Gerarchia delle risorse

Questa pagina descrive la gerarchia delle risorse Google Cloud e le risorse che possono essere gestite utilizzando Resource Manager.

Lo scopo della gerarchia delle risorse Google Cloud è duplice:

  • Fornisce una gerarchia di proprietà, che associa il ciclo di vita di una risorsa al suo elemento padre immediato nella gerarchia.
  • Fornire punti di collegamento e ereditarietà per i criteri dell'organizzazione e controllo dell'accesso dell'accesso.

In senso metaforico, la Google Cloud gerarchia delle risorse assomiglia al file system presente nei sistemi operativi tradizionali come modo per organizzare e gestire le entità in modo gerarchico. In genere, ogni risorsa ha un solo elemento padre. Questa organizzazione gerarchica delle risorse consente di impostare i criteri di controllo dell'accesso e le impostazioni di configurazione su una risorsa padre, mentre i criteri e le impostazioni di Identity and Access Management (IAM) vengono ereditati dalle risorse figlio.

Google Cloud Gerarchia delle risorse in dettaglio

Le risorseGoogle Cloud sono organizzate in modo gerarchico. Tutte le risorse, ad eccezione di quella di livello più alto in una gerarchia, hanno un solo elemento padre. Al livello più basso, le risorse di servizio sono i componenti fondamentali di tutti i servizi Google Cloud . Esempi di risorse di servizio includono macchine virtuali (VM) di Compute Engine, argomenti Pub/Sub, bucket Cloud Storage e istanze App Engine. Tutte queste risorse di livello inferiore hanno come elementi padre le risorse di progetto, che rappresentano il primo meccanismo di raggruppamento della gerarchia di risorse. Google Cloud

Tutti gli utenti, inclusi quelli della prova gratuita, del Livello gratuito e i clienti di Google Workspace e Cloud Identity, possono creare risorse di progetto. Gli utenti del Google Cloud Free Program possono creare risorse di progetto e risorse di servizio solo all'interno dei progetti. Le risorse del progetto possono trovarsi in cima alla gerarchia, ma solo se create da un utente della prova gratuita o del livello gratuito. I clienti Google Workspace e Cloud Identity hanno accesso a funzionalità aggiuntive della gerarchia delle risorse Google Cloud , come le risorse organizzazione e cartella. Scopri di più nella panoramica di Cloud Identity. Le risorse di progetto nella parte superiore della gerarchia non hanno risorse padre, ma possono essere migrate in una risorsa di organizzazione una volta creata per il dominio. Per maggiori dettagli sulla migrazione delle risorse del progetto, vedi Migrazione delle risorse del progetto.

I clienti di Google Workspace e Cloud Identity possono creare risorse organizzazione. Ogni account Google Workspace o Cloud Identity è associato a una risorsa organizzazione. Quando esiste una risorsa organizzazione, si trova in cima alla gerarchia di risorse Google Cloud e tutte le risorse appartenenti a un'organizzazione sono raggruppate nella risorsa organizzazione. In questo modo, puoi visualizzare e controllare centralmente ogni risorsa che appartiene a una risorsa organizzazione.

Le risorse delle cartelle sono un meccanismo di raggruppamento aggiuntivo e facoltativo tra le risorse dell'organizzazione e quelle del progetto. Una risorsa organizzazione è necessaria come prerequisito per utilizzare le cartelle. Le risorse delle cartelle e le risorse dei progetti secondari sono mappate nella risorsa dell'organizzazione.

La Google Cloud gerarchia delle risorse, soprattutto nella sua forma più completa che include una risorsa dell'organizzazione e risorse cartella, consente alle aziende di mappare la propria risorsa dell'organizzazione su Google Cloud e fornisce punti di collegamento logici per i criteri di gestione degli accessi (IAM) e i criteri dell'organizzazione. I criteri di autorizzazione, negazione e dell'organizzazione vengono ereditati tramite la gerarchia e il criterio effettivo per ogni risorsa nella gerarchia è il risultato dei criteri applicati direttamente alla risorsa e dei criteri ereditati dai relativi antenati.

Il seguente diagramma rappresenta un esempio di gerarchia di risorse Google Cloud nella sua forma completa:

La risorsa dell'organizzazione

La risorsa organizzazione rappresenta un'organizzazione (ad esempio, un'azienda) ed è il nodo radice della gerarchia di risorseGoogle Cloud , se presente. La risorsa organizzazione è l'antenato gerarchico delle risorse cartella e progetto. I criteri di autorizzazione e negazione applicati alla risorsa organizzazione si applicano a tutta la gerarchia di tutte le risorse dell'organizzazione.

Gli utentiGoogle Cloud non sono tenuti ad avere una risorsa organizzazione, ma alcune funzionalità di Resource Manager non saranno utilizzabili senza. La risorsa Organizzazione è strettamente associata a un account Google Workspace o Cloud Identity. Quando un utente con un account Google Workspace o Cloud Identity crea una risorsa progetto Google Cloud , viene automaticamente eseguito il provisioning di una risorsa organizzazione.

Un account Google Workspace o Cloud Identity può avere esattamente una risorsa organizzazione di cui è stato eseguito il provisioning. Una volta creata una risorsa organizzazione per un dominio, tutte le nuove risorse progetto create dai membri del dominio dell'account apparterranno per impostazione predefinita alla risorsa organizzazione. Google Cloud Quando un utente gestito crea una risorsa di progetto, il requisito è che deve trovarsi in qualche risorsa dell'organizzazione. Se un utente specifica una risorsa dell'organizzazione e dispone delle autorizzazioni giuste, il progetto viene assegnato a quell'organizzazione. In caso contrario, verrà impostata come predefinita la risorsa dell'organizzazione a cui è associato l'utente. Gli account associati a una risorsa dell'organizzazione non possono creare risorse di progetto non associate a una risorsa dell'organizzazione.

Per semplicità, faremo riferimento a Google Workspace intendendo sia gli utenti di Google Workspace che quelli di Cloud Identity.

L'account Google Workspace o Cloud Identity rappresenta un'azienda ed è un prerequisito per accedere alla risorsa Organizzazione. Nel contesto Google Cloud , fornisce gestione delle identità, meccanismo di recupero, proprietà e gestione del ciclo di vita. L'immagine seguente mostra il collegamento tra l'account Google Workspace, Cloud Identity e la gerarchia delle risorseGoogle Cloud .


Il super amministratore di Google Workspace è la persona responsabile della verifica della proprietà del dominio e il contatto in caso di recupero. Per questo motivo, al super amministratore di Google Workspace viene concessa la possibilità di assegnare i ruoli IAM per impostazione predefinita. Il compito principale del super amministratore Google Workspace in relazione a Google Cloud è assegnare il ruolo IAM di amministratore dell'organizzazione agli utenti appropriati del proprio dominio. In questo modo si creerà la separazione tra Google Workspace e Google Cloud le responsabilità amministrative che gli utenti cercano in genere.

Vantaggi della risorsa dell'organizzazione

Con una risorsa organizzazione, le risorse del progetto appartengono alla tua organizzazione anziché al dipendente che ha creato il progetto. Ciò significa che le risorse del progetto non vengono più eliminate quando un dipendente lascia l'azienda. Al contrario, seguiranno il ciclo di vita della risorsa dell'organizzazione su Google Cloud.

Inoltre, gli amministratori dell'organizzazione hanno il controllo centralizzato di tutte le risorse. Possono visualizzare e gestire tutte le risorse del progetto della tua azienda. Questa applicazione significa che non possono più esistere progetti ombra o amministratori non autorizzati.

Inoltre, puoi concedere ruoli a livello di organizzazione, che vengono ereditati da tutte le risorse di progetti e cartelle sotto la risorsa organizzazione. Ad esempio, puoi concedere il ruolo di amministratore di rete al tuo team di networking a livello di organizzazione, consentendogli di gestire tutte le reti in tutte le risorse di progetto della tua azienda, anziché concedergli il ruolo per tutte le singole risorse di progetto.

Una risorsa organizzazione esposta dall'API Cloud Resource Manager è costituita da quanto segue:

  • Un ID risorsa dell'organizzazione, ovvero un identificatore univoco di un'organizzazione.
  • Un nome visualizzato, generato dal nome di dominio principale in Google Workspace o Cloud Identity.
  • L'ora di creazione della risorsa organizzazione.
  • L'ora dell'ultima modifica della risorsa dell'organizzazione.
  • Il proprietario della risorsa organizzazione. Il proprietario viene specificato al momento della creazione della risorsa organizzazione. Non può essere modificato una volta impostato. È l'ID cliente Google Workspace specificato nell'API Directory.

Il seguente snippet di codice mostra la struttura di una risorsa organizzazione:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

La policy di autorizzazione iniziale per una risorsa organizzazione appena creata concede i ruoliAutore progettoo e Creatore account di fatturazione all'intero dominio Google Workspace. Ciò significa che gli utenti potranno continuare a creare risorse di progetto e account di fatturazione come facevano prima dell'esistenza della risorsa organizzazione. Quando viene creata una risorsa dell'organizzazione, non vengono create altre risorse.

La risorsa cartella

Le risorse delle cartelle forniscono facoltativamente un ulteriore meccanismo di raggruppamento e limiti di isolamento tra i progetti. Possono essere considerate organizzazioni secondarie all'interno della risorsa organizzazione. Le risorse delle cartelle possono essere utilizzate per modellare diverse persone giuridiche, reparti e team all'interno di un'azienda. Ad esempio, un primo livello di risorse cartella potrebbe essere utilizzato per rappresentare i reparti principali della risorsa organizzazione. Poiché le risorse cartella possono contenere risorse progetto e altre cartelle, ogni risorsa cartella potrebbe quindi includere altre sottocartelle per rappresentare i vari team. La cartella di ogni team potrebbe contenere altre sottocartelle per rappresentare varie applicazioni. Per maggiori dettagli sull'utilizzo delle risorse delle cartelle, vedi Creare e gestire le risorse delle cartelle.

Se le risorse delle cartelle esistono nella risorsa dell'organizzazione e disponi delle autorizzazioni di visualizzazione appropriate, puoi visualizzarle dalla console Google Cloud . Per istruzioni più dettagliate, vedi Visualizzare o elencare le risorse di cartelle e progetti.

Le risorse cartella consentono la delega dei diritti di amministrazione. Quindi, ad esempio, a ogni persona a capo di un reparto può essere concessa la proprietà totale di tutte le risorse Google Cloud che appartengono al suo reparto. Analogamente, l'accesso alle risorse può essere limitato in base alla risorsa cartella, in modo che gli utenti di un reparto possano accedere e creare risorse solo all'interno di quella risorsa cartella. Google Cloud

Il seguente snippet di codice mostra la struttura di una risorsa cartella:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Come le risorse dell'organizzazione e del progetto, le risorse delle cartelle fungono da punto di ereditarietà dei criteri per i criteri di autorizzazione, negazione e dell'organizzazione. I ruoli IAM concessi a una risorsa cartella vengono ereditati automaticamente da tutte le risorse progetto e cartella incluse in quella cartella.

La risorsa del progetto

La risorsa progetto è l'entità organizzativa di livello base. Le risorse dell'organizzazione e delle cartelle possono contenere più progetti. Per utilizzare Google Cloudè necessaria una risorsa progetto, che costituisce la base per creare, abilitare e utilizzare tutti i serviziGoogle Cloud , gestire le API, attivare la fatturazione, aggiungere e rimuovere collaboratori e gestire le autorizzazioni.

Tutte le risorse del progetto sono costituite da:

  • Due identificatori:
    1. ID risorsa progetto, che è un identificatore univoco della risorsa del progetto.
    2. Numero della risorsa del progetto, che viene assegnato automaticamente quando crei il progetto. È di sola lettura.
  • Un nome visualizzato modificabile.
  • Lo stato del ciclo di vita della risorsa del progetto, ad esempio ACTIVE o DELETE_REQUESTED.
  • Una raccolta di etichette che possono essere utilizzate per filtrare i progetti.
  • L'ora in cui è stata creata la risorsa del progetto.

Il seguente snippet di codice mostra la struttura di una risorsa progetto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Per interagire con la maggior parte delle risorse Google Cloud , devi fornire le informazioni identificative della risorsa di progetto per ogni richiesta. Puoi identificare una risorsa di progetto in due modi: un ID risorsa di progetto o un numero di risorsa di progetto (projectId e projectNumber nello snippet di codice).

Un ID risorsa di progetto è il nome personalizzato che hai scelto quando hai creato la risorsa di progetto. Se attivi un'API che richiede una risorsa di progetto, ti verrà chiesto di creare una risorsa di progetto o di selezionarne una utilizzando il relativo ID. Tieni presente che la stringa name, visualizzata nell'interfaccia utente, non corrisponde all'ID risorsa progetto.

Un numero di risorsa del progetto viene generato automaticamente da Google Cloud. L'ID risorsa progetto e il numero risorsa progetto sono disponibili nella dashboard della risorsa progetto nella console Google Cloud . Per informazioni su come ottenere gli identificatori dei progetti e altre attività di gestione delle risorse dei progetti, consulta la pagina Creare e gestire le risorse dei progetti.

Il criterio IAM iniziale per la risorsa progetto appena creata concede il ruolo proprietario al creatore del progetto.

Ereditarietà delle policy di autorizzazione e di negazione

Google Cloud offre IAM, che consente di assegnare un accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando criteri di autorizzazione e negazione sulle risorse.

Puoi impostare criteri di autorizzazione e negazione su risorse dell'organizzazione, risorse delle cartelle e risorse dei progetti. Puoi anche impostare criteri di autorizzazione su alcune risorse di servizio.

Le risorse figlio ereditano i criteri della risorsa padre. Se imposti un criterio di autorizzazione o negazione a livello di organizzazione, questo viene ereditato da tutte le risorse secondarie. Se imposti un criterio di autorizzazione a livello di progetto, questo viene ereditato da tutte le relative risorse secondarie.

Il criterio di autorizzazione o negazione effettivo per una risorsa è l'unione del criterio di autorizzazione o negazione impostato sulla risorsa e del criterio di autorizzazione o negazione ereditato dai suoi antenati. Questa ereditarietà è transitiva. Per ulteriori informazioni, consulta la sezione Valutazione delle norme.

Ad esempio, nel diagramma della gerarchia delle risorse precedente, se imposti un criterio di autorizzazione nella cartella "Department Y" che concede il ruolo Amministratore istanze Compute Engine (roles/compute.instanceAdmin) a bob@example.com, Bob avrà questo ruolo nei progetti "Development project", "Test project" e "Production project". Se assegni ad alice@example.com il ruolo Amministratore istanze Compute Engine nel "Progetto di test", potrà gestire solo le istanze Compute Engine in quel progetto.

I ruoli vengono sempre ereditati. Se hai rimosso il ruolo Amministratore istanze Compute Engine (roles/compute.instanceAdmin) da Bob nel "Progetto di test", quest'ultimo erediterebbe il ruolo dalla cartella "Dipartimento Y". Puoi utilizzare una policy di negazione per impedire alle entità di utilizzare le autorizzazioni ereditate.

I criteri di autorizzazione e negazione vengono ereditati tramite la gerarchia delle risorse. Google Cloud Se modifichi la gerarchia delle risorse, cambia anche la gerarchia delle policy di autorizzazione e negazione. Ad esempio, se sposti un progetto in una risorsa organizzazione, i criteri di autorizzazione e negazione del progetto verranno aggiornati in modo da ereditare dai criteri di autorizzazione e negazione della risorsa organizzazione. Allo stesso modo, lo spostamento di una risorsa progetto da una risorsa cartella a un'altra modificherà le autorizzazioni ereditate. Le autorizzazioni ereditate dalla risorsa progetto dalla risorsa padre originale andranno perse quando la risorsa progetto viene spostata in una nuova risorsa cartella. Le autorizzazioni impostate nella risorsa della cartella di destinazione verranno ereditate dalla risorsa del progetto durante lo spostamento.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente