Questa guida fornisce informazioni su come ottenere e gestire un'organizzazione autonoma all'interno di Google Cloud.
La risorsa dell'organizzazione funge da nodo radice della gerarchia delle risorse Google Cloud. Nella maggior parte dei casi, per creare un'organizzazione devi essere un super amministratore Cloud Identity e connettere l'organizzazione Google Clouda un dominio DNS.
Con le organizzazioni autonome, non è necessario Cloud Identity. Quando ti registri a Google Cloud e fornisci un indirizzo email Google, l'organizzazione autonoma viene creata automaticamente. In qualità di proprietario dell'account, acquisisci anche il ruolo Proprietario dell'organizzazione. Puoi quindi utilizzare la pagina Dettagli organizzazione per gestire l'accesso alla proprietà per altri utenti.
Le organizzazioni autonome offrono i seguenti vantaggi:
- Possibilità di aggiungere utenti con identità federate come proprietari dell'organizzazione.
- Possibilità di supportare più organizzazioni per testare diverse funzionalità.
- Possibilità di supportare più proprietari dell'organizzazione per evitare singoli punti di errore se un dipendente lascia l'azienda.
La seguente tabella illustra le differenze tra un'organizzazione Cloud Identity e un'organizzazione autonoma.
| Capacità | Organizzazione Cloud Identity | Organizzazione autonoma |
|---|---|---|
| Fondamentale | ||
| Richiede Cloud Identity | Sì | No |
| Registrati | ||
| Identità richieste per la registrazione | 2 | 1 |
| Richiede la verifica del dominio/DNS | Sì | No |
| Proprietà | ||
| Proprietà irrevocabile del super amministratore | Sì | No |
| Cloud Identity come proprietario dell'organizzazione | Sì | Sì |
| Identità federate come proprietario dell'organizzazione | Impossibile | Sì |
| Account Google come proprietario dell'organizzazione | Impossibile | Sì |
| Ciclo di vita | ||
| Modificare il proprietario dell'organizzazione | Impossibile | Sì |
| Elimina organizzazione | Non in isolamento | Sì |
| Ripristinare un'organizzazione eliminata | Impossibile | Sì |
| Modificare il nome visualizzato | Impossibile | Sì |
| Governance | ||
| Definisci le policy di Principal Access Boundary (PAB) per limitare gli utenti | Sì | Sì |
Prima di iniziare
Prima di iniziare, esamina quanto segue:
- Comprendere la risorsa organizzazione.
- Scopri come decidere una gerarchia delle risorse per la tua Google Cloud landing zone.
Identificare la tua organizzazione
La tua organizzazione autonoma è identificata da un nome e da un ID organizzazione.
Nome organizzazione
Il nome dell'organizzazione predefinito viene creato combinando il nome utente con -org.
I caratteri speciali nel nome utente vengono sostituiti con un trattino. Ad esempio,
se il nome utente è lara_brown, il nome dell'organizzazione sarà lara-brown-org.
Questo nome non viene utilizzato da nessuna API di Google. Puoi modificare il nome dell'organizzazione in qualsiasi momento dopo la creazione.
Assicurati che i nomi soddisfino i seguenti criteri:
- Contenere solo lettere, numeri o trattini.
- Non utilizzare un nome di dominio. I nomi di dominio sono riservati solo alle organizzazioni Cloud Identity e Google Workspace.
- Non contengono parole comuni come "Google Cloud".
ID organizzazione
L'ID organizzazione è un identificatore univoco globale della tua organizzazione. La console Google Cloud genera questo numero per distinguere la tua organizzazione da tutte le altre in Google Cloud. Gli ID organizzazione sono formattati come numeri interi e non possono avere zeri iniziali.
Non includere informazioni sensibili come quelle che consentono l'identificazione personale (PII) o dati di sicurezza nel nome dell'organizzazione o in altri nomi di risorse. L'ID organizzazione viene utilizzato nel nome di molte altre risorse Google Cloud . Qualsiasi riferimento all'organizzazione o alle risorse correlate espone l'ID organizzazione e il nome della risorsa.
Recupero di una risorsa dell'organizzazione autonoma
Le organizzazioni autonome sono disponibili per tutti i nuovi clienti Google Cloud . Dopo aver creato l'account Google Cloud , la risorsa dell'organizzazione viene creata automaticamente. Ciò si verifica quando accedi alla console Google Cloud e accetti i termini. Le organizzazioni autonome non sono disponibili per gli accountGoogle Cloud esistenti.
Per ogni account utente viene creata una sola organizzazione. Tuttavia, puoi invitare un singolo utente a possedere e amministrare più organizzazioni.
Quando viene creata la risorsa organizzazione, il sistema assegna i seguenti ruoli al proprietario dell'account:
roles/cloudowner.admin(proprietario dell'organizzazione)roles/resourcemanager.organizationAdmin(Amministratore organizzazione)
Per informazioni su come aggiungere altri proprietari e amministratori alla tua organizzazione, vedi Configurare la tua organizzazione autonoma.
Ottenere l'ID organizzazione
Per ottenere l'ID organizzazione della tua organizzazione autonoma, puoi utilizzare la console Google Cloud , Google Cloud CLI o l'API Resource Manager.
Console
Nella console Google Cloud , vai alla pagina Le mie organizzazioni.
La tabella elenca le tue organizzazioni e i relativi ID.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione.
API
Per trovare l'ID risorsa dell'organizzazione utilizzando l'API Cloud Resource Manager, utilizza il metodo
organizations.search(), inclusa una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa organizzazione che
appartiene a altostrat.com, incluso l'ID risorsa organizzazione.
Configurare l'organizzazione autonoma
Quando crei un Google Cloud account, ottieni automaticamente una risorsa dell'organizzazione autonoma. In questa sezione scoprirai la configurazione iniziale, i ruoli essenziali e come gestire queste autorizzazioni all'interno della tua organizzazione.
Il creatore dell'account è il primo utente con accesso alla risorsa dell'organizzazione. Gli altri utenti dell'organizzazione possono visualizzare la risorsa, ma possono modificarla solo dopo aver impostato le autorizzazioni appropriate.
Il proprietario dell'organizzazione e l'Amministratore organizzazione sono ruoli chiave per la configurazione e il controllo del ciclo di vita della risorsa organizzazione. Questi due ruoli vengono in genere assegnati a utenti o gruppi diversi, a seconda della struttura e delle esigenze della tua organizzazione.
Responsabilità dei proprietari organizzazione
Il ruolo Proprietario dell'organizzazione ti consente di eseguire le seguenti azioni:
- Assegnare il ruolo Amministratore organizzazione ad altri utenti.
- Fungere da punto di contatto in caso di problemi di recupero.
- Controlla il ciclo di vita della risorsa dell'organizzazione autonoma, come spiegato in Eliminare, ripristinare e rinominare le organizzazioni autonome.
I proprietari dell'organizzazione possono essere privati o entità all'interno di un pool di forza lavoro. Ogni organizzazione autonoma deve sempre avere almeno un Account Google attivo come proprietario dell'organizzazione. I service account non possono essere invitati a diventare proprietari dell'organizzazione.
Responsabilità dell'Amministratore organizzazione
Il ruolo Amministratore dell'organizzazione ti consente di eseguire le seguenti azioni:
- Definisci policy di autorizzazione e di negazione.
- Concedi ruoli Identity and Access Management ad altri utenti in Google Cloud.
- Visualizza la gerarchia delle risorse.
Secondo il principio del privilegio minimo, questo ruolo ti impedisce di eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, unAmministratore organizzazionee deve assegnare ruoli aggiuntivi al tuo account.
Concedere il ruolo Proprietario dell'organizzazione a privati
- Accedi alla console Google Cloud come proprietario dell'organizzazione.
Nella console Google Cloud , vai alla pagina Dettagli dell'organizzazione.
Nella sezione Proprietario organizzazione, fai clic su Aggiungi proprietario organizzazione.
Inserisci l'indirizzo email dell'entità che vuoi aggiungere come proprietario. Il sistema invia un'email all'entità invitandola a diventare proprietaria dell'organizzazione. L'entità deve accettare l'invito entro 30 giorni per diventare proprietario dell'organizzazione.
Concedere il ruolo Proprietario dell'organizzazione agli utenti di un pool di identità per la forza lavoro
Questo passaggio presuppone che tu abbia già configurato la federazione delle identità per la forza lavoro per la tua organizzazione. Inoltre, assicurati che i contatti fondamentali siano configurati sul tuo account.
- Accedi alla console Google Cloud come proprietario dell'organizzazione.
Nella console Google Cloud , vai alla pagina Dettagli dell'organizzazione.
Nella sezione Proprietario organizzazione, fai clic su Aggiungi proprietario organizzazione.
Inserisci l'identificatore dell'entità dell'utente nel formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Fai clic su Avanti.
Inserisci l'indirizzo email a cui inviare il link di invito del proprietario. Google Cloud invia un'email all'utente invitandolo a diventare proprietario dell'organizzazione. Per diventare proprietario dell'organizzazione, l'utente deve accettare l'invito entro 30 giorni. Quando l'utente accetta l'invito, gli viene concesso automaticamente il ruolo di Amministratore organizzazione.
Rimuovere un proprietario dell'organizzazione
Per rimuovere gli utenti con il ruolo Proprietario dell'organizzazione:
- Accedi alla console Google Cloud come proprietario dell'organizzazione.
Nella console Google Cloud , vai alla pagina Dettagli dell'organizzazione.
Nella sezione Proprietari dell'organizzazione, seleziona l'entità di sicurezza che vuoi rimuovere.
Nell'ultima colonna della tabella, in Azioni, fai clic su Altre azioni accanto al soggetto.
Nella finestra di dialogo visualizzata, fai clic su Rimuovi.
Rimuovere un amministratore dell'organizzazione
Per rimuovere gli utenti con il ruolo Amministratore organizzazione:
Nella console Google Cloud , vai alla pagina IAM.
In IAM Allow, vai a Visualizza per entità.
Individua la riga contenente l'entità a cui hai concesso ruoli e fai clic su Modifica entità in quella riga.
Nel riquadro Modifica autorizzazioni, fai clic sull'icona di eliminazione accanto al ruolo Amministratore organizzazione.
Fai clic su Salva.