La risorsa organizzazione è il nodo radice della gerarchia delle risorse ed è il super nodo gerarchico dei progetti.Trusted Cloud by S3NS Questa pagina spiega come acquisire e gestire una risorsa Organizzazione.
Prima di iniziare
Leggi una panoramica della risorsa organizzazione.
Recuperare una risorsa dell'organizzazione
Una risorsa Organizzazione è disponibile per i clienti Google Workspace e Cloud Identity:
- Google Workspace:registrati a Google Workspace.
- Cloud Identity:registrati a Cloud Identity.
Dopo aver creato il tuo account Google Workspace o Cloud Identity e averlo associato a un dominio, la tua risorsa organizzazione verrà creata automaticamente. La risorsa verrà fornita in momenti diversi a seconda dello stato del tuo account:
- Se non hai mai utilizzato Trusted Cloud e non hai ancora creato un progetto, la risorsa organizzazione verrà creata per te quando accedi alla console Trusted Cloud e accetti i Termini e condizioni.
-
Se sei un utente Trusted Cloud esistente, la risorsa organizzazione verrà creata automaticamente quando crei un nuovo progetto o un nuovo account di fatturazione. Tutti i progetti che hai creato in precedenza verranno elencati in "Nessuna organizzazione", il che è normale. Verrà visualizzata la risorsa dell'organizzazione e il nuovo progetto creato verrà collegato automaticamente.
Dovrai spostare tutti i progetti che hai creato in "Nessuna organizzazione" nella nuova risorsa di organizzazione. Per istruzioni su come spostare i progetti, vedi Migrazione dei progetti in una risorsa dell'organizzazione.
La risorsa organizzazione creata verrà collegata al tuo account Google Workspace o Cloud Identity con il progetto o l'account di fatturazione che hai creato impostato come risorsa secondaria. Tutti i progetti e gli account di fatturazione creati nel tuo dominio Google Workspace o Cloud Identity saranno elementi secondari di questa risorsa organizzazione.
- Per informazioni su come eseguire la migrazione di progetti preesistenti, consulta la sezione Migrazione dei progetti esistenti.
Ogni account Google Workspace o Cloud Identity è associato esattamente a una risorsa organizzazione. Una risorsa organizzazione è associata esattamente a un dominio, che viene impostato al momento della creazione della risorsa organizzazione.
Una volta creata la risorsa Organizzazione, comunichiamo la sua disponibilità ai super amministratori di Google Workspace o Cloud Identity. Questi account super amministratore vanno usati con cautela perché il controllo che hanno sulla risorsa della tua organizzazione e su tutte le risorse sottostanti è molto esteso. Per questo motivo, sconsigliamo di utilizzare gli account super amministratore di Google Workspace o Cloud Identity per la gestione quotidiana della risorsa organizzazione. Per ulteriori informazioni sull'utilizzo degli account super amministratore Google Workspace o Cloud Identity in Trusted Cloud, consulta Best practice per i super amministratori.
Per adottare attivamente la risorsa organizzazione, i super amministratori di Google Workspace o
Cloud Identity devono assegnare il ruolo
Amministratore organizzazione
(roles/resourcemanager.organizationAdmin
) Identity and Access Management (IAM) a un
utente o a un gruppo. Per i passaggi sulla configurazione della risorsa dell'organizzazione, vedi
Configurare la risorsa dell'organizzazione.
- Quando viene creata la risorsa organizzazione, a tutti gli utenti del tuo dominio vengono automaticamente concessi i ruoli IAM Autore progetto (
roles/resourcemanager.projectCreator
) e Creatore account di fatturazione (roles/billing.creator
) a livello di risorsa organizzazione. In questo modo, gli utenti del tuo dominio possono continuare a creare progetti senza interruzioni. - L'amministratore dell'organizzazione deciderà quando iniziare a utilizzare attivamente la risorsa dell'organizzazione. Potrà quindi modificare le autorizzazioni predefinite e applicare criteri più restrittivi in base alle esigenze.
- Se la risorsa dell'organizzazione è disponibile e non disponi delle autorizzazioni IAM per visualizzarla, puoi comunque creare progetti e account di fatturazione. Questi vengono creati automaticamente nella risorsa dell'organizzazione, anche se non riesci a vederli.
Ottenere l'ID risorsa dell'organizzazione
L'ID risorsa dell'organizzazione è un identificatore univoco per una risorsa dell'organizzazione e viene creato automaticamente quando viene creata la risorsa dell'organizzazione. Gli ID risorsa dell'organizzazione sono formattati come numeri decimali e non possono avere zeri iniziali.
Puoi ottenere l'ID risorsa dell'organizzazione utilizzando la console Trusted Cloud , gcloud CLI o l'API Cloud Resource Manager.
console
Per ottenere l'ID risorsa dell'organizzazione utilizzando la console Trusted Cloud , segui questi passaggi:
- Vai alla Trusted Cloud console:
- Nel selettore di progetti nella parte superiore della pagina, seleziona la risorsa dell'organizzazione.
- Sul lato destro, fai clic su Altro, poi su Impostazioni.
La pagina Impostazioni mostra l'ID risorsa dell'organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione.
API
Per trovare l'ID risorsa dell'organizzazione utilizzando l'API Cloud Resource Manager, utilizza il metodo
organizations.search()
, che include una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa organizzazione che
appartiene a altostrat.com
, incluso l'ID risorsa organizzazione.
Configurare la risorsa dell'organizzazione
Se sei un cliente Google Workspace o Cloud Identity, una risorsa organizzazione ti viene fornita automaticamente.
I super amministratori di Google Workspace o Cloud Identity sono i primi utenti che possono accedere alla risorsa organizzazione al momento della creazione. Tutti gli altri utenti o gruppi potranno utilizzare Trusted Cloud by S3NS come prima. Potranno visualizzare la risorsa dell'organizzazione, ma potranno modificarla solo dopo aver impostato le autorizzazioni corrette.
I super amministratori di Google Workspace o Cloud Identity e l'Trusted Cloud by S3NS amministratore dell'organizzazione sono ruoli chiave durante il processo di configurazione e per il controllo del ciclo di vita della risorsa organizzazione. Questi due ruoli vengono generalmente assegnati a utenti o gruppi diversi, anche se questa scelta dipende dalla struttura e dalle esigenze della risorsa dell'organizzazione.
Le responsabilità del super amministratore di Google Workspace o Cloud Identity, nell'ambito della configurazione della risorsa organizzazione, sono: Trusted Cloud by S3NS
- Assegnare il ruolo Amministratore dell'organizzazione ad alcuni utenti
- Agire da punto di contatto in caso di problemi di ripristino
- Controllare il ciclo di vita dell'account Google Workspace o Cloud Identity e della risorsa organizzazione come spiegato in Eliminare una risorsa organizzazione
Una volta assegnato, l'amministratore dell'organizzazione può assegnare ruoli di Identity and Access Management ad altri utenti. Le responsabilità del ruolo Amministratore dell'organizzazione sono:
- Definizione di criteri di autorizzazione e negazione e concessione di ruoli ad altri utenti.
- Visualizzare la struttura della gerarchia delle risorse
Secondo il principio del privilegio minimo, questo ruolo non include l'autorizzazione a eseguire altre azioni, come la creazione di cartelle o progetti. Per ottenere queste autorizzazioni, unAmministratore organizzazionee deve assegnare ruoli aggiuntivi al proprio account.
La presenza di due ruoli distinti garantisce la separazione delle funzioni tra i super amministratori di Google Workspace o Cloud Identity e l'amministratore dell'organizzazioneTrusted Cloud by S3NS . Questo è spesso un requisito, in quanto i due prodotti Google sono in genere gestiti da dipartimenti diversi dell'organizzazione del cliente.
Per iniziare a utilizzare attivamente la risorsa di organizzazione, segui questi passaggi per aggiungere unAmministratore organizzazionee:
Aggiungere un Amministratore organizzazione
Console
Per aggiungere un Amministratore organizzazione:
Accedi alla console Trusted Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:
Seleziona la risorsa dell'organizzazione che vuoi modificare:
Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.
Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa Organizzazione a cui vuoi aggiungere un Amministratore organizzazione'organizzazione.
Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.
Fai clic su Aggiungi e poi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.
Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore dell'organizzazione e poi fai clic su Salva.
L'amministratore dell'organizzazione può:
Assumi il controllo completo della risorsa organizzazione. È stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Trusted Cloud .
Delegare la responsabilità su funzioni critiche assegnando i ruoli IAM pertinenti.
Come spiegato in Acquisizione di una risorsa organizzazione, al momento della creazione,
a tutti gli utenti del dominio vengono concessi per impostazione predefinita i ruoliAutore progettoi eCreatore account di fatturazionee
a livello di risorsa organizzazione. In questo modo, non si verificano interruzioni per gli utenti quando viene creata la risorsa dell'organizzazione. Trusted Cloud Quando l'amministratore dell'organizzazione prende il controllo, potrebbe voler rimuovere queste autorizzazioni a livello di organizzazione per iniziare a bloccare l'accesso con una granularità più precisa (ad esempio, a livello di cartella o progetto). Tieni presente che, poiché
le norme di autorizzazione e negazione vengono ereditate nella gerarchia, l'assegnazione
del ruolo Autore progetto all'intero dominio
(domain:mycompany.com
) a livello di risorsa dell'organizzazione implica che ogni utente
del dominio può creare progetti in qualsiasi punto della gerarchia.
Creazione di progetti nella risorsa dell'organizzazione
Console
Puoi creare un progetto nella risorsa organizzazione utilizzando la consoleTrusted Cloud dopo che la risorsa organizzazione è stata attivata per il tuo dominio.
Per creare un nuovo progetto nella risorsa organizzazione:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella Trusted Cloud console.
I passaggi rimanenti vengono visualizzati nella console Trusted Cloud .
- Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
- Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
- Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
API
Puoi creare un nuovo progetto nella risorsa organizzazione
creando un
project
e impostando il relativo campo parent
su organizationId
della
risorsa organizzazione.
Il seguente snippet di codice mostra come creare un progetto in una risorsa organizzazione:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualizzazione dei progetti in una risorsa dell'organizzazione
Gli utenti possono visualizzare ed elencare solo i progetti a cui hanno accesso tramite i ruoli IAM. L'amministratore dell'organizzazione può visualizzare ed elencare tutti i progetti nella risorsa organizzazione.
Console
Per visualizzare tutti i progetti in una risorsa organizzazione utilizzando la console Trusted Cloud :
Vai alla Trusted Cloud console:
Fai clic sul menu a discesa Organizzazione nella parte superiore della pagina.
Seleziona la risorsa dell'organizzazione.
Fai clic sul menu a discesa Progetto nella parte superiore della pagina, quindi fai clic su Visualizza altri progetti. Tutti i progetti nella risorsa organizzazione sono elencati nella pagina.
L'opzione Nessuna organizzazione nei menu a discesa Organizzazione elenca i seguenti progetti:
- Progetti che non appartengono ancora alla risorsa organizzazione.
- Progetti a cui l'utente ha accesso, ma che si trovano in una risorsa dell'organizzazione a cui l'utente non ha accesso.
gcloud
Per visualizzare tutti i progetti in una risorsa organizzazione, esegui questo comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Utilizza il metodo
projects.list()
per elencare tutti i progetti in una risorsa padre, come mostrato nello
snippet di codice seguente:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminazione di una risorsa dell'organizzazione
La risorsa organizzazione è associata al tuo account Google Workspace o Cloud Identity.
Se preferisci non utilizzare la risorsa organizzazione, ti consigliamo di ripristinare lo stato originale del criterio di autorizzazione della risorsa organizzazione seguendo questi passaggi:
- Aggiungi il tuo dominio ai ruoli
Project Creator
eBilling Account Creator
. - Rimuovi tutte le altre voci nella policy di autorizzazione della risorsa dell'organizzazione.
In questo modo, gli utenti potranno continuare a creare progetti e account di fatturazione, mentre i super amministratori di Google Workspace o Cloud Identity potranno recuperare l'amministrazione centrale in un secondo momento.
Se elimini il tuo account Google Workspace, verrà eliminata la risorsa dell'organizzazione e tutte le risorse associate. Pertanto, se vuoi eliminare la risorsa della tua organizzazione, puoi farlo eliminando il tuo account Google Workspace. Per gli utenti di Cloud Identity, annulla tutti gli altri servizi Google, poi elimina il tuo account utente. Questa è potenzialmente un'azione molto dannosa che potrebbe essere impossibile da annullare completamente, quindi è consigliabile intraprenderla solo se hai la certezza che non ci siano risorse in uso attivo.