Halaman ini diterjemahkan oleh Cloud Translation API.

Hierarki resource

Halaman ini menjelaskan hierarki resource Google Cloud dan resource yang dapat dikelola menggunakan Resource Manager.

Tujuan hierarki resource Google Cloud ada dua:

Memberikan hierarki kepemilikan, yang mengikat siklus proses resource ke induk langsungnya dalam hierarki.
Berikan titik lampiran dan pewarisan untuk kontrol akses dan kebijakan organisasi.

Secara metafora, hierarki resource Google Cloud menyerupai sistem file yang ditemukan dalam sistem operasi tradisional sebagai cara untuk mengatur dan mengelola entity secara hierarkis. Umumnya, setiap resource memiliki tepat satu induk. Dengan pengaturan hierarkis resource ini, Anda dapat menetapkan kebijakan kontrol akses dan setelan konfigurasi pada resource induk, serta kebijakan dan setelan Identity and Access Management (IAM) diwarisi oleh resource turunan.

Hierarki resource Google Cloud secara mendetail

Resource Google Cloud dikelola secara hierarkis. Semua resource, kecuali resource tertinggi dalam hierarki, memiliki tepat satu induk. Pada tingkat terendah, resource layanan adalah komponen dasar yang membentuk semua layanan Google Cloud. Contoh resource layanan mencakup Virtual Machine (VM) Compute Engine, topik Pub/Sub, bucket Cloud Storage, instance App Engine. Semua resource level lebih rendah ini memiliki resource project sebagai induknya, yang mewakili mekanisme pengelompokan pertama dalam hierarki resource Google Cloud.

Semua pengguna, termasuk pengguna uji coba gratis, pengguna paket gratis, serta pelanggan Google Workspace dan Cloud Identity, dapat membuat resource project. Pengguna Program Gratis Google Cloud hanya dapat membuat resource project dan resource layanan dalam project. Resource project dapat berada di hierarki teratas, tetapi hanya jika dibuat oleh pengguna uji coba gratis atau pengguna tingkat gratis. Pelanggan Google Workspace dan Cloud Identity memiliki akses ke fitur tambahan hierarki resource Google Cloud, seperti resource folder dan organisasi. Pelajari lebih lanjut di ringkasan Cloud Identity. Resource project di bagian atas hierarki tidak memiliki resource induk, tetapi dapat dimigrasikan ke resource organisasi setelah dibuat untuk domain. Untuk detail selengkapnya tentang memigrasikan resource project, lihat Memigrasikan resource project.

Pelanggan Google Workspace dan Cloud Identity dapat membuat resource organisasi. Setiap akun Google Workspace atau Cloud Identity dikaitkan dengan satu resource organisasi. Jika ada, resource organisasi berada di bagian atas hierarki resource Google Cloud, dan semua resource milik suatu organisasi dikelompokkan ke dalam resource organisasi. Hal ini memberikan visibilitas dan kontrol terpusat atas setiap resource yang dimiliki oleh resource organisasi.

Resource folder adalah mekanisme pengelompokan tambahan opsional antara resource organisasi dan resource project. Resource organisasi diperlukan sebagai prasyarat untuk menggunakan folder. Resource folder dan resource project turunannya dipetakan di bawah resource organisasi.

Hierarki resource Google Cloud, khususnya dalam bentuknya yang paling lengkap yang mencakup resource organisasi dan resource folder, memungkinkan perusahaan memetakan resource organisasi mereka ke Google Cloud serta memberikan poin lampiran logis untuk kebijakan pengelolaan akses (IAM) dan Kebijakan organisasi. Kebijakan IAM dan organisasi diwariskan melalui hierarki, dan kebijakan yang efektif untuk setiap resource dalam hierarki adalah hasil dari kebijakan yang langsung diterapkan pada resource dan kebijakan yang diwarisi dari ancestornya.

Diagram di bawah menunjukkan contoh hierarki resource Google Cloud dalam bentuk lengkapnya:

Resource organisasi

Resource organisasi mewakili organisasi (misalnya, perusahaan) dan merupakan node root dalam hierarki resource Google Cloud jika ada. Resource organisasi adalah ancestor hierarkis dari folder dan resource project. Kebijakan kontrol akses IAM yang diterapkan pada resource organisasi berlaku di seluruh hierarki pada semua resource di organisasi.

Pengguna Google Cloud tidak diwajibkan memiliki resource organisasi, tetapi beberapa fitur Resource Manager tidak akan dapat digunakan tanpa resource tersebut. Resource organisasi terkait erat dengan akun Google Workspace atau Cloud Identity. Saat pengguna yang memiliki akun Google Workspace atau Cloud Identity membuat resource project Google Cloud, resource organisasi akan otomatis disediakan untuknya.

Akun Google Workspace atau Cloud Identity hanya dapat memiliki satu resource organisasi yang disediakan. Setelah resource organisasi dibuat untuk domain, semua resource project Google Cloud baru yang dibuat oleh anggota domain akun akan secara default menjadi milik resource organisasi. Saat pengguna terkelola membuat resource project, persyaratannya adalah resource harus ada di beberapa resource organisasi. Jika pengguna menentukan resource organisasi dan mereka memiliki izin yang tepat, project akan ditetapkan ke organisasi tersebut. Jika tidak, resource organisasi yang dikaitkan dengan pengguna akan ditetapkan secara default. Akun yang terkait dengan resource organisasi tidak dapat membuat resource project yang tidak terkait dengan resource organisasi.

Menautkan dengan akun Google Workspace atau Cloud Identity

Untuk mempermudah, kita akan menyebut Google Workspace, yang berarti pengguna Google Workspace dan Cloud Identity.

Akun Google Workspace atau Cloud Identity mewakili perusahaan dan merupakan prasyarat untuk memiliki akses ke resource organisasi. Dalam konteks Google Cloud, platform ini menyediakan pengelolaan identitas, mekanisme pemulihan, kepemilikan, dan pengelolaan siklus proses. Gambar di bawah menunjukkan link antara akun Google Workspace, Cloud Identity, dan hierarki resource Google Cloud.

Admin super Google Workspace adalah individu yang bertanggung jawab atas verifikasi kepemilikan domain dan kontak dalam kasus pemulihan. Karena alasan ini, admin super Google Workspace diberi kemampuan untuk menetapkan peran IAM secara default. Tugas utama admin super Google Workspace terkait dengan Google Cloud adalah menetapkan peran Organization Administrator IAM kepada pengguna yang sesuai di domain mereka. Hal ini akan menciptakan pemisahan antara tanggung jawab administrasi Google Workspace dan Google Cloud yang biasanya dicari oleh pengguna.

Manfaat resource organisasi

Dengan resource organisasi, resource project menjadi milik organisasi Anda, bukan karyawan yang membuat project. Artinya, resource project tidak lagi dihapus saat karyawan keluar dari perusahaan, tetapi akan mengikuti siklus proses resource organisasi di Google Cloud.

Selain itu, Administrator Organisasi memiliki kontrol terpusat atas semua resource. Mereka dapat melihat dan mengelola semua sumber daya proyek perusahaan Anda. Penerapan ini berarti tidak ada lagi project bayangan atau admin jahat.

Selain itu, Anda dapat memberikan peran di tingkat organisasi, yang diwarisi oleh semua resource project dan folder di bagian resource organisasi. Misalnya, Anda dapat memberikan peran Network Admin kepada tim jaringan di level organisasi, sehingga mereka dapat mengelola semua jaringan di semua resource project dalam perusahaan, bukan memberi mereka peran untuk semua resource project individual.

Resource organisasi yang diekspos oleh Cloud Resource Manager API terdiri dari hal berikut:

ID resource organisasi, yang merupakan ID unik untuk organisasi.
Nama tampilan, yang dibuat dari nama domain primer di Google Workspace atau Cloud Identity.
Waktu pembuatan resource organisasi.
Waktu resource organisasi terakhir diubah.
Pemilik resource organisasi. Pemilik ditentukan saat membuat resource organisasi. Setelah ditetapkan, nilainya tidak dapat diubah. Ini adalah ID pelanggan Google Workspace yang ditentukan dalam Directory API.

Cuplikan kode berikut menunjukkan struktur resource organisasi:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Kebijakan IAM awal untuk resource organisasi yang baru dibuat akan memberikan peran Project Creator dan Billing Account Creator ke seluruh domain Google Workspace. Artinya, pengguna dapat terus membuat resource project dan akun penagihan seperti sebelum resource organisasi tersedia. Tidak ada resource lain yang dibuat saat resource organisasi dibuat.

Resource folder

Resource folder secara opsional menyediakan mekanisme pengelompokan dan batas isolasi tambahan antar-project. Mereka dapat dilihat sebagai sub-organisasi dalam resource organisasi. Resource folder dapat digunakan untuk membuat model entitas hukum, departemen, dan tim yang berbeda dalam perusahaan. Misalnya, level pertama resource folder dapat digunakan untuk mewakili departemen utama di resource organisasi Anda. Karena resource folder dapat berisi resource project dan folder lain, setiap resource folder nantinya dapat menyertakan sub-folder lain untuk mewakili tim yang berbeda. Setiap folder tim dapat berisi sub-folder tambahan untuk mewakili aplikasi yang berbeda. Untuk mengetahui detail selengkapnya tentang penggunaan resource folder, lihat Membuat dan mengelola resource folder.

Jika resource folder ada di resource organisasi dan Anda memiliki izin melihat yang sesuai, Anda dapat melihatnya dari Konsol Google Cloud. Untuk petunjuk yang lebih detail, lihat Melihat atau mencantumkan folder dan resource project.

Resource folder memungkinkan delegasi hak administrasi. Jadi, misalnya, setiap kepala departemen dapat diberi kepemilikan penuh atas semua resource Google Cloud milik departemennya. Demikian pula, akses ke resource dapat dibatasi oleh resource folder, sehingga pengguna di satu departemen hanya dapat mengakses dan membuat resource Google Cloud dalam resource folder tersebut.

Cuplikan kode berikut menunjukkan struktur resource folder:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Seperti organisasi dan resource project, resource folder berfungsi sebagai titik warisan kebijakan untuk kebijakan organisasi dan IAM. Peran IAM yang diberikan pada resource folder akan otomatis diwarisi oleh semua resource project dan folder yang disertakan dalam folder tersebut.

Sumber daya proyek

Resource project adalah entity pengorganisasian tingkat dasar. Resource organisasi dan folder dapat berisi beberapa project. Resource project diperlukan untuk menggunakan Google Cloud, dan menjadi dasar untuk membuat, mengaktifkan, dan menggunakan semua layanan Google Cloud, mengelola API, mengaktifkan penagihan, menambah dan menghapus kolaborator, serta mengelola izin.

Semua resource project terdiri dari hal berikut:

Dua ID:
1. ID resource project, yang merupakan ID unik untuk resource project.
2. Nomor resource project, yang ditetapkan secara otomatis saat Anda membuat project. Mode ini hanya-baca.
Satu nama tampilan yang dapat diubah.
Status siklus proses resource project; misalnya, ACTIVE atau DELETE_REQUESTED.
Kumpulan label yang dapat digunakan untuk memfilter project.
Waktu saat resource project dibuat.

Cuplikan kode berikut menunjukkan struktur resource project:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Agar dapat berinteraksi dengan sebagian besar resource Google Cloud, Anda harus memberikan informasi resource project pengidentifikasi untuk setiap permintaan. Anda dapat mengidentifikasi resource project dengan salah satu dari dua cara berikut: ID resource project, atau nomor resource project (projectId dan projectNumber dalam cuplikan kode).

ID resource project adalah nama yang disesuaikan yang Anda pilih saat membuat resource project. Jika mengaktifkan API yang memerlukan resource project, Anda akan diarahkan untuk membuat resource project atau memilih resource project menggunakan ID resource project-nya. (Perhatikan bahwa string name, yang ditampilkan di UI, tidak sama dengan ID resource project.)

Nomor resource project otomatis dibuat oleh Google Cloud. ID resource project dan nomor resource project dapat ditemukan di dasbor resource project pada Konsol Google Cloud. Untuk mengetahui informasi tentang cara mendapatkan ID project dan tugas pengelolaan lainnya untuk resource project, lihat Membuat dan mengelola resource project.

Kebijakan IAM awal untuk resource project yang baru dibuat memberikan peran pemilik kepada pembuat project.

Pewarisan kebijakan IAM

Google Cloud menawarkan IAM, yang memungkinkan Anda menetapkan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Dengan IAM, Anda dapat mengontrol siapa (pengguna) yang memiliki akses (peran) ke resource tertentu dengan menetapkan kebijakan IAM pada resource.

Anda dapat menetapkan kebijakan IAM di level organisasi, level folder, level project, atau (dalam beberapa kasus) level resource. Resource mewarisi kebijakan resource induk. Jika Anda menetapkan kebijakan di level organisasi, kebijakan tersebut akan diwarisi oleh semua resource project dan folder turunannya. Jika Anda menetapkan kebijakan di level project, kebijakan tersebut akan diwarisi oleh semua resource turunannya.

Kebijakan yang efektif untuk resource adalah gabungan dari kebijakan yang ditetapkan pada resource dan kebijakan yang diwarisi dari ancestornya. Pewarisan ini bersifat transitif. Dengan kata lain, resource mewarisi kebijakan dari project, yang mewarisi kebijakan dari resource organisasi. Oleh karena itu, kebijakan tingkat resource organisasi juga berlaku di level resource.

Misalnya, dalam diagram hierarki resource di atas, jika Anda menetapkan kebijakan pada folder "Departemen Y" yang memberikan peran Project Editor ke bob@example.com, maka Bob akan memiliki peran editor pada project "Project pengembangan", "Project pengujian", dan "Project produksi". Sebaliknya, jika Anda menetapkan peran Instance Admin pada project "Test project" kepada alice@example.com, dia hanya akan dapat mengelola instance Compute Engine dalam project tersebut.

Peran selalu diwariskan, dan tidak ada cara untuk menghapus secara eksplisit izin untuk resource level lebih rendah yang diberikan pada level yang lebih tinggi dalam hierarki resource. Dengan contoh di atas, meskipun Anda menghapus peran Project Editor dari Bob pada "Test project", dia akan tetap mewarisi peran tersebut dari folder "Department Y", sehingga dia masih memiliki izin untuk peran tersebut di "Test project".

Hierarki kebijakan IAM mengikuti jalur yang sama dengan hierarki resource Google Cloud. Jika Anda mengubah hierarki resource, hierarki kebijakan juga akan berubah. Misalnya, memindahkan project ke resource organisasi akan memperbarui kebijakan IAM project agar mewarisi kebijakan IAM resource organisasi. Demikian pula, memindahkan resource project dari satu resource folder ke resource folder lainnya akan mengubah izin yang diwarisi. Izin yang diwarisi oleh resource project dari resource induk asli akan hilang saat resource project dipindahkan ke resource folder baru. Izin yang ditetapkan pada resource folder tujuan akan diwarisi oleh resource project saat dipindahkan.

Cobalah sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Mulai secara gratis