Mengelola banyak resource organisasi

Resource organisasi menetapkan kepemilikan project dan folder di bawahnya dalam hierarki resource Google Cloud Platform. Akun Google Workspace atau Cloud Identity Anda dikaitkan dengan satu resource organisasi. Setiap akun Google Workspace atau Cloud Identity juga dikaitkan dengan domain primer, seperti example.com. Untuk mengetahui detail tentang cara menggunakan beberapa domain, lihat Menambahkan domain alias pengguna atau domain sekunder. Guna mengetahui detail tentang cara mengubah domain primer untuk akun Google Workspace, lihat Mengubah domain primer untuk Google Workspace.

Sebaiknya gunakan folder di dalam satu resource organisasi untuk sebagian besar kasus penggunaan. Jika ingin mempertahankan sub-organisasi atau departemen dalam perusahaan sebagai entitas terpisah tanpa administrasi terpusat, Anda dapat menyiapkan beberapa akun Google Workspace atau Cloud Identity. Setiap akun akan dilengkapi dengan satu resource organisasi yang terkait dengan domain primer.

Pengaruh menggunakan beberapa resource organisasi

Gunakan beberapa resource organisasi jika Anda tidak ingin pengguna dari satu akun Google Workspace atau Cloud Identity mengakses resource yang dibuat oleh pengguna dari akun Google Workspace atau Cloud Identity lain. Memisahkan resource menjadi beberapa resource organisasi memiliki beberapa konsekuensi:

  • Secara default, tidak ada pengguna yang akan memiliki visibilitas dan kontrol terpusat atas semua resource.

  • Kebijakan yang umum di seluruh suborganisasi perlu direplikasi pada setiap resource organisasi.

  • Memindahkan folder dari satu resource organisasi ke resource organisasi lainnya bukan operasi yang didukung. Memindahkan project dari satu resource organisasi ke resource organisasi lainnya dapat diselesaikan dengan mengikuti panduan di sini.

  • Setiap resource organisasi memerlukan akun Google Workspace. Mengoperasikan beberapa resource organisasi memerlukan beberapa akun Google Workspace dan kemampuan untuk mengelola identitas di seluruh resource tersebut.

Menggunakan satu resource organisasi

Sebagian besar organisasi yang ingin mengelola suborganisasi terpisah dapat melakukannya menggunakan satu resource dan folder organisasi. Jika Anda memiliki satu akun Google Workspace, akun ini akan dipetakan ke resource organisasi, dan suborganisasi dipetakan ke folder.

Pilih Administrator Organisasi

Pilih satu atau beberapa pengguna untuk bertindak sebagai Administrator Organisasi IAM untuk resource organisasi.

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Dalam dialog Select from, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahi Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Add, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super Google Workspace atau Cloud Identity dan administrator Google Cloud telah ditetapkan.

    • Delegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Membuat folder untuk suborganisasi

Buat folder di bagian resource organisasi untuk setiap suborganisasi.

Untuk membuat folder, Anda harus memiliki peran Folder Admin atau Folder Creator di tingkat induk. Misalnya, untuk membuat folder di level organisasi, Anda harus memiliki salah satu peran ini di level organisasi.

Sebagai bagian dari pembuatan folder, Anda harus memberinya nama. Nama folder harus memenuhi persyaratan berikut:

  • Nama dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah.
  • Nama tampilan folder harus diawali dan diakhiri dengan huruf atau angka.
  • Panjang nama harus antara 3 hingga 30 karakter.
  • Namanya harus berbeda dari semua folder lain yang berbagi induknya.

Untuk membuat folder:

Konsol

Folder dapat dibuat di UI melalui bagian "Kelola Project dan Folder".

  1. Buka halaman Manage resources di Konsol Google Cloud:

    Buka halaman Kelola resource

  2. Pastikan nama resource organisasi Anda dipilih di menu drop-down organisasi di bagian atas halaman.

  3. Klik Create folder, dan pilih salah satu opsi berikut:

    • Folder standar: Resource folder standar.
    • Folder Assured Workloads: Folder Assured Workloads, yang menyediakan kontrol tambahan terkait peraturan, regional, atau berdaulat untuk resource Google Cloud. Dengan memilih opsi ini, Anda akan diarahkan ke Assured Workloads untuk membuat folder.

  4. Dalam kotak Nama folder, masukkan nama folder baru.

  5. Pada bagian Destination, klik Browse, lalu pilih resource atau folder organisasi tempat Anda ingin membuat folder baru.

    1. Klik Create.

gcloud

Folder dapat dibuat secara terprogram menggunakan Google Cloud CLI.

Untuk membuat folder di resource organisasi menggunakan alat command line gcloud, jalankan perintah berikut.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Untuk membuat folder yang induknya adalah folder lain:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder. Tidak ada dua folder dengan induk yang sama yang dapat menggunakan nama tampilan yang sama. Nama tampilan harus diawali dan diakhiri dengan huruf atau angka, dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah, serta tidak boleh lebih dari 30 karakter.
  • [ORGANIZATION_ID] adalah ID resource organisasi induk jika induk adalah resource organisasi.
  • [FOLDER_ID] adalah ID folder induk, jika induknya adalah folder.

API

Folder dapat dibuat dengan permintaan API.

JSON permintaan:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Permintaan curl Create Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder baru, misalnya "My Awesome Folder".
  • [ORGANIZATION_NAME] adalah nama resource organisasi tempat Anda membuat folder, misalnya organizations/123.

Respons Create Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Permintaan curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respons Get Operation:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Memberikan peran administrator folder

Untuk setiap folder sub-organisasi yang Anda buat, berikan peran Folder Admin kepada satu atau beberapa pengguna. Pengguna ini akan memiliki kontrol administratif atas folder dan suborganisasi yang diwakilinya.

Untuk mengonfigurasi akses ke folder, Anda harus memiliki peran Folder IAM Administrator atau Folder Admin di tingkat induk.

Konsol

  1. Di konsol Google Cloud, buka halaman Manage Resources.

    Buka halaman Manage Resources

  2. Klik menu drop-down Organization di kiri atas, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang di samping project yang izinnya ingin Anda ubah.

    1. Di sebelah kanan Panel info, di bagian Izin, masukkan alamat email anggota yang ingin ditambahkan.

    2. Di menu drop-down Pilih peran, pilih peran yang ingin diberikan kepada anggota tersebut.

    3. Klik Tambahkan. Notifikasi akan muncul untuk mengonfirmasi penambahan atau pembaruan peran baru anggota.

gcloud

Anda dapat mengonfigurasi akses ke Folder secara terprogram menggunakan Google Cloud CLI atau API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Sebagai alternatif:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dengan keterangan:

  • [FOLDER_ID] adalah ID folder baru.
  • [POLICY_FILE] adalah jalur ke file kebijakan untuk folder tersebut.

API

Metode setIamPolicy menetapkan kebijakan kontrol akses pada folder, sehingga menggantikan kebijakan yang ada. Kolom resource harus berupa nama resource folder, misalnya, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Permintaan curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dengan keterangan:

  • [FOLDER_NAME] adalah nama folder yang kebijakan IAM-nya ditetapkan, misalnya folder/123.

Membatasi peran sub-organisasi

Setiap Folder Admin dapat membatasi peran Project Creator untuk anggota suborganisasinya. Mereka juga dapat menghapus domain dari peran Project Creator dalam kebijakan IAM resource organisasi.

Administrator super Google Workspace memiliki hak istimewa Administrator Organisasi yang tidak dapat dibatalkan. Admin super ini biasanya mengelola kebijakan identitas dan identitas, bukan mengelola resource serta kebijakan resource Google Cloud.

Konsol

Untuk menghapus peran yang ditetapkan kepada pengguna secara default menggunakan Konsol Google Cloud:

  1. Buka halaman Manage resources di Konsol Google Cloud:

    Buka halaman Kelola resource

  2. Klik menu drop-down Organization di bagian atas halaman, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang untuk resource organisasi yang izinnya ingin Anda ubah. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, baca petunjuk untuk mencabut peran melalui halaman IAM.

  4. Di sebelah kanan Panel Info, di bagian Izin, klik untuk meluaskan peran yang ingin Anda hapus pengguna.

  5. Pada daftar peran yang diperluas, di samping akun utama yang ingin dihapus dari peran, klik hapus. Screenshot UI

  6. Pada dialog Hapus akun utama? yang muncul, klik Hapus untuk mengonfirmasi penghapusan peran dari akun utama yang ditentukan.

  7. Ulangi dua langkah di atas untuk setiap peran yang ingin dihapus.

Contoh

Diagram di bawah mengilustrasikan organisasi yang telah menggunakan folder untuk memisahkan dua departemen. Kepala departemen teknik dan keuangan memiliki kontrol administratif, dan pengguna lain tidak dapat membuat project.

Diagram hierarki

Mengelola banyak organisasi di bawah sumber daya organisasi utama

Jika organisasi Anda memiliki beberapa akun Google Workspace, Anda akan memiliki beberapa resource organisasi secara default. Untuk mempertahankan visibilitas dan kontrol pusat, Anda harus memilih satu resource organisasi untuk menjadi resource organisasi utama. Administrator super akun Google Workspace yang terkait dengan resource organisasi utama Anda akan memiliki kontrol administratif atas semua resource, termasuk yang dibuat oleh pengguna dari akun Google Workspace lainnya. Pengguna dari akun Google Workspace tersebut akan diberi akses ke folder di bawah resource organisasi utama, tempat mereka akan dapat membuat project.

Pilih Administrator Organisasi

Pilih satu atau beberapa pengguna untuk bertindak sebagai Administrator Organisasi IAM untuk resource organisasi.

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Dalam dialog Select from, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahi Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Add, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super Google Workspace atau Cloud Identity dan administrator Google Cloud telah ditetapkan.

    • Delegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Menghapus peran Project Creator

Hapus peran Project Creator dari resource organisasi untuk memastikan bahwa resource tidak dibuat di resource organisasi lain.

Konsol

Untuk menghapus peran yang ditetapkan kepada pengguna secara default menggunakan Konsol Google Cloud:

  1. Buka halaman Manage resources di Konsol Google Cloud:

    Buka halaman Kelola resource

  2. Klik menu drop-down Organization di bagian atas halaman, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang untuk resource organisasi yang izinnya ingin Anda ubah. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, baca petunjuk untuk mencabut peran melalui halaman IAM.

  4. Di sebelah kanan Panel Info, di bagian Izin, klik untuk meluaskan peran yang ingin Anda hapus pengguna.

  5. Pada daftar peran yang diperluas, di samping akun utama yang ingin dihapus dari peran, klik hapus. Screenshot UI

  6. Pada dialog Hapus akun utama? yang muncul, klik Hapus untuk mengonfirmasi penghapusan peran dari akun utama yang ditentukan.

  7. Ulangi dua langkah di atas untuk setiap peran yang ingin dihapus.

Membuat folder untuk akun Google Workspace

Buat folder di bagian resource organisasi untuk setiap akun Google Workspace.

Untuk membuat folder, Anda harus memiliki peran Folder Admin atau Folder Creator di tingkat induk. Misalnya, untuk membuat folder di level organisasi, Anda harus memiliki salah satu peran ini di level organisasi.

Sebagai bagian dari pembuatan folder, Anda harus memberinya nama. Nama folder harus memenuhi persyaratan berikut:

  • Nama dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah.
  • Nama tampilan folder harus diawali dan diakhiri dengan huruf atau angka.
  • Panjang nama harus antara 3 hingga 30 karakter.
  • Namanya harus berbeda dari semua folder lain yang berbagi induknya.

Untuk membuat folder:

Konsol

Folder dapat dibuat di UI melalui bagian "Kelola Project dan Folder".

  1. Buka halaman Manage resources di Konsol Google Cloud:

    Buka halaman Kelola resource

  2. Pastikan nama resource organisasi Anda dipilih di menu drop-down organisasi di bagian atas halaman.

  3. Klik Create folder, dan pilih salah satu opsi berikut:

    • Folder standar: Resource folder standar.
    • Folder Assured Workloads: Folder Assured Workloads, yang menyediakan kontrol tambahan terkait peraturan, regional, atau berdaulat untuk resource Google Cloud. Dengan memilih opsi ini, Anda akan diarahkan ke Assured Workloads untuk membuat folder.

  4. Dalam kotak Nama folder, masukkan nama folder baru.

  5. Pada bagian Destination, klik Browse, lalu pilih resource atau folder organisasi tempat Anda ingin membuat folder baru.

    1. Klik Create.

gcloud

Folder dapat dibuat secara terprogram menggunakan Google Cloud CLI.

Untuk membuat folder di resource organisasi menggunakan alat command line gcloud, jalankan perintah berikut.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Untuk membuat folder yang induknya adalah folder lain:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder. Tidak ada dua folder dengan induk yang sama yang dapat menggunakan nama tampilan yang sama. Nama tampilan harus diawali dan diakhiri dengan huruf atau angka, dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah, serta tidak boleh lebih dari 30 karakter.
  • [ORGANIZATION_ID] adalah ID resource organisasi induk jika induk adalah resource organisasi.
  • [FOLDER_ID] adalah ID folder induk, jika induknya adalah folder.

API

Folder dapat dibuat dengan permintaan API.

JSON permintaan:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Permintaan curl Create Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dengan keterangan:

  • [DISPLAY_NAME] adalah nama tampilan folder baru, misalnya "My Awesome Folder".
  • [ORGANIZATION_NAME] adalah nama resource organisasi tempat Anda membuat folder, misalnya organizations/123.

Respons Create Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Permintaan curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respons Get Operation:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Memberikan peran administrator folder

Untuk setiap folder yang dibuat, berikan peran Folder Admin kepada satu atau beberapa pengguna. Pengguna ini akan didelegasikan kontrol administratif atas folder dan suborganisasi yang diwakilinya.

Untuk mengonfigurasi akses ke folder, Anda harus memiliki peran Folder IAM Administrator atau Folder Admin di tingkat induk.

Konsol

  1. Di konsol Google Cloud, buka halaman Manage Resources.

    Buka halaman Manage Resources

  2. Klik menu drop-down Organization di kiri atas, lalu pilih resource organisasi Anda.

  3. Pilih kotak centang di samping project yang izinnya ingin Anda ubah.

    1. Di sebelah kanan Panel info, di bagian Izin, masukkan alamat email anggota yang ingin ditambahkan.

    2. Di menu drop-down Pilih peran, pilih peran yang ingin diberikan kepada anggota tersebut.

    3. Klik Tambahkan. Notifikasi akan muncul untuk mengonfirmasi penambahan atau pembaruan peran baru anggota.

gcloud

Anda dapat mengonfigurasi akses ke Folder secara terprogram menggunakan Google Cloud CLI atau API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Sebagai alternatif:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dengan keterangan:

  • [FOLDER_ID] adalah ID folder baru.
  • [POLICY_FILE] adalah jalur ke file kebijakan untuk folder tersebut.

API

Metode setIamPolicy menetapkan kebijakan kontrol akses pada folder, sehingga menggantikan kebijakan yang ada. Kolom resource harus berupa nama resource folder, misalnya, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Permintaan curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dengan keterangan:

  • [FOLDER_NAME] adalah nama folder yang kebijakan IAM-nya ditetapkan, misalnya folder/123.

Selanjutnya, setiap Folder Admin dapat memberikan peran Project Creator kepada pengguna dari domain terkait.

Contoh

Diagram di bawah mengilustrasikan organisasi dengan domain primer yang diisolasi dari domain sekunder yang diperoleh. Kedua domain tersebut memiliki akun Google Workspace masing-masing, dengan hypotetis.com yang menjadi resource organisasi utama.

Diagram hierarki