Gestione di più risorse dell'organizzazione

La risorsa dell'organizzazione stabilisce la proprietà dei progetti e delle cartelle sottostanti nella gerarchia di risorse di Google Cloud Platform. Il tuo account Google Workspace o Cloud Identity è associato a una sola risorsa organizzazione. Ogni account Google Workspace o Cloud Identity è associato anche a un dominio principale, ad esempio example.com. Per maggiori dettagli sull'utilizzo di più domini, vedi Aggiungere un dominio degli alias utente o un dominio secondario. Per informazioni dettagliate su come modificare il dominio principale di un account Google Workspace, vedi Cambiare il dominio principale per Google Workspace.

Per la maggior parte dei casi d'uso, è consigliabile utilizzare le cartelle in una risorsa organizzazione. Se vuoi mantenere le sotto-organizzazioni o i reparti della tua azienda come entità isolate senza amministrazione centrale, puoi configurare più account Google Workspace o Cloud Identity. Ogni account avrà una singola risorsa dell'organizzazione associata a un dominio principale.

Effetti dell'utilizzo di più risorse organizzazione

Utilizza più risorse organizzazione quando non vuoi che gli utenti di un account Google Workspace o Cloud Identity accedano alle risorse create da utenti di un altro account Google Workspace o Cloud Identity. La separazione delle risorse in più risorse organizzazione comporta diverse conseguenze:

  • Per impostazione predefinita, nessun singolo utente avrà visibilità e controllo centralizzati su tutte le risorse.

  • I criteri comuni a tutte le organizzazioni secondarie dovranno essere replicati in ogni risorsa dell'organizzazione.

  • Lo spostamento di cartelle da una risorsa di un'organizzazione a un'altra non è un'operazione supportata. Per scoprire di più, consulta la pagina Migrazione dei progetti tra le risorse dell'organizzazione.

  • Ogni risorsa organizzazione richiede un account Google Workspace. Il funzionamento di più risorse organizzazione richiede quindi più account Google Workspace e la possibilità di gestire le identità al loro interno.

Utilizzo di una singola risorsa organizzazione

La maggior parte delle organizzazioni che vogliono mantenere separate le sotto-organizzazioni può farlo utilizzando una singola risorsa organizzazione e cartelle. Se hai un solo account Google Workspace, questo account viene mappato alla risorsa organizzazione e le organizzazioni secondarie vengono mappate alle cartelle.

Scegliere un Amministratore organizzazione

Scegli uno o più utenti che fungano da amministratore dell'organizzazione IAM per la risorsa organizzazione.

Console

Per aggiungere un Amministratore organizzazione:

  1. Accedi alla console Trusted Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:

    Apri la pagina IAM e amministrazione

  2. Seleziona la risorsa dell'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa Organizzazione a cui vuoi aggiungere un Amministratore organizzazione'organizzazione.

    3. Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.

  3. Fai clic su Aggiungi e poi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore dell'organizzazione e poi fai clic su Salva.

    L'amministratore dell'organizzazione può:

    • Assumi il controllo completo della risorsa organizzazione. È stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Trusted Cloud .

    • Delegare la responsabilità su funzioni critiche assegnando i ruoli IAM pertinenti.

Creare cartelle per le organizzazioni secondarie

Crea una cartella nella risorsa organizzazione per ogni organizzazione secondaria.

Per creare cartelle, devi disporre del ruolo Amministratore cartelle o Creatore cartelle a livello principale. Ad esempio, per creare cartelle a livello di organizzazione, devi disporre di uno di questi ruoli a livello di organizzazione.

Quando crei una cartella, devi assegnarle un nome. I nomi delle cartelle devono soddisfare i seguenti requisiti:

  • Il nome può contenere lettere, cifre, spazi, trattini e trattini bassi.
  • Il nome visualizzato della cartella deve iniziare e terminare con una lettera o un numero.
  • Il nome deve essere compreso tra 3 e 30 caratteri.
  • Il nome deve essere diverso da tutte le altre cartelle che condividono l'elemento padre.

Per creare una cartella:

Console

Le cartelle possono essere create nell'interfaccia utente utilizzando la sezione "Gestisci progetti e cartelle".

  1. Vai alla pagina Gestisci risorse nella console Trusted Cloud :

    Apri la pagina Gestisci risorse

  2. Assicurati che il nome della risorsa dell'organizzazione sia selezionato nell'elenco a discesa Organizzazione nella parte superiore della pagina.

  3. Fai clic su Crea cartella e seleziona una delle seguenti opzioni:

  4. Nella casella Nome cartella, inserisci il nome della nuova cartella.

  5. In Destinazione, fai clic su Sfoglia, quindi seleziona la risorsa o la cartella dell'organizzazione in cui vuoi creare la nuova cartella.

    1. Fai clic su Crea.

gcloud

Le cartelle possono essere create in modo programmatico utilizzando Google Cloud CLI.

Per creare una cartella nella risorsa organizzazione utilizzando lo strumento a riga di comando gcloud, esegui questo comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Per creare una cartella la cui cartella principale è un'altra cartella:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della cartella. Due cartelle con la stessa cartella principale non possono condividere un nome visualizzato. Il nome visualizzato deve iniziare e terminare con una lettera o una cifra, può contenere lettere, cifre, spazi, trattini e trattini bassi e non può superare i 30 caratteri.
  • [ORGANIZATION_ID]è l'ID della risorsa organizzazione principale se la risorsa principale è una risorsa organizzazione.
  • [FOLDER_ID] è l'ID della cartella principale, se la principale è una cartella.

API

Le cartelle possono essere create con una richiesta API.

JSON della richiesta:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La richiesta curl Create Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della nuova cartella, ad esempio "La mia fantastica cartella".
  • [ORGANIZATION_NAME] è il nome della risorsa dell'organizzazione in cui stai creando la cartella, ad esempio organizations/123.

La risposta Crea cartella:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La richiesta curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La risposta di Recupera operazione:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Concedere ruoli di amministratore della cartella

Per ogni cartella della sub-organizzazione che crei, concedi a uno o più utenti il ruolo Amministratore cartella. Questi utenti avranno il controllo amministrativo sulla cartella e sulla sotto-organizzazione che rappresenta.

Per configurare l'accesso alle cartelle, devi disporre del ruolo Amministratore IAM cartella o Amministratore cartella a livello principale.

Console

  1. Nella console Trusted Cloud , apri la pagina Gestisci risorse.

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione in alto a sinistra e seleziona la risorsa dell'organizzazione.

  3. Seleziona la casella di controllo accanto al progetto per cui vuoi modificare le autorizzazioni.

    1. Nel riquadro Informazioni a destra, in Autorizzazioni, inserisci gli indirizzi email dei membri che vuoi aggiungere.

    2. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo che vuoi concedere a questi membri.

    3. Fai clic su Aggiungi. Viene visualizzata una notifica per confermare l'aggiunta o l'aggiornamento del nuovo ruolo dei membri.

gcloud

Puoi configurare l'accesso alle cartelle in modo programmatico utilizzando Google Cloud CLI o l'API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

In alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dove:

  • [FOLDER_ID] è l'ID della nuova cartella.
  • [POLICY_FILE] è il percorso di un file di criteri per la cartella.

API

Il metodo setIamPolicy imposta il criterio di controllo dell'accesso su una cartella, sostituendo qualsiasi criterio esistente. Il campo resource deve essere il nome della risorsa della cartella, ad esempio folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La richiesta curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dove:

  • [FOLDER_NAME] è il nome della cartella per cui viene impostata la policy IAM, ad esempio folders/123.

Limitare i ruoli dell'organizzazione secondaria

Ogni Amministratore cartelle può limitare il ruolo Autore progetto ai membri della propria sotto-organizzazione. Possono anche rimuovere il dominio dal ruolo Creatore progetto nel criterio di autorizzazione della risorsa organizzazione.

I super amministratori di Google Workspace dispongono di privilegi di amministratore dell'organizzazione irrevocabili. Questi super amministratori in genere gestiscono le identità e i criteri di identità, anziché le risorse e i criteri delle risorse. Trusted Cloud

Console

Per rimuovere i ruoli assegnati agli utenti per impostazione predefinita utilizzando la console Trusted Cloud :

  1. Vai alla pagina Gestisci risorse nella console Trusted Cloud :

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione nella parte superiore della pagina e seleziona la risorsa dell'organizzazione.

  3. Seleziona la casella di controllo per la risorsa dell'organizzazione per cui vuoi modificare le autorizzazioni. Se non hai una risorsa Cartella, la risorsa organizzazione non sarà visibile. Per continuare, consulta le istruzioni per revocare i ruoli tramite la pagina IAM.

  4. Nel riquadro Informazioni a destra, fai clic per espandere il ruolo da cui vuoi rimuovere gli utenti nella sezione Autorizzazioni.

  5. Nell'elenco dei ruoli espanso, fai clic su Rimuovi accanto al principal che vuoi rimuovere dal ruolo. Screenshot della UI

  6. Nella finestra di dialogo Rimuovere l'entità? visualizzata, fai clic su Rimuovi per confermare la rimozione del ruolo dall'entità specificata.

  7. Ripeti i due passaggi precedenti per ogni ruolo che vuoi rimuovere.

Esempio

Il seguente diagramma mostra un'organizzazione che ha utilizzato le cartelle per separare due reparti. I responsabili dei reparti di ingegneria e finanza hanno il controllo amministrativo e gli altri utenti non possono creare progetti.

Diagramma della gerarchia

Gestione di più organizzazioni in una risorsa organizzazione principale

Se la tua organizzazione ha più account Google Workspace, avrai più risorse dell'organizzazione per impostazione predefinita. Per mantenere la visibilità e il controllo centralizzati, devi scegliere una risorsa dell'organizzazione da utilizzare come risorsa dell'organizzazione principale. I super amministratori dell'account Google Workspace associato alla risorsa principale della tua organizzazione avranno il controllo amministrativo su tutte le risorse, incluse quelle create da utenti degli altri account Google Workspace. Gli utenti di questi account Google Workspace avranno accesso a una cartella nella risorsa dell'organizzazione principale, in cui potranno creare progetti.

Scegliere un Amministratore organizzazione

Scegli uno o più utenti che fungano da amministratore dell'organizzazione IAM per la risorsa organizzazione.

Console

Per aggiungere un Amministratore organizzazione:

  1. Accedi alla console Trusted Cloud come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:

    Apri la pagina IAM e amministrazione

  2. Seleziona la risorsa dell'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa Organizzazione e seleziona la risorsa Organizzazione a cui vuoi aggiungere un Amministratore organizzazione'organizzazione.

    3. Nell'elenco visualizzato, fai clic sulla risorsa dell'organizzazione per aprire la pagina Autorizzazioni IAM.

  3. Fai clic su Aggiungi e poi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Resource Manager > Amministratore dell'organizzazione e poi fai clic su Salva.

    L'amministratore dell'organizzazione può:

    • Assumi il controllo completo della risorsa organizzazione. È stabilita la separazione delle responsabilità tra il super amministratore di Google Workspace o Cloud Identity e l'amministratore di Trusted Cloud .

    • Delegare la responsabilità su funzioni critiche assegnando i ruoli IAM pertinenti.

Rimuovi il ruolo Creatore progetto

Rimuovi il ruolo Project Creator dalla risorsa organizzazione per assicurarti che le risorse non vengano create nelle altre risorse organizzazione.

Console

Per rimuovere i ruoli assegnati agli utenti per impostazione predefinita utilizzando la console Trusted Cloud :

  1. Vai alla pagina Gestisci risorse nella console Trusted Cloud :

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione nella parte superiore della pagina e seleziona la risorsa dell'organizzazione.

  3. Seleziona la casella di controllo per la risorsa dell'organizzazione per cui vuoi modificare le autorizzazioni. Se non hai una risorsa Cartella, la risorsa organizzazione non sarà visibile. Per continuare, consulta le istruzioni per revocare i ruoli tramite la pagina IAM.

  4. Nel riquadro Informazioni a destra, fai clic per espandere il ruolo da cui vuoi rimuovere gli utenti nella sezione Autorizzazioni.

  5. Nell'elenco dei ruoli espanso, fai clic su Rimuovi accanto al principal che vuoi rimuovere dal ruolo. Screenshot della UI

  6. Nella finestra di dialogo Rimuovere l'entità? visualizzata, fai clic su Rimuovi per confermare la rimozione del ruolo dall'entità specificata.

  7. Ripeti i due passaggi precedenti per ogni ruolo che vuoi rimuovere.

Creare cartelle per gli account Google Workspace

Crea una cartella nella risorsa dell'organizzazione per ogni account Google Workspace.

Per creare cartelle, devi disporre del ruolo Amministratore cartelle o Creatore cartelle a livello principale. Ad esempio, per creare cartelle a livello di organizzazione, devi disporre di uno di questi ruoli a livello di organizzazione.

Quando crei una cartella, devi assegnarle un nome. I nomi delle cartelle devono soddisfare i seguenti requisiti:

  • Il nome può contenere lettere, cifre, spazi, trattini e trattini bassi.
  • Il nome visualizzato della cartella deve iniziare e terminare con una lettera o un numero.
  • Il nome deve essere compreso tra 3 e 30 caratteri.
  • Il nome deve essere diverso da tutte le altre cartelle che condividono l'elemento padre.

Per creare una cartella:

Console

Le cartelle possono essere create nell'interfaccia utente utilizzando la sezione "Gestisci progetti e cartelle".

  1. Vai alla pagina Gestisci risorse nella console Trusted Cloud :

    Apri la pagina Gestisci risorse

  2. Assicurati che il nome della risorsa dell'organizzazione sia selezionato nell'elenco a discesa Organizzazione nella parte superiore della pagina.

  3. Fai clic su Crea cartella e seleziona una delle seguenti opzioni:

  4. Nella casella Nome cartella, inserisci il nome della nuova cartella.

  5. In Destinazione, fai clic su Sfoglia, quindi seleziona la risorsa o la cartella dell'organizzazione in cui vuoi creare la nuova cartella.

    1. Fai clic su Crea.

gcloud

Le cartelle possono essere create in modo programmatico utilizzando Google Cloud CLI.

Per creare una cartella nella risorsa organizzazione utilizzando lo strumento a riga di comando gcloud, esegui questo comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Per creare una cartella la cui cartella principale è un'altra cartella:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della cartella. Due cartelle con la stessa cartella principale non possono condividere un nome visualizzato. Il nome visualizzato deve iniziare e terminare con una lettera o una cifra, può contenere lettere, cifre, spazi, trattini e trattini bassi e non può superare i 30 caratteri.
  • [ORGANIZATION_ID]è l'ID della risorsa organizzazione principale se la risorsa principale è una risorsa organizzazione.
  • [FOLDER_ID] è l'ID della cartella principale, se la principale è una cartella.

API

Le cartelle possono essere create con una richiesta API.

JSON della richiesta:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La richiesta curl Create Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dove:

  • [DISPLAY_NAME] è il nome visualizzato della nuova cartella, ad esempio "La mia fantastica cartella".
  • [ORGANIZATION_NAME] è il nome della risorsa dell'organizzazione in cui stai creando la cartella, ad esempio organizations/123.

La risposta Crea cartella:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La richiesta curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La risposta di Recupera operazione:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Concedere ruoli di amministratore della cartella

Per ciascuna delle cartelle create, concedi a uno o più utenti il ruolo di Amministratore cartella. A questi utenti verrà delegato il controllo amministrativo della cartella e della sotto-organizzazione che rappresenta.

Per configurare l'accesso alle cartelle, devi disporre del ruolo Amministratore IAM cartella o Amministratore cartella a livello principale.

Console

  1. Nella console Trusted Cloud , apri la pagina Gestisci risorse.

    Apri la pagina Gestisci risorse

  2. Fai clic sull'elenco a discesa Organizzazione in alto a sinistra e seleziona la risorsa dell'organizzazione.

  3. Seleziona la casella di controllo accanto al progetto per cui vuoi modificare le autorizzazioni.

    1. Nel riquadro Informazioni a destra, in Autorizzazioni, inserisci gli indirizzi email dei membri che vuoi aggiungere.

    2. Nell'elenco a discesa Seleziona un ruolo, seleziona il ruolo che vuoi concedere a questi membri.

    3. Fai clic su Aggiungi. Viene visualizzata una notifica per confermare l'aggiunta o l'aggiornamento del nuovo ruolo dei membri.

gcloud

Puoi configurare l'accesso alle cartelle in modo programmatico utilizzando Google Cloud CLI o l'API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

In alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dove:

  • [FOLDER_ID] è l'ID della nuova cartella.
  • [POLICY_FILE] è il percorso di un file di criteri per la cartella.

API

Il metodo setIamPolicy imposta il criterio di controllo dell'accesso su una cartella, sostituendo qualsiasi criterio esistente. Il campo resource deve essere il nome della risorsa della cartella, ad esempio folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La richiesta curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dove:

  • [FOLDER_NAME] è il nome della cartella per cui viene impostata la policy IAM, ad esempio folders/123.

Ogni amministratore cartella può quindi concedere agli utenti del dominio associato il ruolo Autore progetto.

Esempio

Il seguente diagramma illustra un'organizzazione con un dominio principale mantenuto isolato da un dominio secondario acquisito. Ciascuno dei due domini ha i propri account Google Workspace, con hypothetical.com come risorsa principale dell'organizzazione.

Diagramma della gerarchia