Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Hierarki resource

Halaman ini menjelaskan hierarki resource dan resource yang dapat dikelola menggunakan Resource Manager. Trusted Cloud by S3NS

Tujuan hierarki resource ada dua: Trusted Cloud

Menyediakan hierarki kepemilikan, yang mengikat siklus proses resource ke induk langsungnya dalam hierarki.
Menyediakan titik lampiran dan pewarisan untuk kontrol akses dan kebijakan organisasi.

Secara metafora, hierarki resource menyerupai sistem file yang ditemukan dalam sistem operasi tradisional sebagai cara untuk mengatur dan mengelola entity secara hierarkis. Trusted Cloud Umumnya, setiap resource memiliki tepat satu induk. Organisasi hierarkis resource ini memungkinkan Anda menetapkan kebijakan kontrol akses dan setelan konfigurasi pada resource induk, serta kebijakan dan setelan Identity and Access Management (IAM) diwariskan oleh resource turunan.

Trusted Cloud hierarki resource secara mendetail

Trusted Cloud resource diatur secara hierarkis. Semua resource kecuali resource tertinggi dalam hierarki memiliki tepat satu induk. Di tingkat terendah, resource layanan adalah komponen dasar yang membentuk semua layanan Trusted Cloud . Contoh resource layanan mencakup Virtual Machine (VM) Compute Engine, topik Pub/Sub, bucket Cloud Storage, instance App Engine. Semua resource tingkat yang lebih rendah ini memiliki resource project sebagai induknya, yang merepresentasikan mekanisme pengelompokan pertama dari hierarki resource. Trusted Cloud

Pelanggan Google Workspace dan Cloud Identity dapat membuat resource organisasi. Setiap akun Google Workspace atau Cloud Identity dikaitkan dengan satu resource organisasi. Jika resource organisasi ada, resource tersebut berada di bagian atas hierarki resource, dan semua resource yang menjadi milik organisasi dikelompokkan dalam resource organisasi. Trusted Cloud Hal ini memberikan visibilitas dan kontrol terpusat atas setiap resource yang menjadi milik resource organisasi.

Resource folder adalah mekanisme pengelompokan tambahan dan opsional antara resource organisasi dan resource project. Resource organisasi diperlukan sebagai prasyarat untuk menggunakan folder. Resource folder dan resource project turunannya dipetakan dalam resource organisasi.

Hierarki resource Trusted Cloud , terutama dalam bentuknya yang paling lengkap yang mencakup resource organisasi dan resource folder, memungkinkan perusahaan memetakan resource organisasi mereka ke Trusted Cloud dan menyediakan titik lampiran logis untuk kebijakan pengelolaan akses (IAM) dan kebijakan organisasi. Kebijakan izin, penolakan, dan organisasi diwariskan melalui hierarki, dan kebijakan yang efektif untuk setiap resource dalam hierarki adalah hasil dari kebijakan yang langsung diterapkan pada resource dan kebijakan yang diwarisi dari ancestor-nya.

Diagram berikut menunjukkan contoh hierarki resource secara lengkap: Trusted Cloud

Resource organisasi

Resource organisasi mewakili organisasi (misalnya, perusahaan) dan merupakan node root dalam hierarki resourceTrusted Cloud jika ada. Resource organisasi adalah ancestor hierarki resource folder dan project. Kebijakan izin dan penolakan yang diterapkan pada resource organisasi berlaku di seluruh hierarki pada semua resource dalam organisasi.

PenggunaTrusted Cloud tidak diwajibkan memiliki resource organisasi, tetapi beberapa fitur Resource Manager tidak akan dapat digunakan tanpa resource tersebut. Resource organisasi terkait erat dengan akun Google Workspace atau Cloud Identity. Saat pengguna yang memiliki akun Google Workspace atau Cloud Identity membuat resource project, resource organisasi akan otomatis disediakan untuknya. Trusted Cloud

Akun Google Workspace atau Cloud Identity hanya dapat memiliki satu resource organisasi yang disediakan. Setelah resource organisasi dibuat untuk domain, semua resource project Trusted Cloud baru yang dibuat oleh anggota domain akun akan menjadi milik resource organisasi secara default. Saat pengguna terkelola membuat resource project, persyaratannya adalah resource tersebut harus berada di resource organisasi tertentu. Jika pengguna menentukan resource organisasi dan mereka memiliki izin yang tepat, project akan ditetapkan ke organisasi tersebut. Jika tidak, secara default, nilai ini akan ditetapkan ke resource organisasi yang terkait dengan pengguna. Akun yang terkait dengan resource organisasi tidak dapat membuat resource project yang tidak terkait dengan resource organisasi.

Menautkan dengan akun Google Workspace atau Cloud Identity

Untuk mempermudah, kami akan merujuk ke Google Workspace yang berarti pengguna Google Workspace dan Cloud Identity.

Akun Google Workspace atau Cloud Identity mewakili perusahaan dan merupakan prasyarat untuk memiliki akses ke resource organisasi. Dalam konteks Trusted Cloud ini, layanan ini menyediakan pengelolaan identitas, mekanisme pemulihan, kepemilikan, dan pengelolaan siklus proses. Gambar di bawah menunjukkan hubungan antara akun Google Workspace, Cloud Identity, dan Trusted Cloud hierarki resource.

Admin super Google Workspace adalah orang yang bertanggung jawab atas verifikasi kepemilikan domain dan kontak dalam kasus pemulihan. Oleh karena itu, admin super Google Workspace diberi kemampuan untuk menetapkan peran IAM secara default. Tugas utama admin super Google Workspace terkait dengan Trusted Cloud adalah menetapkan peran IAM Administrator Organisasi kepada pengguna yang sesuai di domainnya. Hal ini akan menciptakan pemisahan antara Google Workspace dan tanggung jawab administrasi yang biasanya dicari pengguna. Trusted Cloud

Manfaat resource organisasi

Dengan resource organisasi, resource project menjadi milik organisasi Anda, bukan milik karyawan yang membuat project. Artinya, resource project tidak lagi dihapus saat karyawan keluar dari perusahaan; melainkan akan mengikuti siklus proses resource organisasi di Trusted Cloud by S3NS.

Selain itu, Administrator Organisasi memiliki kontrol terpusat atas semua resource. Mereka dapat melihat dan mengelola semua resource project perusahaan Anda. Penerapan ini berarti tidak boleh ada lagi project bayangan atau admin yang tidak sah.

Selain itu, Anda dapat memberikan peran di tingkat organisasi, yang diwarisi oleh semua resource project dan folder dalam resource organisasi. Misalnya, Anda dapat memberikan peran Admin Jaringan kepada tim jaringan di tingkat organisasi, sehingga mereka dapat mengelola semua jaringan di semua resource project di perusahaan Anda, alih-alih memberikan peran untuk semua resource project satu per satu.

Resource organisasi yang diekspos oleh Cloud Resource Manager API terdiri dari berikut:

ID resource organisasi, yang merupakan ID unik untuk organisasi.
Nama tampilan, yang dibuat dari nama domain utama di Google Workspace atau Cloud Identity.
Waktu pembuatan resource organisasi.
Waktu terakhir diubahnya resource organisasi.
Pemilik resource organisasi. Pemilik ditentukan saat membuat resource organisasi. Setelan ini tidak dapat diubah setelah ditetapkan. ID ini adalah ID pelanggan Google Workspace yang ditentukan dalam Directory API.

Cuplikan kode berikut menunjukkan struktur resource organisasi:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Kebijakan izin awal untuk resource organisasi yang baru dibuat memberikan peran Project Creator dan Billing Account Creator ke seluruh domain Google Workspace. Artinya, pengguna akan dapat terus membuat resource project dan akun penagihan seperti yang mereka lakukan sebelum resource organisasi ada. Tidak ada resource lain yang dibuat saat resource organisasi dibuat.

Resource folder

Resource folder secara opsional memberikan mekanisme pengelompokan dan batas isolasi tambahan antar-project. Suborganisasi dapat dilihat sebagai suborganisasi dalam resource organisasi. Resource folder dapat digunakan untuk membuat model berbagai entitas hukum, departemen, dan tim dalam suatu perusahaan. Misalnya, resource folder tingkat pertama dapat digunakan untuk mewakili departemen utama di resource organisasi Anda. Karena resource folder dapat berisi resource project dan folder lain, setiap resource folder dapat menyertakan subfolder lain untuk mewakili tim yang berbeda. Setiap folder tim dapat berisi sub-folder tambahan untuk mewakili aplikasi yang berbeda. Untuk mengetahui detail selengkapnya tentang penggunaan resource folder, lihat Membuat dan mengelola resource folder.

Jika resource folder ada di resource organisasi Anda dan Anda memiliki izin melihat yang sesuai, Anda dapat melihatnya dari konsol Trusted Cloud . Untuk mendapatkan petunjuk yang lebih mendetail, lihat Melihat atau mencantumkan resource folder dan project.

Resource folder memungkinkan pendelegasian hak administrasi. Oleh karena itu, kepemilikan penuh atas semua resource Trusted Cloud yang merupakan milik departemen terkait dapat diberikan kepada setiap pemimpin departemen. Demikian pula, akses ke resource dapat dibatasi berdasarkan resource folder, sehingga pengguna di satu departemen hanya dapat mengakses dan membuat resource Trusted Cloud dalam resource folder tersebut.

Cuplikan kode berikut menunjukkan struktur resource folder:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Seperti resource organisasi dan project, resource folder berfungsi sebagai titik pewarisan kebijakan untuk kebijakan izinkan, tolak, dan organisasi. Peran IAM yang diberikan pada resource folder secara otomatis diwarisi oleh semua resource project dan folder yang disertakan dalam folder tersebut.

Resource project

Resource project adalah entity pengelola tingkat dasar. Resource organisasi dan folder dapat berisi beberapa project. Resource project diperlukan untuk menggunakan Trusted Cloud by S3NS, dan menjadi dasar untuk membuat, mengaktifkan, dan menggunakan semua layananTrusted Cloud , mengelola API, mengaktifkan penagihan, menambahkan dan menghapus kolaborator, serta mengelola izin.

Semua resource project terdiri dari berikut ini:

Dua ID:
1. ID resource project, yang merupakan ID unik untuk resource project. Semua Trusted Cloud project ID otomatis diberi awalan s3ns:.
2. Nomor resource project, yang otomatis ditetapkan saat Anda membuat project. Kolom ini bersifat hanya baca.
Satu nama tampilan yang dapat diubah.
Status siklus proses resource project; misalnya, ACTIVE atau DELETE_REQUESTED.
Kumpulan label yang dapat digunakan untuk memfilter project.
Waktu saat resource project dibuat.

Cuplikan kode berikut menunjukkan struktur resource project:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Untuk berinteraksi dengan sebagian besar Trusted Cloud resource, Anda harus memberikan informasi resource project pengenal untuk setiap permintaan. Anda dapat mengidentifikasi resource project dengan dua cara: ID resource project, atau nomor resource project (projectId dan projectNumber dalam cuplikan kode).

ID resource project adalah nama yang disesuaikan yang Anda pilih saat membuat resource project. Jika Anda mengaktifkan API yang memerlukan resource project, Anda akan diarahkan untuk membuat resource project atau memilih resource project menggunakan ID resource project-nya. (Perhatikan bahwa string name, yang ditampilkan di UI, tidak sama dengan ID resource project.)

Nomor resource project dibuat secara otomatis oleh Trusted Cloud. ID resource project dan nomor resource project dapat ditemukan di dasbor resource project di konsol Trusted Cloud . Untuk mengetahui informasi tentang cara mendapatkan ID project dan tugas pengelolaan lainnya untuk resource project, lihat Membuat dan mengelola resource project.

Kebijakan IAM awal untuk resource project yang baru dibuat memberikan peran pemilik kepada pembuat project.

Mengizinkan dan menolak pewarisan kebijakan

Trusted Cloud by S3NS menawarkan IAM, yang memungkinkan Anda menetapkan akses terperinci ke resource Trusted Cloud by S3NS tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Dengan IAM, Anda dapat mengontrol siapa (pengguna) yang memiliki akses (peran) apa ke resource mana dengan menetapkan kebijakan izinkan dan tolak pada resource.

Anda dapat menetapkan kebijakan izinkan dan tolak pada resource organisasi, resource folder, dan resource project. Anda juga dapat menetapkan kebijakan izin pada beberapa resource layanan.

Resource mewarisi kebijakan resource induk. Jika Anda menetapkan kebijakan izinkan atau tolak di tingkat organisasi, kebijakan tersebut akan diwarisi oleh semua resource turunan. Jika Anda menetapkan kebijakan izin di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya.

Kebijakan izinkan atau tolak yang efektif untuk resource adalah gabungan dari kebijakan izinkan atau tolak yang ditetapkan pada resource dan kebijakan izinkan atau tolak yang diwarisi dari ancestor-nya. Pewarisan ini bersifat transitif. Untuk mengetahui informasi selengkapnya, lihat Evaluasi kebijakan.

Misalnya, dalam diagram hierarki resource sebelumnya, jika Anda menetapkan kebijakan izin di folder "Departemen Y" yang memberikan peran Admin Instance Compute Engine (roles/compute.instanceAdmin) kepada bob@example.com, maka Bob akan memiliki peran tersebut di "Project pengembangan", "Project pengujian", dan "Project produksi". Jika Anda menetapkan peran Admin Instance Compute Engine ke alice@example.com di "Test project", dia hanya dapat mengelola instance Compute Engine di project tersebut.

Peran selalu diwariskan. Jika Anda menghapus peran Admin Instance Compute Engine (roles/compute.instanceAdmin) dari Bob di "Test project", dia akan mewarisi peran tersebut dari folder "Department Y". Anda dapat menggunakan kebijakan penolakan untuk mencegah akun utama menggunakan izin yang diwariskan.

Kebijakan izinkan dan tolak diwariskan melalui hierarki Trusted Cloud resource. Jika Anda mengubah hierarki resource, hierarki kebijakan izinkan dan tolak juga akan berubah. Misalnya, memindahkan project ke resource organisasi akan memperbarui kebijakan izin dan penolakan project agar diwariskan dari kebijakan izin dan penolakan resource organisasi. Demikian pula, memindahkan resource project dari satu resource folder ke resource folder lain akan mengubah izin yang diwariskan. Izin yang diwarisi oleh resource project dari resource induk asli akan hilang saat resource project dipindahkan ke resource folder baru. Izin yang ditetapkan di resource folder tujuan akan diwarisi oleh resource project saat dipindahkan.