Membuat dan mengelola resource organisasi

Resource organisasi adalah node root dalam Trusted Cloud by S3NS hierarki resource dan merupakan node super hierarkis project. Halaman ini menjelaskan cara mendapatkan dan mengelola resource organisasi.

Sebelum memulai

Baca ringkasan resource organisasi.

Mendapatkan resource organisasi

Resource organisasi tersedia untuk pelanggan Google Workspace dan Cloud Identity:

Setelah Anda membuat akun Google Workspace atau Cloud Identity dan mengaitkannya dengan domain, resource organisasi akan otomatis dibuat untuk Anda. Resource akan disediakan pada waktu yang berbeda-beda bergantung pada status akun Anda:

  • Jika Anda baru menggunakan Trusted Cloud dan belum membuat project, resource organisasi akan dibuat untuk Anda saat Anda login ke konsol Trusted Cloud dan menyetujui persyaratan dan ketentuan.
  • Jika Anda adalah pengguna Trusted Cloud yang sudah ada, resource organisasi akan dibuat untuk Anda saat Anda membuat project atau akun penagihan baru. Semua project yang Anda buat sebelumnya akan tercantum di bagian "No organization", dan hal ini normal. Resource organisasi akan muncul dan project baru yang Anda buat akan ditautkan ke resource tersebut secara otomatis.

    Anda harus memindahkan project apa pun yang Anda buat di bagian "No organization" ke resource organisasi baru. Untuk mengetahui petunjuk cara memindahkan project, lihat Memigrasikan project ke dalam resource organisasi.

Resource organisasi yang dibuat akan ditautkan ke akun Google Workspace atau Cloud Identity Anda dengan project atau akun penagihan yang Anda buat ditetapkan sebagai resource turunan. Semua project dan akun penagihan yang dibuat di bawah domain Google Workspace atau Cloud Identity Anda akan menjadi anak dari resource organisasi ini.

Setiap akun Google Workspace atau Cloud Identity dikaitkan dengan tepat satu resource organisasi. Resource organisasi dikaitkan dengan tepat satu domain, yang ditetapkan saat resource organisasi dibuat.

Saat resource organisasi dibuat, kami mengomunikasikan ketersediaannya kepada admin super Google Workspace atau Cloud Identity. Akun admin super ini harus digunakan dengan hati-hati karena memiliki banyak kontrol atas resource organisasi Anda dan semua resource di bawahnya. Oleh karena itu, kami tidak merekomendasikan penggunaan akun admin super Google Workspace atau Cloud Identity untuk pengelolaan resource organisasi Anda sehari-hari. Untuk mengetahui informasi selengkapnya tentang penggunaan akun admin super Google Workspace atau Cloud Identity di Trusted Cloud, lihat Praktik Terbaik Admin Super.

Untuk mengadopsi resource organisasi secara aktif, admin super Google Workspace atau Cloud Identity harus menetapkan peran Identity and Access Management (IAM) Administrator Organisasi (roles/resourcemanager.organizationAdmin) kepada pengguna atau grup. Untuk mengetahui langkah-langkah penyiapan resource organisasi, lihat Menyiapkan resource organisasi.

  • Saat resource organisasi dibuat, semua pengguna di domain Anda akan otomatis diberi peran IAM Project Creator (roles/resourcemanager.projectCreator) dan Billing Account Creator (roles/billing.creator) di tingkat resource organisasi. Hal ini memungkinkan pengguna di domain Anda terus membuat project tanpa gangguan.
  • Administrator Organisasi akan memutuskan kapan mereka ingin mulai menggunakan resource organisasi secara aktif. Kemudian, mereka dapat mengubah izin default dan menerapkan kebijakan yang lebih ketat sesuai kebutuhan.
  • Jika resource organisasi tersedia dan Anda tidak memiliki izin IAM untuk melihatnya, Anda tetap dapat membuat project dan akun penagihan. Tata letak ini dibuat secara otomatis di bawah resource organisasi, meskipun Anda tidak dapat melihatnya.

Mendapatkan ID resource organisasi

ID resource organisasi adalah ID unik untuk resource organisasi dan dibuat secara otomatis saat resource organisasi Anda dibuat. ID resource organisasi diformat sebagai angka desimal, dan tidak boleh memiliki angka nol di depannya.

Anda bisa mendapatkan ID resource organisasi menggunakan Trusted Cloud konsol, gcloud CLI, atau Cloud Resource Manager API.

console

Untuk mendapatkan ID resource organisasi menggunakan Trusted Cloud konsol, lakukan hal berikut:

  1. Buka konsol Trusted Cloud :

    Buka Trusted Cloud konsol

  2. Dari pemilih project di bagian atas halaman, pilih resource organisasi Anda.
  3. Di sisi kanan, klik Lainnya, lalu klik Setelan.

Halaman Setelan menampilkan ID resource organisasi Anda.

gcloud

Untuk menemukan ID resource organisasi Anda, jalankan perintah berikut:

gcloud organizations list

Perintah ini mencantumkan semua resource organisasi yang Anda miliki, dan ID resource organisasi yang sesuai.

API

Untuk menemukan ID resource organisasi Anda menggunakan Cloud Resource Manager API, gunakan metode organizations.search(), termasuk kueri untuk domain Anda. Contoh:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Respons berisi metadata resource organisasi yang dimiliki oleh altostrat.com, yang mencakup ID resource organisasi.

Menyiapkan resource organisasi Anda

Jika Anda adalah pelanggan Google Workspace atau Cloud Identity, resource organisasi akan otomatis disediakan untuk Anda.

Administrator super Google Workspace atau Cloud Identity adalah pengguna pertama yang dapat mengakses resource organisasi setelah dibuat. Semua pengguna atau grup lain akan dapat menggunakan Trusted Cloud by S3NS seperti sebelumnya. Mereka dapat melihat resource organisasi, tetapi hanya dapat mengubahnya setelah izin yang benar ditetapkan.

Administrator super Google Workspace atau Cloud Identity dan Trusted Cloud by S3NS Administrator Organisasi adalah peran penting selama proses penyiapan dan untuk kontrol siklus proses resource organisasi. Kedua peran tersebut umumnya diberikan kepada pengguna atau grup yang berbeda, meskipun hal ini bergantung pada struktur dan kebutuhan resource organisasi.

Tanggung jawab administrator super Google Workspace atau Cloud Identity, dalam konteks penyiapan resource organisasi adalah: Trusted Cloud by S3NS

  • Menetapkan peran Administrator Organisasi kepada beberapa pengguna
  • Menjadi kontak (POC) yang dituju jika terjadi masalah terkait pemulihan
  • Mengontrol siklus proses akun Google Workspace atau Cloud Identity dan resource organisasi seperti yang dijelaskan di bagian Menghapus resource organisasi

Administrator Organisasi, setelah ditetapkan, dapat menetapkan peran Pengelolaan Identitas dan Akses kepada pengguna lain. Tanggung jawab peran Administrator Organisasi adalah:

  • Menentukan kebijakan izinkan dan tolak serta memberikan peran kepada pengguna lain.
  • Melihat struktur Hierarki Resource

Merujuk pada prinsip hak istimewa terendah, peran ini tidak menyertakan izin untuk melakukan tindakan lain, seperti membuat folder atau project. Untuk mendapatkan izin ini, Administrator Organisasi harus menetapkan peran tambahan ke akun mereka.

Memiliki dua peran yang berbeda memastikan pemisahan tugas antara administrator super Google Workspace atau Cloud Identity dan Trusted Cloud by S3NS Administrator Organisasi. Hal ini sering kali menjadi persyaratan karena kedua produk Google biasanya dikelola oleh departemen yang berbeda di organisasi pelanggan.

Untuk mulai menggunakan resource organisasi secara aktif, ikuti langkah-langkah di bawah untuk menambahkan Administrator Organisasi:

Menambahkan Administrator Organisasi

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Trusted Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Pada dialog Pilih dari, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahkan Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Tambahkan, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Mengambil kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super dan administrator Google Workspace atau Cloud Identity telah ditetapkan. Trusted Cloud

    • Mendelegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Seperti yang dijelaskan dalam Mendapatkan resource organisasi, setelah dibuat, semua pengguna dalam domain diberi peran Project Creator dan Billing Account Creator di tingkat resource organisasi secara default. Hal ini memastikan tidak ada gangguan yang disebabkan kepada pengguna saat resource organisasi dibuat. Trusted Cloud Saat Administrator Organisasi mengambil alih kontrol, mereka mungkin ingin menghapus izin tingkat organisasi ini untuk mulai mengunci akses dengan perincian yang lebih baik (misalnya, di tingkat folder atau project). Perhatikan bahwa, karena kebijakan izinkan dan tolak diwarisi ke bawah hierarki, penetapan peran Project Creator ke seluruh domain (domain:mycompany.com) di tingkat resource organisasi menyiratkan bahwa setiap pengguna dalam domain dapat membuat project di mana saja dalam hierarki.

Membuat project di resource organisasi Anda

Konsol


Anda dapat membuat project di resource organisasi menggunakan konsol Trusted Cloud setelah resource organisasi diaktifkan untuk domain Anda.

Untuk membuat project baru di resource organisasi:

Untuk membuat project baru, lakukan langkah-langkah berikut:

  1. Buka halaman Manage resources di konsol Trusted Cloud .

    Buka Kelola Resource

    Langkah-langkah selanjutnya akan muncul di konsol Trusted Cloud .

  2. Pada daftar drop-down Pilih organisasi di bagian atas halaman, pilih resource organisasi tempat Anda ingin membuat project. Jika Anda adalah pengguna uji coba gratis, lewati langkah ini karena daftar ini tidak muncul.
  3. Klik Buat Project.
  4. Di jendela Project Baru yang muncul, masukkan nama project dan pilih akun penagihan yang berlaku. Nama project hanya boleh berisi huruf, angka, tanda kutip tunggal, tanda hubung, spasi, atau tanda seru, serta harus memiliki 4 hingga 30 karakter.
  5. Masukkan resource folder atau organisasi induk di kotak Location. Resource tersebut akan menjadi induk hierarkis dari project baru. Jika opsi No organization tersedia, Anda dapat memilihnya untuk membuat project baru sebagai tingkat teratas dari hierarki resource-nya sendiri.
  6. Setelah selesai memasukkan detail project baru, klik Buat.

API


Anda dapat membuat project baru di resource organisasi dengan membuat project dan menyetel kolom parent-nya ke organizationId dari resource organisasi.

Cuplikan kode berikut menunjukkan cara membuat project dalam resource organisasi:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Melihat project di resource organisasi

Pengguna hanya dapat melihat dan mencantumkan project yang dapat mereka akses melalui peran IAM. Administrator Organisasi dapat melihat dan mencantumkan semua project di resource organisasi.

Konsol


Untuk melihat semua project dalam resource organisasi menggunakan konsol Trusted Cloud :

  1. Buka konsol Trusted Cloud :

    Buka Trusted Cloud konsol

  2. Klik drop-down Organisasi di bagian atas halaman.

  3. Pilih resource organisasi Anda.

  4. Klik drop-down Project di bagian atas halaman, lalu klik View more projects. Semua project di resource organisasi tercantum di halaman.

Opsi Tidak ada organisasi di drop-down Organisasi mencantumkan project berikut:

  • Project yang belum menjadi milik resource organisasi.
  • Project yang dapat diakses pengguna, tetapi berada di bawah resource organisasi yang tidak dapat diakses pengguna.

gcloud


Untuk melihat semua project dalam resource organisasi, jalankan perintah berikut:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Gunakan metode projects.list() untuk mencantumkan semua project dalam resource induk, seperti yang ditunjukkan dalam cuplikan kode berikut:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Menghapus resource organisasi

Resource organisasi terikat ke akun Google Workspace atau Cloud Identity Anda.

Jika Anda memilih untuk tidak menggunakan resource organisasi, sebaiknya pulihkan kebijakan izin resource organisasi ke status semula menggunakan langkah-langkah berikut:

  1. Tambahkan domain Anda ke peran Project Creator dan Billing Account Creator.
  2. Hapus semua entri lain dalam kebijakan izin resource organisasi.

Hal ini akan memungkinkan pengguna Anda terus membuat Project dan Akun Penagihan sekaligus memungkinkan admin super Google Workspace atau Cloud Identity memulihkan administrasi terpusat nanti.

Jika Anda menghapus akun Google Workspace, resource organisasi dan semua resource yang terkait dengannya akan dihapus. Oleh karena itu, jika ingin menghapus resource organisasi, Anda dapat melakukannya dengan menghapus akun Google Workspace Anda. Untuk pengguna Cloud Identity, batalkan semua layanan Google lainnya, lalu hapus akun pengguna Anda. Tindakan ini berpotensi sangat merusak dan mungkin tidak dapat dibatalkan sepenuhnya. Oleh karena itu, sebaiknya lakukan tindakan ini hanya jika Anda yakin tidak ada resource yang sedang digunakan secara aktif.