Panduan ini memberikan informasi tentang cara mendapatkan dan mengelola organisasi mandiri dalam Google Cloud.
Resource organisasi berfungsi sebagai node root hierarki resource Anda. Google CloudDalam sebagian besar situasi, pembuatan organisasi mengharuskan Anda menjadi administrator super Cloud Identity dan menghubungkan Google Cloud organisasi ke domain DNS.
Dengan organisasi mandiri, Anda tidak memerlukan Cloud Identity. Saat Anda mendaftar dan memberikan alamat email Google, organisasi mandiri akan otomatis dibuat untuk Anda. Google Cloud Sebagai pemilik akun, Anda juga mendapatkan peran Pemilik Organisasi. Kemudian, Anda dapat menggunakan halaman Detail organisasi untuk mengelola akses kepemilikan bagi pengguna lain.
Organisasi mandiri menawarkan manfaat berikut:
- Kemampuan untuk menambahkan pengguna dengan identitas gabungan sebagai pemilik organisasi.
- Kemampuan untuk mendukung beberapa organisasi dalam menguji berbagai fitur.
- Kemampuan untuk mendukung beberapa pemilik organisasi guna menghindari titik tunggal kegagalan jika karyawan keluar.
Tabel berikut menguraikan perbedaan antara organisasi Cloud Identity dan organisasi mandiri.
| Kemampuan | Organisasi Cloud Identity | Organisasi Mandiri |
|---|---|---|
| Fundamental | ||
| Memerlukan Cloud Identity | Ya | Tidak |
| Daftar | ||
| Identitas yang diperlukan untuk mendaftar | 2 | 1 |
| Memerlukan verifikasi Domain/DNS | Ya | Tidak |
| Kepemilikan | ||
| Kepemilikan admin super yang tidak dapat dibatalkan | Ya | Tidak |
| Cloud Identity sebagai Pemilik Organisasi | Ya | Ya |
| Identitas gabungan sebagai Pemilik Organisasi | Tidak mungkin | Ya |
| Akun Google sebagai Pemilik Organisasi | Tidak Mungkin | Ya |
| Lifecycle | ||
| Mengubah pemilik organisasi | Tidak mungkin | Ya |
| Hapus organisasi | Tidak dalam isolasi | Ya |
| Memulihkan organisasi yang dihapus | Tidak mungkin | Ya |
| Mengubah nama tampilan | Tidak mungkin | Ya |
| Tata kelola | ||
| Tentukan kebijakan batas akses utama (PAB) untuk membatasi pengguna | Ya | Ya |
Sebelum memulai
Sebelum memulai, tinjau hal berikut:
- Pahami resource organisasi.
- Pelajari cara menentukan hierarki resource untuk Google Cloud zona landing Anda.
Mengidentifikasi organisasi Anda
Organisasi mandiri Anda diidentifikasi berdasarkan nama organisasi dan ID organisasi.
Nama organisasi
Nama organisasi default dibuat dengan menggabungkan nama pengguna dengan -org.
Karakter khusus dalam nama pengguna akan diganti dengan tanda hubung. Misalnya,
jika nama pengguna adalah lara_brown, nama organisasi akan menjadi lara-brown-org.
Nama ini tidak digunakan oleh Google API mana pun. Anda dapat mengedit nama organisasi kapan saja setelah organisasi dibuat.
Pastikan nama memenuhi kriteria berikut:
- Hanya berisi huruf, angka, atau tanda hubung.
- Jangan menggunakan nama domain. Nama domain hanya dicadangkan untuk organisasi Cloud Identity dan Google Workspace.
- Tidak berisi kata-kata umum seperti 'Google Cloud'.
ID Organisasi
ID organisasi adalah ID unik secara global untuk organisasi Anda. Konsol Google Cloud membuat nomor ini untuk membedakan organisasi Anda dari semua organisasi lain di Google Cloud. ID organisasi diformat sebagai bilangan bulat dan tidak boleh memiliki angka nol di depannya.
Jangan menyertakan informasi sensitif seperti informasi identitas pribadi (PII) atau data keamanan dalam nama organisasi atau nama resource lainnya. ID organisasi digunakan dalam nama banyak resource Google Cloud lainnya. Setiap referensi ke organisasi atau resource terkait akan mengekspos ID organisasi dan nama resource.
Mendapatkan resource organisasi mandiri
Organisasi mandiri tersedia untuk semua pelanggan baru Google Cloud . Setelah Anda membuat akun Google Cloud , resource organisasi Anda akan dibuat secara otomatis. Hal ini terjadi saat Anda login ke konsol Google Cloud dan menyetujui persyaratan. Organisasi mandiri tidak tersedia untuk akun yang sudah ada.Google Cloud
Hanya satu organisasi yang dibuat per akun pengguna. Namun, Anda dapat mengundang satu pengguna untuk memiliki dan mengelola beberapa organisasi.
Saat resource organisasi dibuat, sistem akan menetapkan peran berikut kepada pemilik akun:
roles/cloudowner.admin(Pemilik Organisasi)roles/resourcemanager.organizationAdmin(Administrator Organisasi)
Untuk mengetahui informasi tentang cara menambahkan pemilik dan administrator lainnya ke organisasi Anda, lihat Menyiapkan organisasi mandiri Anda.
Mendapatkan ID organisasi Anda
Untuk mendapatkan ID organisasi organisasi mandiri Anda, Anda dapat menggunakan Google Cloud konsol, Google Cloud CLI, atau Resource Manager API.
Konsol
Di konsol Google Cloud , buka halaman My organizations.
Tabel ini mencantumkan organisasi Anda dan ID organisasi tersebut.
gcloud
Untuk menemukan ID resource organisasi Anda, jalankan perintah berikut:
gcloud organizations list
Perintah ini mencantumkan semua resource organisasi yang Anda miliki, dan ID resource organisasi yang sesuai.
API
Untuk menemukan ID resource organisasi Anda menggunakan Cloud Resource Manager API, gunakan metode
organizations.search(), termasuk kueri untuk domain Anda. Contoh:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
Respons berisi metadata resource organisasi yang
dimiliki oleh altostrat.com, yang mencakup ID resource organisasi.
Menyiapkan organisasi mandiri Anda
Saat membuat akun Google Cloud , Anda akan otomatis mendapatkan resource organisasi mandiri. Di bagian ini, Anda akan mempelajari penyiapan awal, peran penting, dan cara mengelola izin ini dalam organisasi Anda.
Pembuat akun adalah pengguna pertama yang memiliki akses ke resource organisasi. Pengguna lain di organisasi dapat melihat resource, tetapi hanya dapat mengubahnya setelah izin yang sesuai ditetapkan.
Pemilik Organisasi dan Administrator Organisasi adalah peran utama untuk menyiapkan dan mengontrol siklus proses resource organisasi. Kedua peran ini biasanya ditetapkan kepada pengguna atau grup yang berbeda, bergantung pada struktur dan kebutuhan organisasi Anda.
Tanggung jawab Pemilik Organisasi
Peran Pemilik Organisasi memungkinkan Anda melakukan tindakan berikut:
- Menetapkan peran Administrator Organisasi kepada pengguna lain.
- Berfungsi sebagai kontak (POC) yang dituju jika terjadi masalah terkait pemulihan.
- Mengontrol siklus proses resource organisasi mandiri, seperti yang dijelaskan dalam Menghapus, memulihkan, dan mengganti nama organisasi mandiri.
Pemilik organisasi dapat berupa individu atau akun utama dalam pool tenaga kerja. Setiap organisasi mandiri harus selalu memiliki minimal satu Akun Google aktif sebagai pemilik organisasi. Akun layanan tidak dapat diundang untuk menjadi pemilik organisasi.
Tanggung jawab Administrator Organisasi
Peran Administrator Organisasi memungkinkan Anda melakukan tindakan berikut:
- Tentukan kebijakan izinkan dan tolak.
- Memberikan peran Identity and Access Management kepada pengguna lain di Google Cloud.
- Lihat hierarki resource.
Mengikuti prinsip hak istimewa terendah, peran ini mencegah Anda melakukan tindakan lain, seperti membuat folder atau project. Untuk mendapatkan izin ini, Administrator Organisasi harus menetapkan peran tambahan ke akun Anda.
Memberikan peran Pemilik Organisasi kepada individu
- Login ke konsol Google Cloud sebagai pemilik organisasi.
Di konsol Google Cloud , buka halaman Organization details.
Di bagian Pemilik Organisasi, klik Tambahkan Pemilik Organisasi.
Masukkan alamat email kepala sekolah yang ingin Anda tambahkan sebagai pemilik. Sistem akan mengirimkan email kepada akun utama yang mengundangnya untuk menjadi pemilik organisasi. Kepala sekolah harus menerima undangan dalam waktu 30 hari untuk menjadi pemilik organisasi.
Memberi peran Pemilik Organisasi kepada pengguna di workforce identity pool
Langkah ini mengasumsikan bahwa Anda telah mengonfigurasi Workforce Identity Federation untuk organisasi Anda. Selain itu, pastikan Kontak Penting dikonfigurasi di akun Anda.
- Login ke konsol Google Cloud sebagai pemilik organisasi.
Di konsol Google Cloud , buka halaman Organization details.
Di bagian Pemilik Organisasi, klik Tambahkan Pemilik Organisasi.
Masukkan ID utama pengguna dalam format
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Klik Berikutnya.
Masukkan alamat email yang akan dikirimi link undangan pemilik. Google Cloud mengirim email ke pengguna yang mengundangnya untuk menjadi pemilik organisasi. Untuk menjadi pemilik organisasi, pengguna harus menerima undangan dalam waktu 30 hari. Saat pengguna menerima undangan, ia akan otomatis diberi peran Administrator Organisasi.
Menghapus pemilik organisasi
Untuk menghapus pengguna dengan peran Pemilik Organisasi, ikuti langkah-langkah berikut:
- Login ke konsol Google Cloud sebagai pemilik organisasi.
Di konsol Google Cloud , buka halaman Organization details.
Di bagian Pemilik Organisasi, pilih prinsipal yang ingin Anda hapus.
Di kolom terakhir tabel, di bagian Tindakan, klik Tindakan lainnya di samping penerima.
Pada dialog yang muncul, klik Hapus.
Menghapus administrator organisasi
Untuk menghapus pengguna dengan peran Administrator Organisasi, ikuti langkah-langkah berikut:
Di konsol Google Cloud , buka halaman IAM.
Di bagian IAM Allow, buka View by principals.
Temukan baris yang berisi akun utama yang diberi peran, lalu klik Mengedit utama di baris tersebut.
Di panel Edit izin, klik ikon hapus di samping peran Administrator Organisasi.
Klik Simpan.