sama yang dapat memiliki nama tampilan yang sama. Nama tampilan harus diawali dan diakhiri dengan huruf atau angka, dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah, dan tidak boleh lebih dari 30 karakter.
  • [ORGANIZATION_ID] adalah ID resource organisasi induk jika induk adalah resource organisasi.
  • [FOLDER_ID] adalah ID folder induk, jika induk adalah folder.

API

Folder dapat dibuat dengan permintaan API.

JSON permintaan:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Permintaan curl Buat Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder baru, misalnya "My Awesome Folder".
  • [ORGANIZATION_NAME] adalah nama resource organisasi tempat Anda membuat folder, misalnya organizations/123.

Respons Buat Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Permintaan curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respons Operasi Get:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Memberikan peran administrator folder

Untuk setiap folder yang dibuat, berikan peran Folder Admin kepada satu atau beberapa pengguna. Pengguna ini akan didelegasikan kontrol administratif atas folder dan sub-organisasi yang diwakilinya.

Untuk mengonfigurasi akses ke folder, Anda harus memiliki peran Administrator IAM Folder atau Admin Folder di tingkat induk.

Konsol

  1. Di konsol Google Cloud, buka halaman Manage Resources.

    Buka halaman Kelola Resource

  2. Klik menu drop-down Organization di kiri atas, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang di samping project yang izinnya ingin Anda ubah.

    1. Di sebelah kanan Panel info, pada bagian Izin, masukkan alamat email anggota yang ingin Anda tambahkan.

    2. Di menu drop-down Select a role, pilih peran yang ingin Anda berikan kepada anggota tersebut.

    3. Klik Tambahkan. Notifikasi akan muncul untuk mengonfirmasi penambahan atau pembaruan peran baru anggota.

gcloud

Anda dapat mengonfigurasi akses ke Folder secara terprogram menggunakan Google Cloud CLI atau API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Sebagai alternatif:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dengan keterangan:

  • [FOLDER_ID] adalah ID folder baru.
  • [POLICY_FILE] adalah jalur ke file kebijakan untuk folder.

API

Metode setIamPolicy menetapkan kebijakan kontrol akses pada folder, menggantikan kebijakan yang ada. Kolom resource harus berupa nama resource folder, misalnya, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Permintaan curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dengan keterangan:

  • [FOLDER_NAME] adalah nama folder yang kebijakan IAM-nya sedang ditetapkan, misalnya folders/123.

Setiap Folder Admin kemudian dapat memberikan peran Project Creator kepada pengguna dari domain terkait.

Contoh

Diagram di bawah mengilustrasikan organisasi dengan domain utama yang tetap terisolasi dari domain sekunder yang diperoleh. Masing-masing dari dua domain tersebut memiliki akun Google Workspace-nya sendiri, dengan hypothetical.com sebagai resource organisasi utama.

Diagram hierarki