Mengelola banyak resource organisasi

Resource organisasi menetapkan kepemilikan project dan folder di bawahnya dalam hierarki resource Google Cloud Platform. Akun Google Workspace atau Cloud Identity Anda dikaitkan dengan tepat satu resource organisasi. Setiap akun Google Workspace atau Cloud Identity juga dikaitkan dengan domain utama, seperti example.com. Untuk mengetahui detail tentang cara menggunakan beberapa domain, lihat Menambahkan domain alias pengguna atau domain sekunder. Untuk mengetahui detail tentang cara mengubah domain primer untuk akun Google Workspace, lihat Mengubah domain primer untuk Google Workspace.

Sebaiknya gunakan folder di satu resource organisasi untuk sebagian besar kasus penggunaan. Jika Anda ingin mempertahankan sub-organisasi atau departemen dalam perusahaan Anda sebagai entitas terpisah tanpa administrasi pusat, Anda dapat menyiapkan beberapa akun Google Workspace atau Cloud Identity. Setiap akun akan memiliki satu resource organisasi yang dikaitkan dengan domain primer.

Efek penggunaan beberapa resource organisasi

Gunakan beberapa resource organisasi jika Anda tidak ingin pengguna dari satu akun Google Workspace atau Cloud Identity mengakses resource yang dibuat oleh pengguna dari akun Google Workspace atau Cloud Identity lain. Memisahkan resource ke dalam beberapa resource organisasi akan menimbulkan beberapa konsekuensi:

  • Secara default, tidak ada satu pengguna pun yang akan memiliki visibilitas dan kontrol terpusat atas semua resource.

  • Kebijakan yang umum di seluruh sub-organisasi harus direplikasi di setiap resource organisasi.

  • Memindahkan folder dari satu resource organisasi ke resource organisasi lain bukan merupakan operasi yang didukung. Untuk mengetahui informasi selengkapnya, lihat Memigrasikan project di antara resource organisasi.

  • Setiap resource organisasi memerlukan akun Google Workspace. Oleh karena itu, pengoperasian beberapa resource organisasi memerlukan beberapa akun Google Workspace dan kemampuan untuk mengelola identitas di seluruh akun tersebut.

Menggunakan satu resource organisasi

Sebagian besar organisasi yang ingin mempertahankan sub-organisasi terpisah dapat melakukannya menggunakan satu resource organisasi dan folder. Jika Anda memiliki satu akun Google Workspace, akun ini dipetakan ke resource organisasi, dan sub-organisasi dipetakan ke folder.

Memilih Administrator Organisasi

Pilih satu atau beberapa pengguna untuk bertindak sebagai Administrator Organisasi IAM bagi resource organisasi.

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Pada dialog Pilih dari, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahkan Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Tambahkan, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Mengambil kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super dan administrator Google Workspace atau Cloud Identity telah ditetapkan. Google Cloud

    • Mendelegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Membuat folder untuk sub-organisasi

Buat folder di resource organisasi untuk setiap sub-organisasi.

Untuk membuat folder, Anda harus memiliki peran Admin Folder atau Pembuat Folder di tingkat induk. Misalnya, untuk membuat folder di tingkat organisasi, Anda harus memiliki salah satu peran ini di tingkat organisasi.

Sebagai bagian dari pembuatan folder, Anda harus memberinya nama. Nama folder harus memenuhi persyaratan berikut:

  • Nama dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah.
  • Nama tampilan folder harus diawali dan diakhiri dengan huruf atau angka.
  • Panjang nama harus antara 3 hingga 30 karakter.
  • Nama harus berbeda dari semua folder lain yang berbagi induknya.

Untuk membuat folder:

Konsol

Folder dapat dibuat di UI menggunakan bagian "Kelola Project dan Folder".

  1. Buka halaman Manage resources di konsol Google Cloud :

    Buka halaman Kelola resource

  2. Pastikan nama resource organisasi Anda dipilih di menu drop-down organisasi di bagian atas halaman.

  3. Klik Buat folder, lalu pilih salah satu opsi berikut:

    • Folder standar: Resource folder standar.
    • Folder yang mematuhi kebijakan: Folder Assured Workloads, yang menyediakan kontrol peraturan, regional, atau berdaulat tambahan untuk Google Cloud resource. Jika opsi ini dipilih, Anda akan diarahkan ke Assured Workloads untuk membuat folder.

  4. Di kotak Nama folder, masukkan nama folder baru Anda.

  5. Di bagian Tujuan, klik Jelajahi, lalu pilih folder atau resource organisasi tempat Anda ingin membuat folder baru.

    1. Klik Buat.

gcloud

Folder dapat dibuat secara terprogram menggunakan Google Cloud CLI.

Untuk membuat folder di resource organisasi menggunakan alat command line gcloud, jalankan perintah berikut.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Untuk membuat folder yang induknya adalah folder lain:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dengan:

  • [DISPLAY_NAME] adalah nama tampilan folder. Tidak ada dua folder dengan induk yang sama yang dapat berbagi nama tampilan. Nama tampilan harus diawali dan diakhiri dengan huruf atau angka, dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah, serta tidak boleh lebih dari 30 karakter.
  • [ORGANIZATION_ID]adalah ID resource organisasi induk jika induk adalah resource organisasi.
  • [FOLDER_ID] adalah ID folder induk, jika induknya adalah folder.

API

Folder dapat dibuat dengan permintaan API.

JSON permintaan:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Permintaan curl Buat Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dengan:

  • [DISPLAY_NAME] adalah nama tampilan folder baru, misalnya "My Awesome Folder".
  • [ORGANIZATION_NAME] adalah nama resource organisasi tempat Anda membuat folder, misalnya organizations/123.

Respons Buat Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Permintaan curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respons Get Operation:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Memberikan peran administrator folder

Untuk setiap folder sub-organisasi yang Anda buat, berikan peran Admin Folder kepada satu atau beberapa pengguna. Pengguna ini akan memiliki kontrol administratif atas folder dan sub-organisasi yang diwakilinya.

Untuk mengonfigurasi akses ke folder, Anda harus memiliki peran Administrator IAM Folder atau Admin Folder di tingkat induk.

Konsol

  1. Di Google Cloud console, buka halaman Manage Resources.

    Buka halaman Kelola Resource

  2. Klik menu drop-down Organisasi di kiri atas, lalu pilih resource organisasi Anda.

  3. Centang kotak di samping project yang izinnya ingin Anda ubah.

    1. Di Panel info di sisi kanan, di bagian Izin, masukkan alamat email anggota yang ingin Anda tambahkan.

    2. Di menu drop-down Select a role, pilih peran yang ingin Anda berikan kepada anggota tersebut.

    3. Klik Tambahkan. Notifikasi akan muncul untuk mengonfirmasi penambahan atau pembaruan peran baru anggota.

gcloud

Anda dapat mengonfigurasi akses ke Folder secara terprogram menggunakan Google Cloud CLI atau API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Sebagai alternatif:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dengan:

  • [FOLDER_ID] adalah ID folder baru.
  • [POLICY_FILE] adalah jalur ke file kebijakan untuk folder.

API

Metode setIamPolicy menetapkan kebijakan kontrol akses pada folder, menggantikan kebijakan yang ada. Kolom resource harus berupa nama resource folder, misalnya, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Permintaan curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dengan:

  • [FOLDER_NAME] adalah nama folder yang kebijakan IAM-nya sedang ditetapkan, misalnya folders/123.

Membatasi peran suborganisasi

Setiap Admin Folder dapat membatasi peran Project Creator untuk anggota sub-organisasinya. Mereka juga dapat menghapus domain dari peran Project Creator dalam kebijakan izinkan resource organisasi.

Administrator super Google Workspace memiliki hak istimewa Administrator Organisasi yang tidak dapat dibatalkan. Admin super ini biasanya mengelola identitas dan kebijakan identitas, bukan mengelola resource Google Cloud dan kebijakan resource.

Konsol

Untuk menghapus peran yang ditetapkan kepada pengguna secara default menggunakan konsol Google Cloud :

  1. Buka halaman Manage resources di konsol Google Cloud :

    Buka halaman Kelola resource

  2. Klik menu drop-down Organisasi di bagian atas halaman, lalu pilih resource organisasi Anda.

  3. Centang kotak untuk resource organisasi yang izinnya ingin Anda ubah. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, lihat petunjuk tentang cara mencabut peran melalui halaman IAM.

  4. Di Panel Info sisi kanan, di bagian Izin, klik untuk meluaskan peran yang ingin Anda hapus penggunanya.

  5. Di bagian daftar peran yang diperluas, di samping akun utama yang ingin Anda hapus dari peran, klik hapus. Screenshot UI

  6. Pada dialog Remove principal? yang muncul, klik Remove untuk mengonfirmasi penghapusan peran dari akun utama yang ditentukan.

  7. Ulangi dua langkah di atas untuk setiap peran yang ingin Anda hapus.

Contoh

Diagram berikut menggambarkan organisasi yang telah menggunakan folder untuk memisahkan dua departemen. Kepala departemen teknik dan keuangan memiliki kontrol administratif, dan pengguna lain dicegah membuat project.

Diagram hierarki

Mengelola beberapa organisasi dalam resource organisasi utama

Jika organisasi Anda memiliki beberapa akun Google Workspace, Anda akan memiliki beberapa resource organisasi secara default. Untuk mempertahankan visibilitas dan kontrol terpusat, Anda harus memilih satu resource organisasi sebagai resource organisasi utama. Administrator super akun Google Workspace yang terkait dengan resource organisasi utama Anda akan memiliki kontrol administratif atas semua resource, termasuk yang dibuat oleh pengguna dari akun Google Workspace lainnya. Pengguna dari akun Google Workspace tersebut akan diberi akses ke folder di resource organisasi utama, tempat mereka dapat membuat project.

Memilih Administrator Organisasi

Pilih satu atau beberapa pengguna untuk bertindak sebagai Administrator Organisasi IAM bagi resource organisasi.

Konsol

Untuk menambahkan Administrator Organisasi:

  1. Login ke konsol Google Cloud sebagai administrator super Google Workspace atau Cloud Identity, lalu buka halaman IAM & Admin:

    Buka halaman IAM & admin

  2. Pilih resource organisasi yang ingin Anda edit:

    1. Klik menu drop-down project di bagian atas halaman.

    2. Pada dialog Pilih dari, klik menu drop-down organisasi, lalu pilih resource organisasi yang ingin Anda tambahkan Administrator Organisasi.

    3. Pada daftar yang muncul, klik resource organisasi untuk membuka halaman Izin IAM.

  3. Klik Tambahkan, lalu masukkan alamat email satu atau beberapa pengguna yang ingin Anda tetapkan sebagai Administrator Organisasi.

  4. Di menu drop-down Select a role, pilih Resource Manager > Organization Administrator, lalu klik Save.

    Administrator Organisasi dapat melakukan hal berikut:

    • Mengambil kontrol penuh atas resource organisasi. Pemisahan tanggung jawab antara administrator super dan administrator Google Workspace atau Cloud Identity telah ditetapkan. Google Cloud

    • Mendelegasikan tanggung jawab atas fungsi penting dengan menetapkan peran IAM yang relevan.

Menghapus peran Project Creator

Hapus peran Project Creator dari resource organisasi untuk memastikan bahwa resource tidak dibuat di resource organisasi lain.

Konsol

Untuk menghapus peran yang ditetapkan kepada pengguna secara default menggunakan konsol Google Cloud :

  1. Buka halaman Manage resources di konsol Google Cloud :

    Buka halaman Kelola resource

  2. Klik menu drop-down Organisasi di bagian atas halaman, lalu pilih resource organisasi Anda.

  3. Centang kotak untuk resource organisasi yang izinnya ingin Anda ubah. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, lihat petunjuk tentang cara mencabut peran melalui halaman IAM.

  4. Di Panel Info sisi kanan, di bagian Izin, klik untuk meluaskan peran yang ingin Anda hapus penggunanya.

  5. Di bagian daftar peran yang diperluas, di samping akun utama yang ingin Anda hapus dari peran, klik hapus. Screenshot UI

  6. Pada dialog Remove principal? yang muncul, klik Remove untuk mengonfirmasi penghapusan peran dari akun utama yang ditentukan.

  7. Ulangi dua langkah di atas untuk setiap peran yang ingin Anda hapus.

Membuat folder untuk akun Google Workspace

Buat folder di resource organisasi untuk setiap akun Google Workspace.

Untuk membuat folder, Anda harus memiliki peran Admin Folder atau Pembuat Folder di tingkat induk. Misalnya, untuk membuat folder di tingkat organisasi, Anda harus memiliki salah satu peran ini di tingkat organisasi.

Sebagai bagian dari pembuatan folder, Anda harus memberinya nama. Nama folder harus memenuhi persyaratan berikut:

  • Nama dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah.
  • Nama tampilan folder harus diawali dan diakhiri dengan huruf atau angka.
  • Panjang nama harus antara 3 hingga 30 karakter.
  • Nama harus berbeda dari semua folder lain yang berbagi induknya.

Untuk membuat folder:

Konsol

Folder dapat dibuat di UI menggunakan bagian "Kelola Project dan Folder".

  1. Buka halaman Manage resources di konsol Google Cloud :

    Buka halaman Kelola resource

  2. Pastikan nama resource organisasi Anda dipilih di menu drop-down organisasi di bagian atas halaman.

  3. Klik Buat folder, lalu pilih salah satu opsi berikut:

    • Folder standar: Resource folder standar.
    • Folder yang mematuhi kebijakan: Folder Assured Workloads, yang menyediakan kontrol peraturan, regional, atau berdaulat tambahan untuk Google Cloud resource. Jika opsi ini dipilih, Anda akan diarahkan ke Assured Workloads untuk membuat folder.

  4. Di kotak Nama folder, masukkan nama folder baru Anda.

  5. Di bagian Tujuan, klik Jelajahi, lalu pilih folder atau resource organisasi tempat Anda ingin membuat folder baru.

    1. Klik Buat.

gcloud

Folder dapat dibuat secara terprogram menggunakan Google Cloud CLI.

Untuk membuat folder di resource organisasi menggunakan alat command line gcloud, jalankan perintah berikut.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Untuk membuat folder yang induknya adalah folder lain:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dengan:

  • [DISPLAY_NAME] adalah nama tampilan folder. Tidak ada dua folder dengan induk yang sama yang dapat berbagi nama tampilan. Nama tampilan harus diawali dan diakhiri dengan huruf atau angka, dapat berisi huruf, angka, spasi, tanda hubung, dan garis bawah, serta tidak boleh lebih dari 30 karakter.
  • [ORGANIZATION_ID]adalah ID resource organisasi induk jika induk adalah resource organisasi.
  • [FOLDER_ID] adalah ID folder induk, jika induknya adalah folder.

API

Folder dapat dibuat dengan permintaan API.

JSON permintaan:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Permintaan curl Buat Folder:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Dengan:

  • [DISPLAY_NAME] adalah nama tampilan folder baru, misalnya "My Awesome Folder".
  • [ORGANIZATION_NAME] adalah nama resource organisasi tempat Anda membuat folder, misalnya organizations/123.

Respons Buat Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Permintaan curl Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respons Get Operation:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Memberikan peran administrator folder

Untuk setiap folder yang dibuat, berikan peran Admin Folder kepada satu atau beberapa pengguna. Pengguna ini akan didelegasikan kontrol administratif atas folder dan sub-organisasi yang diwakilinya.

Untuk mengonfigurasi akses ke folder, Anda harus memiliki peran Administrator IAM Folder atau Admin Folder di tingkat induk.

Konsol

  1. Di Google Cloud console, buka halaman Manage Resources.

    Buka halaman Kelola Resource

  2. Klik menu drop-down Organisasi di kiri atas, lalu pilih resource organisasi Anda.

  3. Centang kotak di samping project yang izinnya ingin Anda ubah.

    1. Di Panel info di sisi kanan, di bagian Izin, masukkan alamat email anggota yang ingin Anda tambahkan.

    2. Di menu drop-down Select a role, pilih peran yang ingin Anda berikan kepada anggota tersebut.

    3. Klik Tambahkan. Notifikasi akan muncul untuk mengonfirmasi penambahan atau pembaruan peran baru anggota.

gcloud

Anda dapat mengonfigurasi akses ke Folder secara terprogram menggunakan Google Cloud CLI atau API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Sebagai alternatif:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dengan:

  • [FOLDER_ID] adalah ID folder baru.
  • [POLICY_FILE] adalah jalur ke file kebijakan untuk folder.

API

Metode setIamPolicy menetapkan kebijakan kontrol akses pada folder, menggantikan kebijakan yang ada. Kolom resource harus berupa nama resource folder, misalnya, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Permintaan curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dengan:

  • [FOLDER_NAME] adalah nama folder yang kebijakan IAM-nya sedang ditetapkan, misalnya folders/123.

Setiap Admin Folder kemudian dapat memberikan peran Project Creator kepada pengguna dari domain terkait.

Contoh

Diagram berikut mengilustrasikan organisasi dengan domain utama yang tetap terisolasi dari domain sekunder yang diakuisisi. Setiap domain memiliki akun Google Workspace-nya sendiri, dengan hypothetical.com sebagai resource organisasi utama.

Diagram hierarki