Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

crea le cartelle

Questa pagina descrive come creare Cloud de Confiance by S3NS cartelle per raggruppare e organizzare i progetti in una gerarchia delle risorse. Puoi utilizzare le cartelle per delegare le attività amministrative, applicare criteri dell'organizzazione specifici per l'ambiente e semplificare la gestione dei costi nei tuoi reparti.

Le cartelle sono nodi nella gerarchia delle risorse di Cloud Platform. Una cartella può contenere progetti, altre cartelle o una combinazione di entrambi. Le risorse dell'organizzazione possono utilizzare le cartelle per raggruppare i progetti sotto il nodo della risorsa dell'organizzazione in una gerarchia. Ad esempio, la risorsa organizzazione potrebbe contenere più reparti, ognuno con il proprio insieme di risorse Cloud de Confiance . Le cartelle ti consentono di raggruppare queste risorse in base al reparto. Le cartelle vengono utilizzate per raggruppare le risorse che condividono criteri di autorizzazione o negazione comuni. Anche se una cartella può contenere più cartelle o risorse, una determinata cartella o risorsa può avere esattamente un elemento principale.

Nel seguente diagramma, la risorsa organizzazione "Company" ha cartelle che rappresentano due reparti, "Dept X" e "Dept Y", e una cartella, "Shared Infrastructure", per gli elementi che potrebbero essere comuni a entrambi i reparti. In "Reparto Y", i file sono organizzati in due team e, all'interno delle cartelle dei team, sono ulteriormente organizzati per prodotto. La cartella "Prodotto 1" contiene a sua volta tre progetti, ognuno con le risorse necessarie. Ciò offre loro un elevato grado di flessibilità nell'assegnazione di policy di autorizzazione, negazione o policy dell'organizzazione al giusto livello di granularità.

Una gerarchia di risorse che mostra un'organizzazione con cartelle nidificate per
dipartimenti, team e prodotti, contenenti progetti.

Puoi utilizzare le policy di autorizzazione e negazione a livello di cartella per controllare l'accesso alle risorse contenute nella cartella. Ad esempio, se a un utente viene concesso il ruolo Amministratore istanze Compute in una cartella, l'utente ha il ruolo Amministratore istanze Compute per tutti i progetti nella cartella.

Prima di iniziare

La funzionalità delle cartelle è disponibile solo per i clienti di Google Workspace e Cloud Identity che dispongono di una risorsa dell'organizzazione. Per saperne di più sull'acquisizione di una risorsa dell'organizzazione, consulta Ottenere una risorsa dell'organizzazione.

Se stai cercando il modo migliore per utilizzare le cartelle, ti consigliamo di:

Consulta Controllo dell'accesso per le cartelle tramite IAM. L'argomento descrive come controllare chi ha accesso alle cartelle e alle risorse che contengono.
Scopri come impostare le autorizzazioni per le cartelle. Le cartelle supportano diversi ruoli Identity and Access Management (IAM). Se vuoi configurare le autorizzazioni in modo generico in modo che gli utenti possano vedere la struttura dei loro progetti, concedi all'intero dominio i ruoli Visualizzatore organizzazione e Visualizzatore cartelle a livello di risorsa dell'organizzazione. Per limitare la visibilità ai rami della gerarchia di cartelle, assegna il ruolo Visualizzatore cartelle alla cartella o alle cartelle che vuoi che gli utenti vedano.
Creazione di cartelle. Quando pianifichi come organizzare le risorse Cloud, ti consigliamo di iniziare con una singola cartella come sandbox in cui puoi sperimentare quale gerarchia è più adatta alla risorsa della tua organizzazione. Considera le cartelle come limiti di isolamento tra le risorse e punti di collegamento per le norme di accesso e configurazione. Puoi scegliere di creare cartelle per contenere risorse appartenenti a diversi dipartimenti e assegnare ruoli amministrativi alle cartelle per delegare il privilegio di amministratore. Le cartelle possono essere utilizzate anche per raggruppare le risorse appartenenti ad applicazioni o ambienti diversi, ad esempio sviluppo, produzione, test. Utilizza cartelle nidificate per modellare questi diversi scenari.

Una situazione comune è quella di creare cartelle che a loro volta contengono altre cartelle o progetti, come mostrato in precedenza nella gerarchia delle risorse. Questa struttura è chiamata gerarchia di cartelle. Quando crei una gerarchia di cartelle, tieni presente quanto segue:

Puoi nidificare le cartelle fino a 10 (dieci) livelli.
Una cartella principale non può contenere più di 300 cartelle. Si riferisce solo alle cartelle secondarie dirette. Queste cartelle secondarie possono, a loro volta, contenere altre cartelle o progetti.
I nomi visualizzati delle cartelle devono essere univoci all'interno dello stesso livello della gerarchia.

Configurare le autorizzazioni per gestire le cartelle

Per accedere alle cartelle e gestirle, assegna ruoli IAM specifici per le cartelle a gruppi specifici di utenti. Per saperne di più su questi ruoli, consulta Controllo dell'accesso per le cartelle utilizzando IAM. Ti consigliamo inoltre di consultare le nostre best practice per identificare la configurazione ottimale per le autorizzazioni delle cartelle.

Per gestire le cartelle per l'intera risorsa dell'organizzazione, devi disporre del ruolo Amministratore cartelle. Questo ruolo concede all'utente l'autorizzazione per creare, modificare, eliminare, spostare e modificare le autorizzazioni IAM per le cartelle, nonché l'autorizzazione per spostare i progetti tra le cartelle.

Inizialmente, solo l'amministratore dell'organizzazione può assegnare il ruolo di Amministratore cartelle per la risorsa organizzazione. Gli account successivi a cui viene assegnato questo ruolo possono concederlo ad altri account.

Per configurare le autorizzazioni delle cartelle:

Console

Nella console Cloud de Confiance , apri la pagina Gestisci risorse.
Vai a Gestisci risorse
Se il riquadro informazioni non è aperto, fai clic su Mostra riquadro informazioni.
Nella tabella Risorse, espandi l'organizzazione che contiene la cartella.
Dall'elenco delle risorse dell'organizzazione, seleziona la cartella che vuoi gestire.
Nel riquadro informazioni, fai clic su Aggiungi entità.
Nel campo Aggiungi entità, inserisci l'indirizzo email a cui vuoi concedere le autorizzazioni.
Nel menu Seleziona un ruolo, seleziona la categoria Resource Manager, poi seleziona il ruolo che vuoi concedere, ad esempio Folder Admin.
Fai clic su Salva per concedere il nuovo ruolo.

gcloud

Per concedere il ruolo Amministratore cartelle a un'entità utilizzando Google Cloud CLI, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:USER_ID \
    --role=roles/resourcemanager.folderAdmin

REST

JSON della richiesta:

request_json= '{ policy: { version: "1", bindings: [ { role: "roles/folderAdmin",
members: [ "user:admin@myorganization.com", ] }, { role: "roles/folderCreator",
members: [ "user:admin@myorganization.com", ] } , { role: "roles/folderMover",
members: [ "user:admin@myorganization.com", ] } , ] } }'

La richiesta curl:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/ORGANIZATION_NAME:setIamPolicy

Sostituisci ORGANIZATION_NAME con il nome dell'organizzazione per cui viene impostata la policy di autorizzazione, ad esempio organizations/123.

crea le cartelle

Per creare cartelle, devi disporre del ruolo Amministratore cartelle o Creatore cartelle a livello principale. Ad esempio, per creare cartelle a livello di organizzazione, devi disporre di uno di questi ruoli a livello di organizzazione.

Quando crei una cartella, devi assegnarle un nome. I nomi delle cartelle devono soddisfare i seguenti requisiti:

Il nome può contenere lettere, cifre, spazi, trattini e trattini bassi.
Il nome visualizzato della cartella deve iniziare e terminare con una lettera o un numero.
Il nome deve essere compreso tra 3 e 30 caratteri
Il nome deve essere diverso da tutte le altre cartelle che condividono l'elemento padre.

Per creare una cartella:

Console

Le cartelle possono essere create nell'interfaccia utente utilizzando la sezione "Gestisci progetti e cartelle".

Vai alla pagina Gestisci risorse nella console Cloud de Confiance :
Apri la pagina Gestisci risorse
Assicurati che il nome della risorsa dell'organizzazione sia selezionato nell'elenco a discesa Organizzazione nella parte superiore della pagina.
Fai clic su Crea cartella e seleziona una delle seguenti opzioni:
- Cartella standard: una risorsa cartella standard.
- Cartella conforme: una cartella Assured Workloads, che fornisce controlli normativi, regionali o di sovranità aggiuntivi per le risorse Cloud de Confiance by S3NS . Se selezioni questa opzione, si aprirà Assured Workloads per creare una cartella.
Nella casella Nome cartella, inserisci il nome della nuova cartella.
In Destinazione, fai clic su Sfoglia, quindi seleziona la risorsa o la cartella dell'organizzazione in cui vuoi creare la nuova cartella.
1. Fai clic su Crea.

gcloud

Le cartelle possono essere create in modo programmatico utilizzando Google Cloud CLI.

Per creare una cartella nella risorsa organizzazione utilizzando lo strumento a riga di comando gcloud, esegui questo comando.

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --organization=ORGANIZATION_ID

Per creare una cartella la cui cartella principale è un'altra cartella:

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --folder=FOLDER_ID

Sostituisci quanto segue:

DISPLAY_NAME: il nome visualizzato della cartella. Due cartelle con la stessa cartella principale non possono condividere un nome visualizzato. Il nome visualizzato deve iniziare e terminare con una lettera o una cifra, può contenere lettere, cifre, spazi, trattini e trattini bassi e non può superare i 30 caratteri.
ORGANIZATION_ID: l'ID della risorsa dell'organizzazione principale se la risorsa principale è una risorsa dell'organizzazione.
FOLDER_ID: l'ID della cartella principale, se la cartella principale è una cartella.

API

Le cartelle possono essere create con una richiesta API.

JSON della richiesta:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La richiesta curl Create Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dove:

DISPLAY_NAME: il nome visualizzato della nuova cartella, ad esempio "La mia fantastica cartella".
ORGANIZATION_NAME: il nome della risorsa organizzazione in cui stai creando la cartella, ad esempio organizations/123.

La risposta Crea cartella:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  }
}

La richiesta curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La risposta di Recupera operazione:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "DISPLAY_NAME",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Aggiungere tag durante la creazione della cartella

I tag forniscono un modo per creare annotazioni per le risorse. Puoi aggiungere tag al momento della creazione delle cartelle. Per farlo, devi concedere il ruolo Tag User. Per saperne di più sulle autorizzazioni contenute in questo ruolo, consulta Crea e gestisci i tag. Puoi aggiungere lo spazio dei nomi per le coppie chiave-valore dei tag solo in uno dei seguenti modi:

gcloud

Per aggiungere tag durante la creazione della cartella, esegui questo comando:

  gcloud resource-manager folders create \
      --display-name=DISPLAY_NAME \
      --organization=ORGANIZATION_ID\
      --tags=KEY_VALUE_PAIRS

Sostituisci quanto segue:

DISPLAY_NAME: il nome visualizzato della cartella.
ORGANIZATION_ID: l'identificatore univoco della risorsa dell'organizzazione principale.
KEY_VALUE_PAIRS: un elenco separato da virgole di coppie chiave-valore che puoi assegnare alla tua risorsa. Un esempio di coppie chiave-valore separate da virgole è 123/environment=production, 456/create=testresource.

REST

Il seguente snippet è una richiesta JSON che crea una cartella e aggiunge tag.

  POST https://cloudresourcemanager.googleapis.com/v3/projects/
  Authorization: *************
  Content-Type: application/json

  {
    "display_name": "our-folder-456",
    "parent": "organizations/123",
    "tags": {
      "key": "123/environment"
      "value": "production"
    },
"tags": {
      "key": "123/costCenter"
      "value": "marketing"
    }
  }

Configurare l'accesso alle cartelle

Per configurare l'accesso alle cartelle, devi disporre del ruolo Amministratore IAM cartella o Folder Admin a livello principale.

Console

Nella console Cloud de Confiance , apri la pagina Gestisci risorse.
Apri la pagina Gestisci risorse
Fai clic sull'elenco a discesa Organizzazione in alto a sinistra e seleziona la risorsa dell'organizzazione.
Seleziona la casella di controllo accanto al progetto per cui vuoi modificare le autorizzazioni.
1. Nel riquadro Informazioni a destra, in Autorizzazioni, inserisci gli indirizzi email dei membri che vuoi aggiungere.
2. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo che vuoi concedere a questi membri.
3. Fai clic su Aggiungi. Viene visualizzata una notifica per confermare l'aggiunta o l'aggiornamento del nuovo ruolo dei membri.

gcloud

Puoi configurare l'accesso alle cartelle in modo programmatico utilizzando Google Cloud CLI o l'API REST.

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderViewer

In alternativa:

gcloud resource-manager folders \
    set-iam-policy FOLDER_ID POLICY_FILE

Sostituisci quanto segue:

FOLDER_ID: l'ID della nuova cartella
POLICY_FILE: il percorso di un file di policy per la cartella

API

Il metodo setIamPolicy imposta la policy di controllo dell'accesso su una cartella, sostituendo qualsiasi policy esistente. Il campo resource deve essere il nome della risorsa della cartella, ad esempio folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La richiesta curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/FOLDER_ID:setIamPolicy

Sostituisci FOLDER_ID con il nome della cartella di cui viene impostata la policy IAM, ad esempio folders/123.

Gestire le operazioni a lunga esecuzione

Alcune operazioni sulle cartelle, come la creazione o la migrazione, vengono elaborate in modo asincrono da Cloud de Confiance by S3NS perché richiedono la propagazione globale. Per evitare di bloccare il terminale o gli script di automazione, puoi utilizzare il flag --async.

Quando viene utilizzato questo flag, il comando restituisce immediatamente un oggetto operazione a lunga esecuzione (LRO). Puoi quindi utilizzare operation_id per verificare il completamento quando preferisci. Il flag --async è supportato solo per i comandi folders create e folders move.

Per utilizzare il flag, segui questi passaggi:

Avviare un'attività asincrona. Fai riferimento al seguente comando di esempio:

gcloud resource-manager folders create \
    --display-name="Test Async Folder" \
    --organization=2518 \
    --async

L'output fornisce un nome operazione (ad es. fc.8572) e mostra done: false.

Esempio di risposta:

name: operations/fc.8572
metadata:
operation_type: CREATE
display_name: Awe-Inspiring Async Folder
destination_parent: organizations/2518
done: false

Controlla lo stato dell'operazione. Per verificare se l'attività è stata completata, utilizza il comando operations describe con l'ID fornito nel passaggio precedente.
```
gcloud beta resource-manager operations describe fc.8572
```
Una volta che done è true, il blocco della risposta conterrà tutti i dettagli della risorsa appena creata.
```
name: operations/fc.8572
done: true
response:
  name: folders/6428
  display_name: Awe-Inspiring Async Folder
  lifecycle_state: ACTIVE
  create_time: '2024-03-20T10:00:00Z'
```

Passaggi successivi

Scopri di più su come visualizzare e aggiornare le cartelle.
Scopri di più sulla gestione dei progetti all'interno delle cartelle.
Scopri di più su ruoli e autorizzazioni per le cartelle.
Scopri di più sull'elenco di tutte le cartelle e i progetti nella gerarchia delle risorse.