Google Cloud 資源階層結構提供有條理的方式來整理雲端資源。除了階層中的最高資源外,所有資源都只有一個父項。階層頂端是機構 (根層級),接著是資料夾 (選用,用於分組),然後是專案,其中包含實際的服務資源,例如 Compute Engine 虛擬機器和儲存空間值區。
使用結構化階層具有下列優點:
- 擁有權:將資源的生命週期繫結至直屬父項。專案屬於機構,而非建立專案的個別員工。如果員工離職,專案仍會維持有效且安全。
- 沿用:提供存取控管和組織政策的附加點,這些政策會沿著階層向下傳遞。您可以在較高層級 (例如機構或資料夾) 授予角色。所有子資源都會沿用這些角色,因此不必為每個專案手動設定權限。
下圖說明 Google Cloud 資源階層。
機構資源
機構資源代表實體 (例如公司),是Google Cloud 資源階層的根節點。這項服務提供下列主要功能:
- 機構是所有資料夾和專案資源的上層。
- 在這個層級套用的存取控管政策 (例如 Identity and Access Management (IAM) 角色) 和組織政策,會由機構中的所有資源繼承。
- 雖然並非所有 Google Cloud 使用者都必須具備機構資源,但使用特定 Resource Manager 功能時,機構資源是必要條件。
與 Google Workspace 或 Cloud Identity 帳戶建立關聯
如要存取機構資源,必須先擁有 Google Workspace 或 Cloud Identity 帳戶。
- Google Workspace 或 Cloud Identity 帳戶只能與一個機構資源建立關聯。
- 擁有 Google Workspace 或 Cloud Identity 帳戶的使用者建立 Google Cloud 專案資源時,系統就會自動為其佈建機構資源。
下圖顯示 Google Workspace 帳戶、Cloud Identity 與 Google Cloud 資源階層之間的連結。
Google Workspace 超級管理員負責網域擁有權的驗證,並擔任復原需求的聯絡人。因此,Google Workspace 超級管理員在預設上可以指派 IAM 角色。Google Workspace 超級管理員主要的 Google Cloud 職責是將機構管理員 IAM 角色指派給網域中的適當使用者。以便做到使用者普遍要求的 Google Workspace 和管理職責區分。 Google Cloud
受管理使用者的專案建立規則
網域擁有機構資源後,專案建立作業就會受到嚴格規則限制:
- 受管理的使用者 (帳戶網域的成員) 必須在機構內建立專案。與機構資源相關聯的帳戶無法建立與機構資源無關的專案資源。
- 根據預設,新專案會歸屬於與使用者相關聯的機構。
- 如果使用者具備適當權限,可以在建立專案時指定其他機構資源;否則,系統會預設為其所屬機構。
機構資源的優點
有了機構資源,專案資源是屬於您的機構,而不是建立專案的員工。這表示員工離職時,貴機構仍保有專案資源。專案資源會遵循 Google Cloud上的機構資源生命週期。
此外,機構管理員可以集中控管所有資源。他們可以查看及管理貴公司的所有專案資源。這樣做可避免影子專案或問題管理員。
您也可以在機構層級授予角色,該機構資源下的所有專案和資料夾資源都會沿用。舉例來說,您可以在機構層級為網路團隊授予網路管理員角色,允許他們管理公司中所有專案資源中的所有網路,而不用為每個專案資源授予角色。
機構資源是由下列屬性定義:
- 機構資源 ID,這是機構的唯一識別碼。
- 顯示名稱,是從 Google Workspace 或 Cloud Identity 的主網域名稱產生。
- 機構資源的建立時間。
- 機構資源的最後修改時間。
- 機構資源的擁有者,也就是 Directory API 中的 Google Workspace 客戶 ID。 您會在建立機構資源時指定擁有者,且無法變更。
以下程式碼片段顯示機構資源的結構:
{
"creationTime": "2020-01-07T21:59:43.314Z",
"displayName": "my-organization",
"lifecycleState": "ACTIVE",
"name": "organizations/34739118321",
"owner": {
"directoryCustomerId": "C012ba234"
}
}
新機構資源的初始允許政策會將「專案建立者」和「帳單帳戶建立者」角色授予整個 Google Workspace 網域。這表示使用者能夠像在機構資源建立之前那樣,繼續建立專案資源及帳單帳戶。建立機構資源時,不會建立其他資源。允許、拒絕和組織政策都是透過階層沿用,階層中每個資源的有效政策,是直接套用於資源的政策,以及從其祖系沿用的政策。
資料夾資源
資料夾資源是組織資源和專案資源之間的可選分組機制。您必須擁有機構資源,才能使用資料夾。資料夾資源及其子項專案資源位於機構資源下。
資料夾資源可為專案劃定明確的分界。這些組織單位在機構資源中扮演子機構的角色。資料夾資源可用來為公司內的不同法人、部門和團隊建立模型。舉例來說,第一層級的資料夾可以代表機構中的主要部門。由於資料夾可包含專案和其他資料夾,每個資料夾都能包含子資料夾,用來代表不同團隊。每個團隊資料夾可以包含其他子資料夾來代表不同的應用程式。如要進一步瞭解如何使用資料夾資源,請參閱「建立資料夾」。
如果機構資源有資料夾資源,且您具有適當的檢視權限,就可以在 Google Cloud 控制台中檢視這些資源。如需詳細指示,請參閱查看、更新及刪除資料夾。
資料夾資源可讓您委派管理權限。舉例來說,您可以授予每個部門主管其部門中所有 Google Cloud 資源的完全擁有權。同樣地,資料夾資源可以限制資源存取權,因此某一部門的使用者只能存取和建立該資料夾資源中的資源。 Google Cloud
以下程式碼片段顯示資料夾資源的結構:
{
"createTime": "2030-01-07T21:59:43.314Z",
"displayName": "Engineering",
"lifecycleState": "ACTIVE",
"name": "folders/634792535758",
"parent": "organizations/34739118321"
}
如同機構和專案資源,資料夾資源也能做為允許、拒絕和組織政策的政策沿用點。資料夾資源中授予的 IAM 角色,會由該資料夾中的所有專案和資料夾資源繼承。
專案資源
專案資源是基礎機構實體。機構和資料夾資源可包含多個專案。您需要專案資源才能使用 Google Cloud。專案是建立、啟用及使用所有Google Cloud 服務的基本要件,例如管理 API、啟用計費功能、新增及移除協作者,以及管理權限。
所有專案資源都包含以下項目:
- 兩個 ID:
- 專案資源 ID,這是專案資源的唯一識別碼。
- 專案資源編號,在您建立專案時自動指派。它是唯讀的。
- 一個可變動的顯示名稱。
- 專案資源的生命週期狀態,例如 ACTIVE 或 DELETE_REQUESTED。
- 可用來篩選專案的標籤集合。
- 專案資源的建立時間。
以下程式碼片段顯示專案資源的結構:
{
"createTime": "2020-01-07T21:59:43.314Z",
"lifecycleState": "ACTIVE",
"name": "my-project",
"parent": {
"id": "634792535758",
"type": "folder"
},
"projectId": "my-project",
"labels": {
"my-label": "prod"
},
"projectNumber": "464036093014"
}
如要與多數 Google Cloud 資源互動,每個要求都必須提供專案資源 ID。您可以透過專案資源 ID 或專案資源編號,識別專案資源。在程式碼片段中,這些是 projectId 和 projectNumber。
專案資源 ID 是您在建立專案時選擇的自訂名稱。如果您啟用了需要專案的 API,可以建立新專案,或使用專案資源 ID 選取現有專案。UI 中顯示的 name 字串與專案資源 ID 不同。
Google Cloud 自動產生專案資源編號。您可以在Google Cloud 控制台中,前往專案的資訊主頁,查看專案資源 ID 和編號。如要瞭解如何取得專案 ID 及其他專案資源管理工作,請參閱「建立專案」。
在新建立的專案資源上,初始 IAM 政策會將擁有者角色授予專案的建立者。
所有使用者 (包括免費試用使用者、免費方案使用者,以及 Google Workspace 和 Cloud Identity 客戶) 都能建立專案資源。Google Cloud 免費計畫使用者只能在專案中建立專案資源和服務資源。專案資源可以位於階層頂端,但前提是必須由免費試用使用者或免費層級使用者建立。Google Workspace 和 Cloud Identity 客戶可以存取 Google Cloud 資源階層的其他功能,例如機構和資料夾資源。詳情請參閱 Cloud Identity 總覽。階層頂端的專案資源沒有父項資源,但一旦為網域建立機構資源,即可將專案資源遷移至該機構資源。如要進一步瞭解如何遷移專案資源,請參閱「在組織資源之間遷移專案」。