Gerarchia delle risorse

Questa pagina descrive la gerarchia delle risorse Google Cloud e e risorse che possono essere gestite tramite Resource Manager.

Lo scopo della gerarchia delle risorse di Google Cloud è duplice:

• Fornire una gerarchia di proprietà, che vincola il ciclo di vita di una risorsa al suo padre immediato nella gerarchia.
• Fornisci i punti di collegamento e l'ereditarietà per il controllo dell'accesso e l'organizzazione criteri.

Per similitudine, la gerarchia delle risorse di Google Cloud assomiglia al file system dei sistemi operativi tradizionali come metodo per organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha esattamente principale. Questa organizzazione gerarchica delle risorse consente di impostare controllare i criteri e le impostazioni di configurazione su una risorsa padre e i criteri e le impostazioni IAM (Identity and Access Management) vengono ereditate dall'organizzazione secondaria Google Cloud.

Gerarchia delle risorse Google Cloud in dettaglio

Le risorse Google Cloud sono organizzate in modo gerarchico. Tutte le risorse tranne per la risorsa più alta in una gerarchia, hanno esattamente un solo elemento padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali che compongono tutti i servizi Google Cloud. Ecco alcuni esempi di risorse di servizio: Macchine virtuali (VM) Compute Engine, argomenti Pub/Sub, Cloud Storage bucket, istanze App Engine. Tutte queste risorse di livello inferiore hanno come elementi principali le risorse del progetto, che rappresentano il primo meccanismo di raggruppamento della gerarchia delle risorse Google Cloud.

Tutti gli utenti, inclusi quelli con prova gratuita, con livello gratuito e clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del Programma gratuito di Google Cloud possono solo risorse di progetto e risorse di servizio all'interno dei progetti. Le risorse del progetto possono essere al vertice della gerarchia, ma solo se create da un utente con prova gratuita o con un livello gratuito. Clienti di Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse Google Cloud, ad esempio risorse di organizzazioni e cartelle. Scopri di più nella panoramica di Cloud Identity. Le risorse di progetto nella parte superiore della gerarchia non hanno risorse di primo livello, ma è possibile eseguirne la migrazione in una risorsa dell'organizzazione dopo che è stata creata per il dominio. Per maggiori dettagli sulla migrazione delle risorse di progetto, consulta Migrazione delle risorse del progetto.

I clienti di Google Workspace e Cloud Identity possono creare risorse per le organizzazioni. Ogni account Google Workspace o Cloud Identity è associato a una risorsa dell'organizzazione. Quando esiste una risorsa organizzazione, si trova nella parte superiore della gerarchia delle risorse Google Cloud e tutte le risorse che appartengono a un'organizzazione sono raggruppate nella risorsa organizzazione. In questo modo, puoi avere visibilità e controllo centralizzati su ogni risorsa che appartiene a una risorsa dell'organizzazione.

Le risorse delle cartelle sono un ulteriore meccanismo di raggruppamento facoltativo tra le risorse dell'organizzazione e le risorse del progetto. Una risorsa organizzazione è obbligatoria come prerequisito per utilizzare le cartelle. Risorse delle cartelle e relativo asset figlio le risorse di progetto sono mappate sotto la risorsa organizzazione.

La gerarchia delle risorse di Google Cloud, soprattutto nella sua forma più completa che include risorse e cartelle dell'organizzazione, consente alle aziende per mappare la risorsa dell'organizzazione su Google Cloud e fornire un collegamento logico per i criteri di gestione degli accessi (IAM) e Criteri dell'organizzazione. Sia IAM i criteri dell'organizzazione e quelli ereditati attraverso la gerarchia e Il criterio per ogni risorsa nella gerarchia è il risultato dei criteri applicata alla risorsa e ai criteri ereditati dai predecessori.

Il diagramma seguente rappresenta un esempio di gerarchia delle risorse Google Cloud la sua forma completa:

La risorsa dell'organizzazione

La risorsa organizzazione rappresenta un'organizzazione (ad esempio un'azienda) ed è il nodo radice della gerarchia delle risorse Google Cloud, se presente. La risorsa organizzazione è il predecessore gerarchico delle risorse di cartelle e progetti. I criteri di controllo dell'accesso IAM applicati alla risorsa dell'organizzazione si applicano a tutta la gerarchia e a tutte le risorse dell'organizzazione.

Non è necessario che gli utenti Google Cloud dispongano di una risorsa organizzazione alcune funzionalità di Resource Manager non saranno utilizzabili senza una. L'organizzazione è strettamente associata a un Google Workspace o Cloud Identity . Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa di progetto Google Cloud, una risorsa dell'organizzazione, automaticamente il provisioning.

Un account Google Workspace o Cloud Identity può averne solo uno risorsa dell'organizzazione di cui è stato eseguito il provisioning. Una volta che una risorsa organizzazione create per un dominio, tutte le nuove risorse Per impostazione predefinita, i membri del dominio dell'account apparterranno all'organizzazione risorsa. Quando un utente gestito crea una risorsa di progetto, il requisito è che debba trovarsi in qualche risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni necessarie, il progetto viene assegnato a quell'organizzazione. In caso contrario, verrà usata l'organizzazione per impostazione predefinita. risorsa a cui è associato l'utente. Impossibile per gli account associati a una risorsa dell'organizzazione per creare risorse di progetto che non sono associate con una risorsa dell'organizzazione.

Eseguire il collegamento agli account Google Workspace o Cloud Identity

Per semplicità, faremo riferimento a Google Workspace, ovvero Utenti di Google Workspace e Cloud Identity.

L'account Google Workspace o Cloud Identity rappresenta un'azienda ed è un prerequisito per avere accesso alla risorsa dell'organizzazione. Nella contesto di Google Cloud, offre gestione delle identità, il meccanismo di attenzione, la proprietà e la gestione del ciclo di vita. L'immagine di seguito mostra il link tra l'account Google Workspace, Cloud Identity della gerarchia delle risorse Google Cloud.

Il super amministratore di Google Workspace è la persona responsabile del dominio verifica della proprietà e il contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare i ruoli IAM per impostazione predefinita. Il compito principale del super amministratore di Google Workspace rispetto a Google Cloud è assegnare il ruolo IAM Amministratore dell'organizzazione agli utenti appropriati nel proprio dominio. In questo modo, verrà creata la separazione tra le responsabilità di amministrazione di Google Workspace e Google Cloud che gli utenti in genere cercano.

Vantaggi della risorsa organizzazione

Con una risorsa dell'organizzazione, le risorse di progetto appartengono alla tua organizzazione anziché in base al dipendente che ha creato il progetto. Ciò significa che il progetto le risorse non vengono più eliminate quando un dipendente lascia l'azienda; invece seguiranno il ciclo di vita delle risorse dell'organizzazione su Google Cloud.

Inoltre, gli amministratori dell'organizzazione hanno il controllo centrale di tutte le risorse. Possono visualizzare e gestire tutte le risorse di progetto della tua azienda. Questa applicazione delle norme significa che non possono più esserci progetti in ombra o amministratori non autorizzati.

Inoltre, puoi concedere ruoli a livello di organizzazione, che vengono ereditati da tutti della risorsa di progetto e cartella nella risorsa dell'organizzazione. Ad esempio, può concedere il ruolo Amministratore di rete al team di networking dell'organizzazione livello, consentendo di gestire tutte le reti in tutte le risorse di progetto all'azienda, invece di concedere il ruolo per tutte le risorse del progetto.

Una risorsa organizzazione esposta dall'API Cloud Resource Manager è composta da quanto segue:

• Un ID risorsa organizzazione, che è un identificatore univoco di un'organizzazione.
• Un nome visualizzato, generato dal nome di dominio principale in Google Workspace o Cloud Identity.
• L'ora di creazione della risorsa organizzazione.
• L'ora dell'ultima modifica della risorsa organizzazione.
• Il proprietario della risorsa organizzazione. Il proprietario viene specificato al momento della creazione della risorsa dell'organizzazione. Una volta impostato, non può essere modificato. Si tratta dell'ID cliente Google Workspace specificato nell'API Directory.

Il seguente snippet di codice mostra la struttura di una risorsa dell'organizzazione:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Il criterio IAM iniziale per una risorsa dell'organizzazione appena creata concede i ruoli Creatore progetto e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come facevano prima dell'esistenza della risorsa dell'organizzazione. Quando viene creata una risorsa dell'organizzazione, non vengono create altre risorse.

La risorsa della cartella

Le risorse della cartella facoltativamente forniscono un meccanismo di raggruppamento aggiuntivo e l'isolamento tra i progetti. Possono essere considerate organizzazioni secondarie all'interno della risorsa dell'organizzazione. Le risorse di cartelle possono essere utilizzate per modellare diverse persone giuridiche, reparti e team all'interno di un'azienda. Ad esempio, si può utilizzare un primo livello di risorse cartella per rappresentare i reparti principali della risorsa dell'organizzazione. Poiché le risorse della cartella possono contenere risorse e altre cartelle, ogni risorsa della cartella potrebbe quindi includere e altre sottocartelle per rappresentare team diversi. La cartella di ogni team potrebbe contenere altre sottocartelle per rappresentare varie applicazioni. Per maggiori dettagli sull'utilizzo delle risorse cartella, consulta Creare e gestire le risorse cartella.

Se nella risorsa dell'organizzazione esistono risorse di cartelle e disponi di autorizzazioni di visualizzazione, puoi visualizzarle nella console Google Cloud. Per istruzioni più dettagliate, consulta Visualizzare o elencare le risorse di cartelle e progetti.

Le risorse delle cartelle consentono la delega dei diritti di amministrazione. Quindi, ad esempio, a ogni responsabile di reparto può essere concessa la piena proprietà di tutte le risorse Google Cloud che appartengono ai suoi reparti. Analogamente, l'accesso alle risorse essere limitata dalla risorsa cartella, in modo che gli utenti di un reparto possano accedere e le risorse Google Cloud all'interno della risorsa della cartella.

Il seguente snippet di codice mostra la struttura di una risorsa cartella:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Come le risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di ereditarietà dei criteri per i criteri IAM e dell'organizzazione. I ruoli IAM concessi per una risorsa cartella vengono automaticamente ereditati da tutte le risorse di progetto e cartelle incluse in quella cartella.

La risorsa del progetto

La risorsa progetto è l'entità di organizzazione di base. Le risorse dell'organizzazione e delle cartelle possono contenere più progetti. La risorsa di progetto è obbligatoria Google Cloud e costituisce la base per creare, abilitare e utilizzare tutte i servizi Google Cloud, gestione delle API, abilitazione della fatturazione, aggiunta e rimuovere collaboratori e gestire le autorizzazioni.

Tutte le risorse del progetto sono costituite da:

• Due identificatori:
  1. ID risorsa progetto, che è un identificatore univoco per la risorsa del progetto.
  2. Numero di risorsa del progetto, che viene assegnato automaticamente quando crei del progetto. È di sola lettura.
• Un nome visualizzato modificabile.
• lo stato del ciclo di vita della risorsa del progetto; ad esempio ATTIVO o DELETE_REQUESTED.
• Una raccolta di etichette che possono essere utilizzate per filtrare i progetti.
• L'ora in cui è stata creata la risorsa del progetto.

Il seguente snippet di codice mostra la struttura di una risorsa del progetto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Per interagire con la maggior parte delle risorse Google Cloud, devi fornire le informazioni identificative della risorsa del progetto per ogni richiesta. Puoi identificare una risorsa di progetto in due modi: tramite un ID risorsa di progetto o un numero della risorsa di progetto (projectId e projectNumber nello snippet di codice).

L'ID risorsa del progetto è il nome personalizzato che hai scelto al momento della creazione risorsa di progetto. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di creare una risorsa di progetto o di selezionarne una utilizzando e l'ID risorsa del progetto. Tieni presente che la stringa name, che viene visualizzata nei UI, non corrisponde all'ID risorsa del progetto).

Una risorsa di progetto viene generato automaticamente da Google Cloud. Sia l'ID della risorsa progetto sia il numero della risorsa progetto sono disponibili nella dashboard della risorsa progetto in Google Cloud Console. Per informazioni su come ottenere gli identificatori dei progetti e altre attività di gestione per le risorse del progetto, consulta Creare e gestire le risorse del progetto.

Il criterio IAM iniziale per la risorsa progetto appena creata concede il ruolo proprietario all'autore del progetto.

Ereditarietà dei criteri IAM

Google Cloud offre IAM, che consente di assegnare un accesso granulare a specifiche risorse Google Cloud ed evitare ad altre risorse. IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando IAM i criteri sulle risorse.

Puoi impostare un criterio IAM a livello di organizzazione, cartella, progetto o (in alcuni casi) a livello di risorsa. Le risorse figlio ereditano i criteri della risorsa padre. Se imposti un criterio a livello di organizzazione, questo viene ereditato da tutte le risorse di progetti e cartelle secondarie e, se imposti un criterio a livello di progetto, questo viene ereditato da tutte le risorse secondarie.

Il criterio applicato a una risorsa è dato dall'unione del criterio impostato per la risorsa e del criterio ereditato dai suoi antenati. Questa eredità è transitive. In altre parole, le risorse ereditano i criteri dal progetto, che ereditano i criteri dalla risorsa dell'organizzazione. Pertanto, i criteri a livello di risorsa dell'organizzazione si applicano anche a livello di risorsa.

Ad esempio, nel diagramma della gerarchia delle risorse riportato sopra, se imposti un criterio su cartella "Reparto Y" che concede il ruolo di Editor di progetto a bob@example.com, Bob avrà il ruolo di editor nei progetti "Progetto di sviluppo", "Test project" (Esegui test del progetto) e "Progetto di produzione". Al contrario, se assegni alice@example.com il Ruolo Amministratore istanza per il progetto "Progetto di test", potrà solo e gestire le istanze di Compute Engine nel progetto.

I ruoli vengono sempre ereditati e non è possibile rimuovere esplicitamente un per una risorsa di livello inferiore, concessa a un livello superiore nella gerarchia delle risorse. Dato l'esempio precedente, anche se rimuovessi il il ruolo Editor di progetto di Roberto nel "Progetto di test" che erediterà comunque. il ruolo del "reparto Y" cartella, quindi avrebbe ancora le autorizzazioni per quel ruolo in "Progetto di test".

La gerarchia dei criteri IAM segue lo stesso percorso della della gerarchia delle risorse Google Cloud. Se modifichi la gerarchia delle risorse, modifiche alla gerarchia dei criteri. Ad esempio, se si sposta un progetto in una risorsa dell'organizzazione, il criterio IAM del progetto verrà aggiornato in modo da ereditare dai criteri della risorsa dell'organizzazione. Analogamente, il trasferimento di una risorsa di progetto da una risorsa cartella a un'altra modifica autorizzazioni ereditate. Autorizzazioni ereditate dalla risorsa di progetto della risorsa padre originale andrà persa quando la risorsa di progetto in una nuova risorsa cartella. Autorizzazioni impostate nella cartella di destinazione verrà ereditata dalla risorsa del progetto al momento del trasferimento.