ניהול של כמה משאבים בארגון

משאב הארגון קובע את הבעלות על הפרויקטים והתיקיות שמתחתיו בהיררכיית המשאבים של Google Cloud Platform. כל חשבון של Google Workspace או של Cloud Identity יכול להיות משויך למשאב ארגון אחד בלבד. כל חשבון Google Workspace או Cloud Identity משויך גם לדומיין ראשי, כמו example.com. מידע נוסף על שימוש בכמה דומיינים זמין במאמר הוספת דומיין חלופי או דומיין משני של משתמש. לפרטים על שינוי הדומיין הראשי בחשבון Google Workspace, אפשר לעיין במאמר שינוי הדומיין הראשי ב-Google Workspace.

ברוב תרחישי השימוש, מומלץ להשתמש בתיקיות במסגרת משאב ארגון אחד. אם אתם רוצים לשמור על יחידות עסקיות או מחלקות בחברה כגופים נפרדים ללא ניהול מרכזי, אתם יכולים להגדיר כמה חשבונות Google Workspace או Cloud Identity. אפשר גם לשקול שימוש בארגונים עצמאיים. כל חשבון מגיע עם משאב ארגון יחיד.

ההשפעות של שימוש בכמה משאבים של הארגון

משתמשים בכמה משאבי ארגון כשלא רוצים שמשתמשים מחשבון אחד של Cloud de Confiance by S3NS, Google Workspace או Cloud Identity יוכלו לגשת למשאבים שנוצרו על ידי משתמשים מחשבון אחר. פיצול משאבים למספר משאבים של ארגון גורם לדברים הבאים:

  • כברירת מחדל, לאף משתמש יחיד אין גישה מרכזית לכל המשאבים ושליטה בהם.

  • צריך לשכפל מדיניות שמשותפת לכמה ארגונים משניים בכל משאב של ארגון.

  • העברת תיקיות ממקור אחד בארגון למקור אחר לא נתמכת. מידע נוסף זמין במאמר בנושא העברת פרויקטים בין משאבי ארגון.

  • לכל משאב ארגון ב-Cloud Identity נדרש חשבון Google Workspace. לכן, כדי להפעיל כמה משאבי ארגון ב-Cloud Identity, צריך כמה חשבונות Google Workspace ואפשרות לנהל את הזהויות בכל החשבונות.

שימוש במשאב ארגוני יחיד

רוב הארגונים שרוצים לשמור על ארגוני משנה נפרדים יכולים לעשות זאת באמצעות משאב ארגון יחיד ותיקיות. אם יש לכם חשבון Google Workspace יחיד, החשבון הזה ממופה למשאב הארגון, וארגוני משנה ממופים לתיקיות.

בחירת אדמין ארגוני

משתמשי Google Workspace ו-Cloud Identity יכולים לבחור משתמש אחד או יותר שיפעלו כאדמינים של משאב הארגון ב-IAM, באמצעות ההוראות הבאות.

הוראות להגדרת IAM בארגונים עצמאיים מופיעות במאמר הוספת בעלים של הארגון.

המסוף

כדי להוסיף אדמין של הארגון:

  1. נכנסים למסוף Cloud de Confiance בתור סופר-אדמין ב-Google Workspace או ב-Cloud Identity ועוברים לדף IAM & Admin:

    פתיחת הדף IAM & admin

  2. בוחרים את משאב הארגון שרוצים לערוך:

    1. לוחצים על הרשימה הנפתחת של הפרויקטים בחלק העליון של הדף.

    2. בתיבת הדו-שיח בחירה מתוך, לוחצים על הרשימה הנפתחת של הארגון ובוחרים את המשאב הארגוני שאליו רוצים להוסיף אדמין ארגוני.

    3. ברשימה שמופיעה, לוחצים על משאב הארגון כדי לפתוח את הדף הרשאות IAM שלו.

  3. לוחצים על הוספה ומזינים את כתובת האימייל של משתמש אחד או יותר שרוצים להגדיר כמנהלי ארגון.

  4. ברשימה הנפתחת Select a role בוחרים באפשרות מנהל המשאבים > Organization Administrator ולוחצים על Save.

    האדמין הארגוני יכול:

    • שליטה מלאה במשאב הארגון. הפרדה של תחומי האחריות בין אדמין על ב-Google Workspace או ב-Cloud Identity לבין Cloud de Confiance אדמין מוגדרת.

    • האצלת אחריות על פונקציות קריטיות באמצעות הקצאת תפקידי IAM רלוונטיים.

יצירת תיקיות ליחידות משנה

יוצרים תיקייה מתחת למשאב הארגון לכל ארגון משנה.

כדי ליצור תיקיות, צריך להיות לכם התפקיד Folder Admin או יוצר תיקיות ברמה הראשית. לדוגמה, כדי ליצור תיקיות ברמת הארגון, צריך להיות לכם אחד מהתפקידים האלה ברמת הארגון.

כשיוצרים תיקייה, צריך להקצות לה שם. שמות התיקיות צריכים לעמוד בדרישות הבאות:

  • השם יכול להכיל אותיות, ספרות, רווחים, מקפים וקווים תחתונים.
  • השם המוצג של התיקייה צריך להתחיל ולהסתיים באות או בספרה.
  • השם צריך לכלול בין 3 ל-30 תווים.
  • השם צריך להיות שונה מכל שאר התיקיות שמשותפות עם תיקיית ההורה.

כדי ליצור תיקייה, פועלים לפי השלבים הבאים:

המסוף

אפשר ליצור תיקיות בממשק המשתמש באמצעות הקטע 'ניהול פרויקטים ותיקיות'.

  1. נכנסים לדף Manage resources במסוף Cloud de Confiance :

    פתיחת הדף Manage resources

  2. מוודאים ששם משאב הארגון נבחר ברשימה הנפתחת של הארגון בחלק העליון של הדף.

  3. לוחצים על Create folder ובוחרים באחת מהאפשרויות הבאות:

    • תיקייה רגילה: משאב תיקייה רגיל.
    • תיקייה תואמת: תיקייה ב-Assured Workloads, שמספקת אמצעי בקרה נוספים לצורך עמידה בדרישות רגולטוריות, אזוריות או לאומיות עבור משאבי Cloud de Confiance by S3NS . אם תבחרו באפשרות הזו, תועברו אל Assured Workloads כדי ליצור תיקייה.

  4. בתיבה שם התיקייה, מזינים את השם החדש של התיקייה.

  5. בקטע יעד, לוחצים על עיון, ואז בוחרים את משאב הארגון או התיקייה שרוצים ליצור בתוכם את התיקייה החדשה.

    1. לוחצים על יצירה.

gcloud

אפשר ליצור תיקיות באופן פרוגרמטי באמצעות Google Cloud CLI.

כדי ליצור תיקייה מתחת למשאב הארגון באמצעות כלי שורת הפקודה gcloud, מריצים את הפקודה הבאה.

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --organization=ORGANIZATION_ID

כדי ליצור תיקייה שהתיקייה הראשית שלה היא תיקייה אחרת:

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --folder=FOLDER_ID

מחליפים את מה שכתוב בשדות הבאים:

  • DISPLAY_NAME: השם המוצג של התיקייה. אי אפשר להשתמש באותו שם לתצוגה בשתי תיקיות באותה תיקייה ראשית. השם המוצג חייב להתחיל ולהסתיים באות או בספרה, יכול לכלול אותיות, ספרות, רווחים, מקפים וקווים תחתונים, ואורכו לא יכול להיות יותר מ-30 תווים.
  • ORGANIZATION_ID: המזהה של משאב הארגון ההורה, אם ההורה הוא משאב ארגון.
  • FOLDER_ID: המזהה של תיקיית ההורה, אם ההורה הוא תיקייה.

API

אפשר ליצור תיקיות באמצעות בקשת API.

קובץ ה-JSON של הבקשה:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

בקשת ה-curl ליצירת תיקייה:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

כאשר:

  • DISPLAY_NAME: השם המוצג של התיקייה החדשה, לדוגמה My Awesome Folder.
  • ORGANIZATION_NAME: השם של משאב הארגון שמתחתיו אתם יוצרים את התיקייה, לדוגמה organizations/123.

התגובה של יצירת התיקייה:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  }
}

בקשת ה-curl של Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

התגובה של Get Operation:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "DISPLAY_NAME",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

הענקת תפקידי אדמין בתיקיות

לכל תיקייה של ארגון משנה שיוצרים, צריך להעניק למשתמש אחד או יותר את התפקיד Folder Admin. למשתמשים האלה יש שליטה אדמיניסטרטיבית בתפקיד Folder Admin. למשתמשים האלה יש הרשאות אדמין על התיקייה ועל ארגון המשנה שהיא מייצגת.

כדי להגדיר גישה לתיקיות, צריך להיות לכם תפקיד אדמין IAM של תיקייה או אדמין תיקייה ברמת ההורה.

המסוף

  1. במסוף Cloud de Confiance , פותחים את הדף Manage Resources.

    פתיחת הדף 'ניהול משאבים'

  2. לוחצים על הרשימה הנפתחת ארגון בפינה הימנית העליונה ובוחרים את המשאב הארגוני.

  3. מסמנים את התיבה לצד הפרויקט שרוצים לשנות את ההרשאות שלו.

    1. בצד שמאל, בחלונית המידע, בקטע הרשאות, מזינים את כתובות האימייל של החברים שרוצים להוסיף.

    2. ברשימה הנפתחת Select a role, בוחרים את התפקיד שרוצים להקצות לחברים האלה.

    3. לוחצים על הוספה. תוצג התראה לאישור ההוספה או העדכון של התפקיד החדש של החברים.

gcloud

אפשר להגדיר גישה לתיקיות באופן פרוגרמטי באמצעות Google Cloud CLI או API בארכיטקטורת REST.

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderViewer

אפשרות אחרת:

gcloud resource-manager folders \
    set-iam-policy FOLDER_ID POLICY_FILE

מחליפים את מה שכתוב בשדות הבאים:

  • FOLDER_ID: המזהה של התיקייה החדשה
  • POLICY_FILE: הנתיב לקובץ מדיניות של התיקייה

API

השיטה setIamPolicy מגדירה את מדיניות בקרת הגישה בתיקייה, ומחליפה כל מדיניות קיימת. השדה resource צריך להיות שם המשאב של התיקייה, למשל folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

בקשת curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/FOLDER_ID:setIamPolicy

מחליפים את FOLDER_ID בשם התיקייה שמגדירים את מדיניות ה-IAM שלה, לדוגמה folders/123.

הגבלת תפקידים בארגון משנה

כל Folder Admin יכול להגביל את התפקיד Project Creator לחברים בארגון המשנה שלו. הם יכולים גם להסיר את הדומיין מהתפקיד Project Creator במדיניות ההרשאות של משאב הארגון.

לסופר-אדמינים ב-Google Workspace יש הרשאות אדמין בארגון שלא ניתן לשנות. בדרך כלל סופר-אדמינים מנהלים את הזהויות ואת כללי המדיניות בנושא זהויות, ולא את המשאבים ואת כללי המדיניות בנושא משאבים. Cloud de Confiance

המסוף

כדי להסיר את התפקידים שמוקצים למשתמשים כברירת מחדל באמצעות מסוף Cloud de Confiance :

  1. נכנסים לדף Manage resources במסוף Cloud de Confiance :

    כניסה לדף Manage resources

  2. לוחצים על הרשימה הנפתחת Organization בחלק העליון של הדף ובוחרים את משאב הארגון.

  3. מסמנים את תיבת הסימון של המשאב הארגוני שרוצים לשנות את ההרשאות שלו. אם אין לכם משאב תיקייה, לא תוכלו לראות את משאב הארגון. כדי להמשיך, צריך לפעול לפי ההוראות לביטול תפקידים בדף IAM.

  4. בחלונית המידע בצד שמאל, בקטע הרשאות, לוחצים כדי להרחיב את התפקיד שממנו רוצים להסיר משתמשים.

  5. ברשימת התפקידים המורחבת, לצד חשבון המשתמש שרוצים להסיר מהתפקיד, לוחצים על סמל ההסרה. צילום מסך של ממשק המשתמש

  6. בתיבת הדו-שיח הסרת חשבון ראשי? שמופיעה, לוחצים על הסרה כדי לאשר את הסרת התפקיד מהחשבון הראשי שצוין.

  7. חוזרים על שני השלבים שלמעלה לכל תפקיד שרוצים להסיר.

דוגמה

הדיאגרמה הבאה ממחישה ארגון שהשתמש בתיקיות כדי להפריד בין שתי מחלקות. לראשי מחלקות ההנדסה והכספים יש הרשאות ניהול, ומשתמשים אחרים לא יכולים ליצור פרויקטים.

דיאגרמה של היררכיה

ניהול של כמה ארגונים באמצעות משאב ארגון ראשי

אם לארגון שלכם יש כמה חשבונות Google Workspace, כברירת מחדל יש לכם כמה משאבים ארגוניים. כדי לשמור על שקיפות ושליטה מרכזיות, מומלץ לבחור משאב ארגוני אחד שיהיה המשאב הארגוני הראשי. לסופר-אדמינים של חשבון Google Workspace שמשויך למשאב הארגוני הראשי יש שליטה אדמיניסטרטיבית בכל המשאבים, כולל אלה שנוצרו על ידי משתמשים מחשבונות Google Workspace אחרים. למשתמשים בחשבונות Google Workspace האלה ניתנת גישה לתיקייה במסגרת משאב הארגון הראשי, שבה הם יכולים ליצור פרויקטים.

בחירת אדמין ארגוני

בוחרים משתמש אחד או יותר שישמשו כמשתמשי IAM עם הרשאת אדמין במשאב הארגון.

המסוף

כדי להוסיף אדמין של הארגון:

  1. נכנסים למסוף Cloud de Confiance בתור סופר-אדמין ב-Google Workspace או ב-Cloud Identity ועוברים לדף IAM & Admin:

    פתיחת הדף IAM & admin

  2. בוחרים את משאב הארגון שרוצים לערוך:

    1. לוחצים על הרשימה הנפתחת של הפרויקטים בחלק העליון של הדף.

    2. בתיבת הדו-שיח בחירה מתוך, לוחצים על הרשימה הנפתחת של הארגון ובוחרים את המשאב הארגוני שאליו רוצים להוסיף אדמין ארגוני.

    3. ברשימה שמופיעה, לוחצים על משאב הארגון כדי לפתוח את הדף הרשאות IAM שלו.

  3. לוחצים על הוספה ומזינים את כתובת האימייל של משתמש אחד או יותר שרוצים להגדיר כמנהלי ארגון.

  4. ברשימה הנפתחת Select a role בוחרים באפשרות מנהל המשאבים > Organization Administrator ולוחצים על Save.

    האדמין הארגוני יכול:

    • שליטה מלאה במשאב הארגון. הפרדה של תחומי האחריות בין אדמין על ב-Google Workspace או ב-Cloud Identity לבין Cloud de Confiance אדמין מוגדרת.

    • האצלת אחריות על פונקציות קריטיות באמצעות הקצאת תפקידי IAM רלוונטיים.

הסרת התפקיד 'יוצר פרויקטים'

כדי לוודא שלא נוצרים משאבים במשאבי הארגון האחרים, צריך להסיר את התפקיד Project Creator ממשאב הארגון.

המסוף

כדי להסיר את התפקידים שמוקצים למשתמשים כברירת מחדל באמצעות מסוף Cloud de Confiance :

  1. נכנסים לדף Manage resources במסוף Cloud de Confiance :

    כניסה לדף Manage resources

  2. לוחצים על הרשימה הנפתחת Organization בחלק העליון של הדף ובוחרים את משאב הארגון.

  3. מסמנים את תיבת הסימון של המשאב הארגוני שרוצים לשנות את ההרשאות שלו. אם אין לכם משאב תיקייה, לא תוכלו לראות את משאב הארגון. כדי להמשיך, צריך לפעול לפי ההוראות לביטול תפקידים בדף IAM.

  4. בחלונית המידע בצד שמאל, בקטע הרשאות, לוחצים כדי להרחיב את התפקיד שממנו רוצים להסיר משתמשים.

  5. ברשימת התפקידים המורחבת, לצד חשבון המשתמש שרוצים להסיר מהתפקיד, לוחצים על סמל ההסרה. צילום מסך של ממשק המשתמש

  6. בתיבת הדו-שיח הסרת חשבון ראשי? שמופיעה, לוחצים על הסרה כדי לאשר את הסרת התפקיד מהחשבון הראשי שצוין.

  7. חוזרים על שני השלבים שלמעלה לכל תפקיד שרוצים להסיר.

יצירת תיקיות לחשבונות Google Workspace

יוצרים תיקייה מתחת למשאב הארגון לכל חשבון Google Workspace.

כדי ליצור תיקיות, צריך להיות לכם התפקיד Folder Admin או יוצר תיקיות ברמה של התיקייה הראשית. לדוגמה, כדי ליצור תיקיות ברמת הארגון, צריך להיות לכם אחד מהתפקידים האלה ברמת הארגון.

כשיוצרים תיקייה, צריך להקצות לה שם. שמות התיקיות צריכים לעמוד בדרישות הבאות:

  • השם יכול להכיל אותיות, ספרות, רווחים, מקפים וקווים תחתונים.
  • השם המוצג של התיקייה צריך להתחיל ולהסתיים באות או בספרה.
  • השם צריך לכלול בין 3 ל-30 תווים.
  • השם צריך להיות שונה מכל שאר התיקיות שמשותפות עם תיקיית ההורה.

כדי ליצור תיקייה, פועלים לפי השלבים הבאים:

המסוף

אפשר ליצור תיקיות בממשק המשתמש באמצעות הקטע 'ניהול פרויקטים ותיקיות'.

  1. נכנסים לדף Manage resources במסוף Cloud de Confiance :

    פתיחת הדף Manage resources

  2. מוודאים ששם משאב הארגון נבחר ברשימה הנפתחת של הארגון בחלק העליון של הדף.

  3. לוחצים על Create folder ובוחרים באחת מהאפשרויות הבאות:

    • תיקייה רגילה: משאב תיקייה רגיל.
    • תיקייה תואמת: תיקייה ב-Assured Workloads, שמספקת אמצעי בקרה נוספים לצורך עמידה בדרישות רגולטוריות, אזוריות או לאומיות עבור משאבי Cloud de Confiance by S3NS . אם תבחרו באפשרות הזו, תועברו אל Assured Workloads כדי ליצור תיקייה.

  4. בתיבה שם התיקייה, מזינים את השם החדש של התיקייה.

  5. בקטע יעד, לוחצים על עיון, ואז בוחרים את משאב הארגון או התיקייה שרוצים ליצור בתוכם את התיקייה החדשה.

    1. לוחצים על יצירה.

gcloud

אפשר ליצור תיקיות באופן פרוגרמטי באמצעות Google Cloud CLI.

כדי ליצור תיקייה מתחת למשאב הארגון באמצעות כלי שורת הפקודה gcloud, מריצים את הפקודה הבאה.

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --organization=ORGANIZATION_ID

כדי ליצור תיקייה שהתיקייה הראשית שלה היא תיקייה אחרת:

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --folder=FOLDER_ID

מחליפים את מה שכתוב בשדות הבאים:

  • DISPLAY_NAME: השם המוצג של התיקייה. אי אפשר להשתמש באותו שם לתצוגה בשתי תיקיות באותה תיקייה ראשית. השם המוצג חייב להתחיל ולהסתיים באות או בספרה, יכול לכלול אותיות, ספרות, רווחים, מקפים וקווים תחתונים, ואורכו לא יכול להיות יותר מ-30 תווים.
  • ORGANIZATION_ID: המזהה של משאב הארגון ההורה, אם ההורה הוא משאב ארגון.
  • FOLDER_ID: המזהה של תיקיית ההורה, אם ההורה הוא תיקייה.

API

אפשר ליצור תיקיות באמצעות בקשת API.

קובץ ה-JSON של הבקשה:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

בקשת ה-curl ליצירת תיקייה:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

כאשר:

  • DISPLAY_NAME: השם המוצג של התיקייה החדשה, לדוגמה My Awesome Folder.
  • ORGANIZATION_NAME: השם של משאב הארגון שמתחתיו אתם יוצרים את התיקייה, לדוגמה organizations/123.

התגובה של יצירת התיקייה:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  }
}

בקשת ה-curl של Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

התגובה של Get Operation:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "DISPLAY_NAME",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

הענקת תפקידי אדמין בתיקיות

לכל אחת מהתיקיות שנוצרו, צריך להעניק למשתמש אחד או יותר את התפקיד Folder Admin. למשתמשים האלה מוקצית שליטה אדמיניסטרטיבית בתיקייה ובארגון המשנה שהיא מייצגת.

כדי להגדיר גישה לתיקיות, צריך להיות לכם תפקיד אדמין IAM של תיקייה או אדמין תיקייה ברמת ההורה.

המסוף

  1. במסוף Cloud de Confiance , פותחים את הדף Manage Resources.

    פתיחת הדף 'ניהול משאבים'

  2. לוחצים על הרשימה הנפתחת ארגון בפינה הימנית העליונה ובוחרים את המשאב הארגוני.

  3. מסמנים את התיבה לצד הפרויקט שרוצים לשנות את ההרשאות שלו.

    1. בצד שמאל, בחלונית המידע, בקטע הרשאות, מזינים את כתובות האימייל של החברים שרוצים להוסיף.

    2. ברשימה הנפתחת Select a role, בוחרים את התפקיד שרוצים להקצות לחברים האלה.

    3. לוחצים על הוספה. תוצג התראה לאישור ההוספה או העדכון של התפקיד החדש של החברים.

gcloud

אפשר להגדיר גישה לתיקיות באופן פרוגרמטי באמצעות Google Cloud CLI או API בארכיטקטורת REST.

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderViewer

אפשרות אחרת:

gcloud resource-manager folders \
    set-iam-policy FOLDER_ID POLICY_FILE

מחליפים את מה שכתוב בשדות הבאים:

  • FOLDER_ID: המזהה של התיקייה החדשה
  • POLICY_FILE: הנתיב לקובץ מדיניות של התיקייה

API

השיטה setIamPolicy מגדירה את מדיניות בקרת הגישה בתיקייה, ומחליפה כל מדיניות קיימת. השדה resource צריך להיות שם המשאב של התיקייה, למשל folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

בקשת curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/FOLDER_ID:setIamPolicy

מחליפים את FOLDER_ID בשם התיקייה שמגדירים את מדיניות ה-IAM שלה, לדוגמה folders/123.

כל Folder Admin יכול להעניק למשתמשים מהדומיין המשויך את התפקיד Project Creator.

דוגמה

בתרשים הבא מוצג ארגון עם דומיין ראשי שמופרד מדומיין משני שנרכש. לכל אחד משני הדומיינים יש חשבונות Google Workspace משלו, כאשר hypothetical.com הוא משאב הארגון הראשי.

דיאגרמה של היררכיה