À medida que desenvolve as suas aplicações e cargas de trabalho no Cloud de Confiance, cria os seguintes tipos de recursos:
- Os recursos de contentores ajudam a organizar e controlar o acesso. Estes recursos incluem organizações, pastas e projetos.
- Os recursos de serviço são componentes fundamentais que constituem os Cloud de Confiance produtos e serviços. Estes recursos incluem máquinas virtuais (VMs) do Compute Engine e clusters do Google Kubernetes Engine.
Usa recursos de contentores para organizar recursos de serviços numa hierarquia. Esta estrutura ajuda a estabelecer a propriedade e o controlo do acesso.
Organize e faça a gestão hierarquicamente
Para isolar os recursos uns dos outros e limitar o acesso aos utilizadores, pode agrupar e gerir os recursos como uma única unidade. Para tal, use a seguinte estrutura, conhecida como hierarquia de recursos:
- Organização: representa a sua empresa e serve como raiz da hierarquia de recursos.
- Pastas: um mecanismo de agrupamento opcional que pode usar para isolar grupos de projetos. Por exemplo, pode criar pastas para entidades legais, departamentos ou equipas.
- Projetos: a entidade organizadora de nível base que contém os recursos do seu serviço.
Para uma vista geral detalhada da hierarquia de recursos, consulte o artigo Hierarquia de recursos.
Para saber como usar a hierarquia de recursos para gerir o acesso, consulte o artigo Usar a hierarquia de recursos para o controlo de acesso.
Organização: crie a raiz da sua hierarquia
Uma organização é o nó de raiz da hierarquia, no qual cria todos os outros recursos. As políticas de acesso que aplica à sua organização são aplicadas a todos os outros recursos. Isto significa que pode aplicar um controlo de acesso ao nível da organização em vez de duplicar e gerir o mesmo controlo em todos os projetos.
Quando cria um recurso de organização, os projetos subjacentes pertencem à organização e não aos utilizadores que criam projetos. Isto significa que os projetos e os respetivos recursos subjacentes podem continuar a existir, mesmo que um utilizador seja removido.
Pastas: isole grupos de projetos
Pode usar pastas para criar limites de isolamento entre projetos. Por exemplo, pode ter coleções de projetos distintas para o departamento ou a equipa. As pastas podem conter projetos e subpastas. Pode aplicar controlos de acesso para garantir que os utilizadores de uma equipa não podem aceder a recursos em pastas atribuídas a outra equipa.
Projetos: isole recursos
Cloud de Confiance Os recursos têm de pertencer a um projeto, que é uma entidade de organização que ajuda a isolar e controlar o acesso aos recursos. Por exemplo, pode criar projetos distintos para ambientes de desenvolvimento e produção.
Um projeto contém definições, autorizações e outros metadados que descrevem as suas aplicações. Os recursos num único projeto podem funcionar em conjunto comunicando através de uma rede interna, sujeitos às regras de regiões e zonas. Um projeto não pode aceder aos recursos de outro projeto, a menos que use a VPC partilhada ou o intercâmbio das redes da VPC.
Atribua um nome aos seus projetos e faça referência a eles
Usa identificadores para fazer referência aos seus projetos em comandos e chamadas API. Cada Cloud de Confiance projeto tem os seguintes identificadores:
- Nome do projeto: um nome que fornece.
- ID do projeto: um identificador que pode indicar ou que Cloud de Confiance podemos indicar por si. Cada ID do projeto é único em Cloud de Confiance. Depois de eliminar um projeto, o respetivo ID nunca mais pode ser usado.
- Número do projeto: fornecido por Cloud de Confiance.
Para mais informações, consulte o artigo Criar e gerir projetos.