Checkliste für die Einrichtung von Google Cloud

Eine Organisationsressource in Google Cloud repräsentiert Ihr Unternehmen und dient als Knoten der obersten Ebene Ihrer Hierarchie. Zum Erstellen Ihrer Organisation richten Sie einen Google Identity-Dienst ein und verknüpfen ihn mit Ihrer Domain. Wenn Sie diesen Vorgang abgeschlossen haben, wird automatisch eine Organisationsressource erstellt.

Eine Übersicht über die Organisationsressource finden Sie hier:

• Organisationsressourcen verwalten.
• Best Practices für die Planung von Konten und Organisationen

Wer führt diese Aufgabe aus?

Die folgenden beiden Administratoren führen diese Aufgabe aus:

• Ein Identitätsadministrator, der für den rollenbasierten Zugriff zuständig ist. Sie weisen diese Person dem Cloud Identity-Super-Admin zu. Weitere Informationen zum Super Admin-Nutzer finden Sie unter Vordefinierte Administratorrollen.

• Sie sind ein Domainadministrator mit Zugriff auf den Domainhost des Unternehmens. Diese Person bearbeitet im Rahmen der Domainbestätigung Ihre Domaineinstellungen, z. B. DNS-Konfigurationen.

Was Sie in dieser Aufgabe tun

• Richten Sie Cloud Identity ein, falls Sie dies noch nicht getan haben. Dort erstellen Sie ein verwaltetes Nutzerkonto für Ihren Super Admin-Nutzer.
• Verknüpfen Sie Cloud Identity mit Ihrer Domain (z. B. example.com).
• Bestätigen Sie Ihre Domain. Dadurch wird der Stammknoten der Ressourcenhierarchie erstellt. Dieser wird als Organisationsressource bezeichnet.

Warum wir diese Aufgabe empfehlen

Im Rahmen Ihrer Google Cloud-Grundlage müssen Sie Folgendes konfigurieren:

• Einen Google-Identitätsdienst zur zentralen Verwaltung von Identitäten
• Eine Organisationsressource, die den Stamm Ihrer Hierarchie und die Zugriffssteuerung erstellt.

Optionen für den Google Identity-Dienst

Sie verwalten einen oder beide der folgenden Google-Identitätsdienste, um Anmeldedaten für Google Cloud-Nutzer zu verwalten:

• Cloud Identity: Nutzer und Gruppen zentral verwalten Sie können Identitäten zwischen Google und anderen Identitätsanbietern verbinden. Weitere Informationen finden Sie unter Cloud Identity – Übersicht.
• Google Workspace: Verwaltet Nutzer und Gruppen und bietet Zugriff auf Produkte für die Produktivität und Zusammenarbeit wie Gmail und Google Drive. Weitere Informationen finden Sie unter Google Workspace.

Ausführliche Informationen zur Identitätsplanung finden Sie unter Onboarding-Prozess für Ihre Unternehmensidentitäten planen.

Hinweise

Informationen zur Verwaltung eines Super Admin-Kontos finden Sie unter Best Practices für Super Admin-Konten.

Identitätsanbieter konfigurieren und Domain bestätigen

Die Schritte in dieser Aufgabe hängen davon ab, ob Sie ein neuer oder bestehender Kunde sind. Finden Sie die Option, die Ihren Anforderungen entspricht:

• Neuer Kunde: Richten Sie Cloud Identity ein, bestätigen Sie Ihre Domain und erstellen Sie Ihre Organisation.

• Bestehender Google Workspace-Kunde: Verwenden Sie Google Workspace als Identitätsanbieter für Nutzer, die auf Google Workspace und Google Cloud zugreifen. Wenn Sie Nutzer erstellen möchten, die nur auf Google Cloud zugreifen, aktivieren Sie Cloud Identity.

• Vorhandener Cloud Identity-Kunde: Prüfen Sie Ihre Domain, ob die Organisation erstellt wurde und ob Cloud Identity aktiviert ist.

Nächste Schritte

Erstellen Sie Gruppen und fügen Sie Mitglieder hinzu.

In dieser Aufgabe erstellen Sie Nutzergruppen und verwaltete Nutzerkonten für die Administratoren in Ihrer Google Cloud-Organisation.

Weitere Informationen zur Zugriffsverwaltung in Google Cloud finden Sie hier:

• Übersicht: Identity and Access Management (IAM).
• Best Practices finden Sie unter Identität und Zugriff verwalten.

Hinweise

Nutzer suchen und migrieren, die bereits Google-Konten haben. Ausführliche Informationen finden Sie unter Nutzer mit nicht verwalteten Konten hinzufügen.

Wer führt diese Aufgabe aus?

Ein Identitätsadministrator, der für die Verwaltung des Zugriffs auf Personen oder Gruppen in Ihrer Organisation zuständig ist. Sie haben diese Person in der Aufgabe Organisation als Super Admin zugewiesen.

Was Sie in dieser Aufgabe tun

In dieser Aufgabe führen Sie die folgenden Nutzerverwaltungsverfahren aus:

• Erstellen Sie eine Gruppe für jede empfohlene administrative Funktion, einschließlich Organisation, Abrechnung und Netzwerkverwaltung.
• Nutzerkonten für Administratoren erstellen
• Weisen Sie Nutzern administrative Gruppen zu, die ihren Aufgaben entsprechen.

Sie können die Berechtigungen für jede Gruppe in einer späteren Aufgabe anpassen.

Warum wir diese Aufgabe empfehlen

Mit dieser Aufgabe können Sie die folgenden Best Practices für die Sicherheit implementieren:

• Prinzip der geringsten Berechtigung: Erteilen Sie Nutzern die Berechtigungen, die mindestens für ihre Rolle erforderlich sind, und entfernen Sie den Zugriff, sobald er nicht mehr benötigt wird.

• Rollenbasierte Zugriffssteuerung (RBAC): Weisen Sie Nutzergruppen Berechtigungen gemäß ihrer Jobrolle zu. Fügen Sie einzelnen Nutzerkonten keine Berechtigungen hinzu.

Sie können Gruppen verwenden, um IAM-Rollen effizient auf eine Sammlung von Nutzern anzuwenden. Diese Vorgehensweise vereinfacht die Zugriffsverwaltung.

Administrative Gruppen erstellen

Eine Gruppe ist eine benannte Sammlung von Google-Konten und Dienstkonten. Jede Gruppe hat eine eindeutige E-Mail-Adresse wie gcp-billing-admins@beispiel.de. Sie erstellen Gruppen, um Nutzer zu verwalten und IAM-Rollen in großem Umfang anzuwenden.

Die folgenden Gruppen werden empfohlen, um die Kernfunktionen Ihrer Organisation zu verwalten und die Google Cloud-Einrichtung abzuschließen.

Gruppe	Beschreibung
gcp-organization-admins	Alle Organisationsressourcen verwalten. Weisen Sie diese Rolle nur Ihren vertrauenswürdigsten Nutzern zu.
gcp-billing-admins	Rechnungskonten einrichten und Nutzung überwachen
gcp-network-admins	Erstellen von Netzwerken, Subnetzen, Firewallregeln und Netzwerkgeräten wie Cloud Router, Cloud VPN und Lastenausgleichsmodulen
gcp-logging-admins	Verwenden Sie alle Cloud Logging-Features.
gcp-logging-viewers	Lesezugriff auf eine Teilmenge von Logs.
gcp-monitoring-admins	Sicherheitsrichtlinien für die gesamte Organisation, einschließlich Zugriffsverwaltung und Organisationseinschränkungsrichtlinien, festlegen und verwalten. Weitere Informationen zur Planung Ihrer Google Cloud-Sicherheitsinfrastruktur finden Sie im Blueprint zu Google Cloud-Unternehmensgrundlagen.
gcp-security-admins	Sicherheitsrichtlinien für die gesamte Organisation, einschließlich Zugriffsverwaltung und Organisationsrichtlinien, festlegen und verwalten.
gcp-developers	Entwerfen, programmieren und testen Sie Anwendungen.
gcp-devops	End-to-End-Pipelines erstellen oder verwalten, die Continuous Integration und Continuous Delivery, Monitoring und Systembereitstellung unterstützen.

So erstellen Sie administrative Gruppen:

1. Melden Sie sich in der Google Cloud Console als Super Admin-Konto an, das Sie in der Aufgabe Organisation erstellt haben.

2. Gehen Sie zu Google Cloud-Einrichtung: Nutzer und Gruppen.

   Zu „Nutzer und Gruppen“

3. Prüfen Sie die Aufgabendetails und klicken Sie auf Nutzer und Gruppen fortsetzen.

4. Prüfen Sie die Liste der empfohlenen administrativen Gruppen und führen Sie dann einen der folgenden Schritte aus:

   • Klicken Sie zum Erstellen aller empfohlenen Gruppen auf Alle Gruppen erstellen.
   • Wenn Sie eine Teilmenge der empfohlenen Gruppen erstellen möchten, klicken Sie in den ausgewählten Zeilen auf Erstellen.

5. Klicken Sie auf Weiter.

Nutzer mit Administratorzugriff erstellen

Wir empfehlen, Nutzer hinzuzufügen, die die Organisations-, Netzwerk-, Abrechnungs- und anderen Einrichtungsverfahren abschließen. Sie können weitere Nutzer hinzufügen, nachdem Sie den Google Cloud-Einrichtungsvorgang abgeschlossen haben.

So fügen Sie Nutzer mit Administratorzugriff hinzu, die Google Cloud-Einrichtungsaufgaben ausführen:

1. Privatnutzerkonten zu verwalteten Nutzerkonten migrieren, die von Cloud Identity gesteuert werden. Eine ausführliche Anleitung finden Sie hier:

   • Privatnutzerkonten migrieren
   • Nutzer mit nicht verwalteten Konten hinzufügen

2. Melden Sie sich mit einem Super-Admin-Konto in der Google-Admin-Konsole an.

3. Verwenden Sie eine der folgenden Optionen, um Nutzer hinzuzufügen:

   • Weitere Informationen finden Sie im Hilfeartikel Mehrere Nutzer über eine CSV-Datei hinzufügen oder aktualisieren.
   • Informationen zum Hinzufügen einzelner Nutzer finden Sie unter Konto für neue Nutzer hinzufügen.

4. Wenn Sie alle Nutzer hinzugefügt haben, kehren Sie zu Google Cloud-Einrichtung: Nutzer und Gruppen (Nutzer erstellen) zurück.

5. Klicken Sie auf Weiter.

Administrative Nutzer zu Gruppen hinzufügen

Fügen Sie die Mitglieder, die Sie erstellt haben, zu administrativen Gruppen hinzu, die ihren Aufgaben entsprechen.

1. Lesen Sie unter Google Cloud-Einrichtung: Nutzer und Gruppen (Nutzer zu Gruppen hinzufügen) die Schrittdetails.

2. Gehen Sie in jeder Gruppenzeile so vor:

   1. Klicken Sie auf Mitglieder hinzufügen.
   2. Geben Sie die E‑Mail-Adresse des Nutzers ein.

   3. Wählen Sie in der Drop-down-Liste Gruppenrolle die Einstellungen für die Gruppenberechtigungen des Nutzers aus. Weitere Informationen finden Sie unter Festlegen, wer Beiträge ansehen, posten und moderieren darf.

      Jedes Mitglied übernimmt alle IAM-Rollen, die Sie einer Gruppe zuweisen, unabhängig von der ausgewählten Gruppenrolle.

   4. Wenn Sie dieser Gruppe einen weiteren Nutzer hinzufügen möchten, klicken Sie auf Weiteres Mitglied hinzufügen und wiederholen Sie diese Schritte.

   5. Wenn Sie alle Nutzer zu dieser Gruppe hinzugefügt haben, klicken Sie auf Speichern.

3. Wenn Sie alle gewünschten Mitglieder zu Gruppen hinzugefügt haben, klicken Sie auf Nutzer und Gruppen bestätigen.

Nächste Schritte

Weisen Sie Ihren Administratorgruppen Berechtigungen zu.

In dieser Aufgabe verwenden Sie die Identitäts- und Zugriffsverwaltung (IAM), um Gruppen von Administratoren Sammlungen auf Organisationsebene zuzuweisen. Durch diesen Prozess erhalten Administratoren zentrale Transparenz und Kontrolle über alle Cloudressourcen, die zu Ihrer Organisation gehören.

Eine Übersicht über Identity and Access Management in Google Cloud finden Sie in der IAM-Übersicht.

Wer führt diese Aufgabe aus?

Dafür müssen Sie einer der folgenden Nutzer sein:

• Ein Super Admin-Nutzer.
• Ein Nutzer mit der Rolle „Administrator der Organisation“ (roles/resourcemanager.organizationAdmin).

Was Sie in dieser Aufgabe tun

• Rufen Sie eine Liste der Standardrollen auf, die jeder Administratorgruppe zugewiesen sind, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

• So können Sie eine Gruppe anpassen:

  • Rollen hinzufügen oder entfernen
  • Wenn Sie keine Gruppe verwenden möchten, können Sie sie löschen.

Warum wir diese Aufgabe empfehlen

Sie müssen alle Administratorrollen für Ihre Organisation explizit zuweisen. Mit dieser Aufgabe können Sie folgende Best Practices für die Sicherheit implementieren:

• Prinzip der geringsten Berechtigung: Erteilen Sie Nutzern die Berechtigungen, die mindestens für ihre Jobs erforderlich sind, und entfernen Sie den Zugriff, sobald er nicht mehr benötigt wird.

• Rollenbasierte Zugriffssteuerung (RBAC): Weisen Sie Nutzergruppen Berechtigungen gemäß ihren Jobs zu. Weisen Sie Rollen nicht einzelnen Benutzerkonten zu.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.

Administratorgruppen Zugriff gewähren

Prüfen Sie die Standardrollen, die jeder Gruppe zugewiesen sind, um jeder Administratorgruppe, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, den entsprechenden Zugriff zu gewähren. Sie können Rollen hinzufügen oder entfernen, um den Zugriff jeder Gruppe anzupassen.

1. Achten Sie darauf, dass Sie in der Google Cloud Console als Super Admin-Nutzer angemeldet sind.

   Alternativ können Sie sich als Nutzer mit der Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) anmelden.

2. Gehen Sie zu Google Cloud-Einrichtung: Administratorzugriff.

   Administratorzugriff aufrufen

3. Wählen Sie den Namen Ihrer Organisation oben auf der Seite aus der Drop-down-Liste Auswählen aus aus.

4. Prüfen Sie die Aufgabenübersicht und klicken Sie auf Administratorzugriff fortsetzen.

5. Prüfen Sie die Gruppen in der Spalte Gruppe (Hauptkonto), die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

6. Prüfen Sie für jede Gruppe die standardmäßigen IAM-Rollen. Sie können jeder Gruppe Rollen zuweisen oder daraus entfernen, um den speziellen Anforderungen Ihrer Organisation gerecht zu werden.

   Jede Rolle enthält mehrere Berechtigungen, mit denen Nutzer relevante Aufgaben ausführen können. Weitere Informationen zu den Berechtigungen in den einzelnen Rollen finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

7. Wenn Sie jeder Gruppe Rollen zuweisen möchten, klicken Sie auf Speichern und Zugriff gewähren.

Nächste Schritte

Abrechnung einrichten

In dieser Aufgabe richten Sie ein Rechnungskonto für die Bezahlung von Google Cloud-Ressourcen ein. Verknüpfen Sie dazu eine Ihrer folgenden Organisationen mit Ihrer Organisation:

• Vorhandenes Cloud-Rechnungskonto Wenn Sie keinen Zugriff auf das Konto haben, können Sie den Zugriff von Ihrem Rechnungskontoadministrator anfordern.

• Ein neues Cloud-Rechnungskonto

Weitere Informationen zur Abrechnung finden Sie in der Dokumentation zu Cloud Billing.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-billing-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

• Erstellen oder verwenden Sie ein vorhandenes Selfservice-Cloud-Rechnungskonto.
• Entscheiden Sie, ob Sie von einem Selfservice-Konto zu einem Konto mit Rechnungsstellung wechseln möchten.
• Richten Sie ein Cloud-Rechnungskonto und die zugehörige Zahlungsmethode ein.

Warum wir diese Aufgabe empfehlen

Cloud Billing-Konten sind mit einem oder mehreren Google Cloud-Projekten verknüpft und werden für die Abrechnung der von Ihnen genutzten Ressourcen verwendet, wie virtuellen Maschinen, Netzwerken und Speicher.

Rechnungskontotyp ermitteln

Das mit Ihrer Organisation verknüpfte Rechnungskonto ist einer der folgenden Typen.

• Selfservice-Konten oder Onlineangebote: Registrieren Sie sich online mit einer Kredit- oder Debitkarte. Diese Option wird für kleine Unternehmen oder Einzelpersonen empfohlen. Wenn Sie sich online für ein Rechnungskonto anmelden, wird Ihr Konto automatisch als Selfservice-Kontotyp eingerichtet.

• Konten mit Rechnungsstellung (oder offline). Wenn Sie bereits ein Selfservice-Rechnungskonto haben, können Sie die Rechnungsstellung beantragen, wenn Ihr Unternehmen die Berechtigungsanforderungen erfüllt.

Sie können ein Konto mit monatlicher Rechnungsstellung nicht online erstellen, aber Sie können ein Selfservice-Konto in ein Konto mit monatlicher Rechnungsstellung umwandeln.

Weitere Informationen finden Sie unter Rechnungskontotypen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Rechnungskonto einrichten

Nachdem Sie einen Rechnungskontotyp ausgewählt haben, verknüpfen Sie dieses mit Ihrer Organisation. Nach Abschluss dieses Vorgangs können Sie Ihr Rechnungskonto verwenden, um für Google Cloud-Ressourcen zu bezahlen.

1. Melden Sie sich als ein Nutzer der Gruppe gcp-billing-admins@YOUR_DOMAIN in der Google Cloud Console an.

2. Gehen Sie zu Google Cloud-Einrichtung: Abrechnung.

   Zur Abrechnung

3. Sehen Sie sich die Aufgabenübersicht an und klicken Sie auf Abrechnung fortsetzen.

4. Wählen Sie eine der folgenden Rechnungskontooptionen aus:

   Ein neues Konto erstellen

   Wenn Ihre Organisation noch kein Konto hat, erstellen Sie ein neues Konto.

   1. Wählen Sie Ich möchte ein neues Rechnungskonto erstellen aus.
   2. Klicken Sie auf Weiter.

   3. Wählen Sie den gewünschten Rechnungskontotyp aus. Eine ausführliche Anleitung finden Sie hier:

      • Informationen zum Erstellen eines neuen Selfservice-Kontos finden Sie unter Neues Selfservice-Cloud-Rechnungskonto erstellen.
      • Informationen zum Wechsel eines vorhandenen Selfservice-Kontos auf die Rechnungsstellung finden Sie unter Monatliche Rechnungsstellung beantragen.

   4. Prüfen Sie, ob Ihr Rechnungskonto erstellt wurde:

      1. Wenn Sie ein Konto mit monatlicher Rechnungsstellung erstellt haben, warten Sie bis zu fünf Werktage, um eine E-Mail-Bestätigung zu erhalten.

      2. Rufen Sie die Seite Abrechnung auf.

      3. Wählen Sie Ihre Organisation oben auf der Seite aus der Liste Auswählen aus aus. Wenn das Konto erfolgreich erstellt wurde, wird es in der Rechnungskontoliste angezeigt.

   Mein bestehendes Konto verwenden

   Wenn Sie bereits ein Rechnungskonto haben, können Sie es mit Ihrer Organisation verknüpfen.

   1. Wählen Sie Ich habe in dieser Liste ein Rechnungskonto gefunden, mit dem ich die Einrichtungsschritte abschließen möchte aus.
   2. Wählen Sie in der Drop-down-Liste Abrechnung das Konto aus, das Sie mit Ihrer Organisation verknüpfen möchten.
   3. Klicken Sie auf Weiter.
   4. Prüfen Sie die Details und klicken Sie auf Rechnungskonto bestätigen.

   Konto eines anderen Nutzers verwenden

   Wenn ein anderer Nutzer Zugriff auf ein vorhandenes Rechnungskonto hat, können Sie diesen bitten, das Rechnungskonto mit Ihrer Organisation zu verknüpfen. Alternativ kann der Nutzer Ihnen Zugriff gewähren, um die Verknüpfung abzuschließen.

   1. Wählen Sie Ich möchte ein Rechnungskonto verwenden, das von einem anderen Google-Nutzerkonto verwaltet wird aus.
   2. Klicken Sie auf Weiter.
   3. Geben Sie die E-Mail-Adresse des Administrators des Rechnungskontos ein.
   4. Klicken Sie auf Administrator kontaktieren.
   5. Warten Sie, bis der Rechnungskontoadministrator Sie kontaktiert hat, um weitere Anweisungen zu erhalten.

Nächste Schritte

Ressourcenhierarchie erstellen und Zugriff zuweisen

In dieser Aufgabe richten Sie Ihre Ressourcenhierarchie ein. Dazu erstellen Sie Zugriff auf die folgenden Ressourcen und weisen ihnen Zugriff zu:

Ordner

Ordner bieten einen Gruppierungsmechanismus und grenzen Projekte voneinander ab. Beispielsweise können Ordner für Hauptabteilungen Ihrer Organisation wie Finanzen oder Einzelhandel oder für Umgebungen wie Produktion oder Nicht-Produktion stehen.

Projekte

Sie enthalten Ihre Google Cloud-Ressourcen wie virtuelle Maschinen, Datenbanken und Storage-Buckets.

Designaspekte und Best Practices zum Organisieren Ihrer Ressourcen in Projekten finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone festlegen.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, kann diese Aufgabe ausführen.

Was Sie in dieser Aufgabe tun

• Erstellen Sie eine erste Hierarchiestruktur, die Ordner und Projekte enthält.
• Legen Sie IAM-Richtlinien fest, um den Zugriff auf Ihre Ordner und Projekte zu steuern.

Warum wir diese Aufgabe empfehlen

Durch das Erstellen einer Struktur für Ordner und Projekte können Sie Google Cloud-Ressourcen verwalten und Zugriff entsprechend dem Betrieb Ihrer Organisation zuweisen. Beispielsweise können Sie Ressourcen basierend auf der einzigartigen Sammlung von geografischen Regionen, Tochterstrukturen oder Rechenschafts-Frameworks Ihrer Organisation organisieren und bereitstellen.

Ressourcenhierarchie planen

Ihre Ressourcenhierarchie unterstützt Sie beim Erstellen von Grenzen und beim Freigeben von Ressourcen in Ihrer Organisation für allgemeine Aufgaben. Sie erstellen Ihre Hierarchie mit einer der folgenden Erstkonfigurationen, die auf Ihrer Organisationsstruktur basieren:

• Einfach umgebungsorientiert:

  • Isolieren Sie Umgebungen wie Non-production und Production.
  • Implementieren Sie unterschiedliche Richtlinien, behördliche Anforderungen und Zugriffssteuerungen in jedem Umgebungsordner.
  • Gut für kleine Unternehmen mit zentralisierten Umgebungen.

• Einfache teamorientierte:

  • Isolieren Sie Teams wie Development und QA.
  • Isolieren Sie den Zugriff auf Ressourcen mithilfe von Ordnern der untergeordneten Umgebungen unter den einzelnen Teamordnern.
  • Gut für kleine Unternehmen mit autonomen Teams.

• Umgebungsorientiert

  • Priorisieren Sie die Isolation von Umgebungen wie Non-production und Production.
  • Isolieren Sie unter jedem Umgebungsordner die Geschäftseinheiten.
  • Isolieren Sie die Teams in den einzelnen Geschäftseinheiten.
  • Gut für große Unternehmen mit zentralisierten Umgebungen.

• Auf Geschäftseinheiten ausgerichtet:

  • Priorisieren Sie die Isolation von Geschäftseinheiten wie Human Resources und Engineering, damit Nutzer nur auf die Ressourcen und Daten zugreifen können, die sie benötigen.
  • Isolieren Sie die Teams in den einzelnen Geschäftseinheiten.
  • Isolieren Sie unter jedem Team die Umgebungen.
  • Gut für große Unternehmen mit autonomen Teams.

Jede Konfiguration hat einen Common-Ordner für Projekte, die freigegebene Ressourcen enthalten. Dies kann u. a. Logging- und Monitoring-Projekte umfassen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.

Erste Ordner und Projekte konfigurieren

Wählen Sie die Ressourcenhierarchie aus, die Ihre Organisationsstruktur darstellt.

So konfigurieren Sie die ersten Ordner und Projekte:

1. Melden Sie sich als ein Nutzer der Gruppe gcp-organization-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, in der Google Cloud Console an.

2. Wählen Sie Ihre Organisation oben auf der Seite aus der Drop-down-Liste Auswählen aus aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Hierarchie und Zugriff.

   Zur Seite „Hierarchie und Zugriff“

4. Prüfen Sie die Aufgabenübersicht und klicken Sie dann neben Ressourcenhierarchie auf Start.

5. Wählen Sie eine Startkonfiguration aus.

6. Klicken Sie auf Fortfahren und konfigurieren.

7. Ressourcenhierarchie an die Organisationsstruktur anpassen Sie können beispielsweise Folgendes anpassen:

   • Ordnernamen

   • Dienstprojekte für jedes Team So gewähren Sie Zugriff auf Dienstprojekte:

     • Eine Gruppe für jedes Dienstprojekt.
     • Nutzer in jeder Gruppe

     Eine Übersicht über Dienstprojekte finden Sie unter Freigegebene VPC.

   • Projekte, die für Monitoring, Logging und Netzwerke erforderlich sind.

   • Benutzerdefinierte Projekte.

8. Klicken Sie auf Weiter.

9. Zugriff auf Ordner und Projekte gewähren

Zugriff auf Ordner und Projekte gewähren

In der Aufgabe Administratorzugriff haben Sie Administratorzugriff auf Gruppen auf Organisationsebene gewährt. Bei dieser Aufgabe konfigurieren Sie den Zugriff auf Gruppen, die mit Ihren neu konfigurierten Ordnern und Projekten interagieren.

Projekte, Ordner und Organisationen haben jeweils eigene IAM-Richtlinien, die über die Ressourcenhierarchie übernommen werden:

• Organisation: Richtlinien gelten für alle Ordner und Projekte in der Organisation.
• Ordner: Richtlinien gelten für Projekte und andere Ordner im Ordner.
• Projekt: Richtlinien gelten nur für dieses Projekt und seine Ressourcen.

Aktualisieren Sie die IAM-Richtlinien für Ihre Ordner und Projekte:

1. Gewähren Sie Ihren Gruppen im Abschnitt Zugriffssteuerung konfigurieren von Hierarchie und Zugriff Zugriff auf Ihre Ordner und Projekte:

   1. Überprüfen Sie in der Tabelle die Liste der empfohlenen IAM-Rollen, die jeder Gruppe für jede Ressource zugewiesen sind.

   2. Wenn Sie die jeder Gruppe zugewiesenen Rollen ändern möchten, klicken Sie in der gewünschten Zeile auf Bearbeiten.

      Weitere Informationen zu den einzelnen Rollen finden Sie unter Einfache und vordefinierte IAM-Rollen.

2. Klicken Sie auf Weiter.

3. Prüfen Sie Ihre Änderungen und klicken Sie auf Konfigurationsentwurf bestätigen.

Nächste Schritte

Konfigurieren Sie Ihr anfängliches Netzwerk.

In dieser Aufgabe richten Sie Ihre anfängliche Netzwerkkonfiguration ein, die Sie nach Ihren Anforderungen skalieren können.

Virtual-Private-Cloud-Architektur

Ein VPC-Netzwerk (Virtual Private Cloud) ist eine virtuelle Version eines physischen Netzwerks, das im Google-Produktionsnetzwerk implementiert wird. Ein VPC-Netzwerk ist eine globale Ressource und besteht aus regionalen Subnetzwerken (Subnetzen).

VPC-Netzwerke bieten Netzwerkfunktionen für Ihre Google Cloud-Ressourcen, wie Compute Engine-VM-Instanzen, GKE-Container und Instanzen der flexiblen App Engine-Umgebung.

Eine freigegebene VPC verbindet Ressourcen von mehreren Projekten mit einem gemeinsamen VPC-Netzwerk, sodass sie über die internen IP-Adressen des Netzwerks miteinander kommunizieren können. Das folgende Diagramm zeigt die grundlegende Architektur eines freigegebenen VPC-Netzwerks mit angehängten Dienstprojekten.

Wenn Sie eine freigegebene VPC verwenden, bestimmen Sie ein Hostprojekt und fügen ihm ein oder mehrere Dienstprojekte hinzu. Virtual Private Cloud-Netzwerke im Hostprojekt werden als freigegebene VPC-Netzwerke bezeichnet.

Das Beispieldiagramm enthält Produktionsprojekte und Nicht-Produktionshostprojekte, die jeweils ein freigegebenes VPC-Netzwerk enthalten. Mit einem Hostprojekt können Sie Folgendes zentral verwalten:

• Routen
• Firewalls
• VPN-Verbindungen
• Subnetze

Ein Dienstprojekt ist ein beliebiges Projekt, das an ein Hostprojekt angehängt ist. Sie können Subnetze, einschließlich sekundäre Bereiche, zwischen Host- und Dienstprojekten freigeben.

In dieser Architektur enthält jedes freigegebene VPC-Netzwerk öffentliche und private Subnetze:

• Das öffentliche Subnetz kann von Internetinstanzen für die externe Verbindung verwendet werden.
• Das private Subnetz kann von internen Instanzen verwendet werden, denen keine öffentlichen IP-Adressen zugewiesen sind.

In dieser Aufgabe erstellen Sie eine anfängliche Netzwerkkonfiguration basierend auf dem Beispieldiagramm.

Wer führt diese Aufgabe aus?

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Optionen:

• Die Rolle roles/compute.networkAdmin
• Aufnahme in die Gruppe gcp-network-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Erstellen Sie eine anfängliche Netzwerkkonfiguration, einschließlich der folgenden:

• Erstellen Sie mehrere Hostprojekte, um Ihre Entwicklungsumgebungen widerzuspiegeln.
• Erstellen Sie in jedem Hostprojekt ein freigegebenes VPC-Netzwerk, damit verschiedene Ressourcen dasselbe Netzwerk verwenden können.
• Erstellen Sie in jedem freigegebenen VPC-Netzwerk unterschiedliche Subnetze, um Netzwerkzugriff auf Dienstprojekte zu gewähren.

Warum wir diese Aufgabe empfehlen

Unterschiedliche Teams können mithilfe einer freigegebenen VPC eine Verbindung zu einem gemeinsamen, zentral verwalteten VPC-Netzwerk herstellen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie Ihre Hierarchie ein und weisen Sie Zugriff in der Aufgabe Hierarchie und Zugriff zu.

Netzwerkarchitektur konfigurieren

Erstellen Sie Ihre anfängliche Netzwerkkonfiguration mit zwei Hostprojekten, um Nicht-Produktions- und Produktionsarbeitslasten zu segmentieren. Jedes Hostprojekt enthält ein freigegebenes VPC-Netzwerk, das von mehreren Dienstprojekten verwendet werden kann. Sie konfigurieren die Netzwerkdetails und stellen dann eine Konfigurationsdatei in einer späteren Aufgabe bereit.

So konfigurieren Sie Ihr anfängliches Netzwerk:

1. Melden Sie sich in der Google Cloud Console als Nutzer aus der Gruppe gcp-organization-admins@YOUR_DOMAIN an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

2. Wählen Sie Ihre Organisation oben auf der Seite aus der Drop-down-Liste Organisation auswählen aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Netzwerk.

   Gehen Sie zu Networking.

4. Prüfen Sie die Standard-Netzwerkarchitektur.

5. So bearbeiten Sie den Netzwerknamen:

   1. Klicken Sie auf more_vertAktionen.
   2. Wählen Sie Netzwerkname bearbeiten aus.
   3. Geben Sie im Feld Netzwerkname Kleinbuchstaben, Ziffern oder Bindestriche ein. Der Netzwerkname darf maximal 25 Zeichen enthalten.
   4. Klicken Sie auf Speichern.

Firewalldetails ändern

Die Standard-Firewallregeln im Hostprojekt basieren auf empfohlenen Best Practices. Allgemeine Informationen zu Firewallregeln finden Sie unter VPC-Firewallregeln.

So ändern Sie die Firewalleinstellungen:

1. Klicken Sie auf more_vert Aktionen.

2. Wählen Sie Firewallregeln bearbeiten aus.

3. Ausführliche Informationen zu den einzelnen Standard-Firewallregeln finden Sie unter Vorkonfigurierte Regeln im Standardnetzwerk.

4. Zum Deaktivieren einer Firewallregel entfernen Sie das entsprechende Kästchen.

5. Klicken Sie auf Aus, um das Logging von Firewallregeln zu deaktivieren.

   Standardmäßig wird der Traffic zu und von Compute Engine-Instanzen für Prüfungszwecke protokolliert. Für diesen Prozess fallen Kosten an. Weitere Informationen finden Sie unter Logging von Firewallregeln.

6. Klicken Sie auf Speichern.

Subnetzdetails ändern

Jedes VPC-Netzwerk enthält mindestens ein Subnetz. Dies ist eine regionale Ressource mit einem zugehörigen IP-Adressbereich. In dieser multiregionalen Konfiguration müssen Sie mindestens zwei Subnetze mit nicht überlappenden IP-Bereichen haben.

Weitere Informationen finden Sie unter Subnetze.

Jedes Subnetz wird gemäß den empfohlenen Best Practices konfiguriert. So passen Sie die einzelnen Subnetze an:

1. Klicken Sie auf more_vertAktionen.
2. Wählen Sie Subnetze bearbeiten aus.
3. Geben Sie im Feld Name Kleinbuchstaben, Zahlen oder Bindestriche ein. Der Subnetzname darf 25 Zeichen nicht überschreiten.

4. Wählen Sie im Drop-down-Menü Region eine Region in der Nähe Ihres Bereitstellungsorts aus.

   Wir empfehlen für jedes Subnetz eine andere Region. Sie können die Region nicht mehr ändern, nachdem Sie die Konfiguration bereitgestellt haben. Informationen zum Auswählen einer Region finden Sie unter Regionale Ressourcen.

5. Geben Sie im Feld IP-Adressbereich einen Bereich in CIDR-Notation ein, z. B. 10.0.0.0/24.

   Der von Ihnen eingegebene Bereich darf sich nicht mit anderen Subnetzen in diesem Netzwerk überschneiden. Informationen zu gültigen Bereichen finden Sie unter IPv4-Subnetzbereiche.

6. Wiederholen Sie diese Schritte für Subnetz 2.

7. Klicken Sie auf Subnetz hinzufügen und wiederholen Sie diese Schritte, um weitere Subnetze in diesem Netzwerk zu konfigurieren.

8. Klicken Sie auf Speichern.

Ihre Subnetze werden automatisch gemäß den Best Practices konfiguriert. Wenn Sie die Konfiguration ändern möchten, gehen Sie auf der Seite Google Cloud Setup: VPC-Netzwerke so vor:

1. Wählen Sie zum Deaktivieren von VPC-Flusslogs in der Spalte Flusslogs die Option Aus aus.

   Wenn Flusslogs aktiviert sind, werden in jedem Subnetz Netzwerkflüsse aufgezeichnet, die Sie aus Sicherheitsgründen, zur Kostenoptimierung und zu anderen Zwecken analysieren können. Weitere Informationen finden Sie unter VPC-Flusslogs verwenden.

   Für VPC-Flusslogs fallen Kosten an. Weitere Informationen finden Sie unter Preise für Virtual Private Cloud.

2. Wählen Sie zum Deaktivieren des privaten Google-Zugriffs in der Spalte Privater Zugriff die Option Aus aus.

   Wenn der private Google-Zugriff aktiviert ist, können VM-Instanzen ohne externe IP-Adressen Google APIs und Google-Dienste erreichen. Weitere Informationen finden Sie unter Privater Google-Zugriff.

3. Wählen Sie zum Aktivieren von Cloud NAT in der Spalte Cloud NAT die Option Ein aus.

   Wenn Cloud NAT aktiviert ist, können bestimmte Ressourcen ausgehende Verbindungen zum Internet herstellen. Weitere Informationen finden Sie in der Cloud NAT-Übersicht.

   Für Cloud NAT fallen Kosten an. Weitere Informationen finden Sie unter Virtual Private Cloud-Preise.

4. Klicken Sie auf Weiter, um Dienstprojekte zu verknüpfen.

Dienstprojekte mit Hostprojekten verknüpfen

Ein Dienstprojekt ist ein Projekt, das an ein Hostprojekt angehängt wurde. Dieser Anhang ermöglicht dem Dienstprojekt die Teilnahme an der freigegebenen VPC. Jedes Dienstprojekt kann von verschiedenen Abteilungen oder Teams betrieben und verwaltet werden, um eine Trennung von Zuständigkeiten zu erstellen.

Weitere Informationen zum Verbinden mehrerer Projekte mit einem gemeinsamen VPC-Netzwerk finden Sie unter Freigegebene VPC – Übersicht.

So verknüpfen Sie Dienstprojekte mit Ihren Hostprojekten und schließen die Konfiguration ab:

1. Wählen Sie für jedes Subnetz in der Tabelle Freigegebene VPC-Netzwerke ein Dienstprojekt aus, zu dem eine Verbindung hergestellt werden soll. Wählen Sie dazu im Drop-down-Menü Projekt auswählen in der Spalte Dienstprojekt die Option „Projekt“ aus.

   Sie können ein Dienstprojekt mit mehreren Subnetzen verbinden.

2. Klicken Sie auf Weiter zur Überprüfung.

3. Überprüfen Sie die Konfiguration und nehmen Sie Änderungen vor.

   Sie können Änderungen vornehmen, bis Sie die Konfigurationsdatei bereitgestellt haben.

4. Klicken Sie auf Konfigurationsentwurf bestätigen. Die Netzwerkkonfiguration wird der Konfigurationsdatei hinzugefügt.

   Ihr Netzwerk wird erst bereitgestellt, wenn Sie die Konfigurationsdatei in einer späteren Aufgabe bereitstellen.

Nächste Schritte

Zentralen Speicherort für das Speichern und Analysieren von Logdaten konfigurieren

In dieser Aufgabe richten Sie Cloud Logging ein, um Logs aus den Projekten Ihrer Organisation an einen zentralen Log-Bucket weiterzuleiten.

Wer führt diese Aufgabe aus?

Sie benötigen eines von Folgendem:

• Die Rolle „Logging-Administrator“ (roles/logging.admin).
• Mitgliedschaft in der Gruppe gcp-logging-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Sie können Logs, die in Projekten in Ihrer Organisation erstellt werden, zentral organisieren und so Sicherheit, Auditing und Compliance unterstützen.

Warum wir diese Aufgabe empfehlen

Das Konfigurieren von Logging-Speicher und -Aufbewahrung vereinfacht die Analyse und behält Ihren Audit-Trail bei.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie Ihre Hierarchie ein und weisen Sie Zugriff in der Aufgabe Hierarchie und Zugriff zu.

Logging zentral organisieren

Mit Cloud Logging können Sie Logdaten und Ereignisse aus Google Cloud speichern, darin suchen sowie diese analysieren, überwachen und melden. Außerdem können Sie Logs von Anwendungen, lokalen Ressourcen und anderen Clouds erfassen und verarbeiten. Eine Übersicht über das Weiterleiten und Speichern von Logs in Logging finden Sie unter Routing und Speicher.

So speichern Sie Ihre Logdaten in einem zentralen Log-Bucket:

1. Melden Sie sich als ein Nutzer der Gruppe gcp-logging-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, in der Google Cloud Console an.

2. Wählen Sie Ihre Organisation oben auf der Seite aus der Drop-down-Liste Auswählen aus aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Logging zentralisieren.

   Zu „Logging zentralisieren“

4. Prüfen Sie die Aufgabenübersicht und klicken Sie auf Logging-Konfiguration starten.

5. Überprüfen Sie die Aufgabendetails.

6. Wenn Sie Logs an einen zentralen Log-Bucket weiterleiten möchten, muss Audit-Logs zu Administratoraktivitäten auf Organisationsebene in einem Log-Bucket speichern ausgewählt sein.

7. Geben Sie im Feld Log-Bucket-Name einen Namen für den zentralen Log-Bucket ein.

8. Wählen Sie in der Liste Log-Bucket-Region die Region aus, in der Ihre Logdaten gespeichert sind.

   Weitere Informationen finden Sie unter Log-Bucket-Standorte.

9. Wir empfehlen, Logs 365 Tage lang zu speichern. Geben Sie im Feld Aufbewahrungsdauer die Anzahl der Tage ein, um die Aufbewahrungsdauer anzupassen.

   Für Logs, die länger als 30 Tage gespeichert sind, fallen Kosten für die Aufbewahrung an. Weitere Informationen finden Sie in der Cloud Logging-Preisübersicht.

10. Klicken Sie auf Weiter.

11. Prüfen Sie die Details der Log-Router-Konfiguration und klicken Sie auf Konfigurationsentwurf bestätigen.

    Ihre Logging-Konfiguration wird erst bereitgestellt, wenn Sie die Konfiguration in einer späteren Aufgabe bereitstellen.

Nächste Schritte

Stellen Sie Ihre Konfiguration bereit, die Einstellungen für Ihre Hierarchie und Zugriff, Netzwerk und Logging enthält.

Wenn Sie den Einrichtungsvorgang in Google Cloud abgeschlossen haben, werden Ihre Einstellungen aus den folgenden Aufgaben in Terraform-Konfigurationsdateien kompiliert:

• Hierarchie und Zugriff
• Netzwerk
• Logging zentralisieren

Um die Einstellungen anzuwenden, prüfen Sie Ihre Auswahl und wählen eine Bereitstellungsmethode aus.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Stellen Sie Konfigurationsdateien bereit, um die Einrichtungseinstellungen anzuwenden.

Warum wir diese Aufgabe empfehlen

Sie müssen Konfigurationsdateien bereitstellen, um die ausgewählten Einstellungen anzuwenden.

Hinweise

Führen Sie die folgenden Aufgaben aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie Ihre Hierarchie ein und weisen Sie Zugriff in der Aufgabe Hierarchie und Zugriff zu.

Die folgenden Aufgaben werden empfohlen:

• Konfigurieren Sie Ihr anfängliches Netzwerk in der Netzwerkaufgabe.
• Konsolidieren Sie Logdaten an einem einzigen Ort in der Aufgabe Logging zentralisieren.

Konfigurationsdetails prüfen

So prüfen Sie, ob Ihre Konfigurationseinstellungen vollständig sind:

1. Melden Sie sich in der Google Cloud Console als Nutzer aus der Gruppe gcp-organization-admins@YOUR_DOMAIN an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

2. Wählen Sie Ihre Organisation oben auf der Seite aus der Drop-down-Liste Auswählen aus aus.

3. Rufen Sie Google Cloud einrichten: Bereitstellen oder herunterladen auf.

   Zu Deploy oder Download

4. Prüfen Sie die ausgewählten Konfigurationseinstellungen. Klicken Sie auf die folgenden Tabs und prüfen Sie die Einstellungen:

   • Ressourcenhierarchie und Zugriff
   • Netzwerk
   • Logging

Konfiguration bereitstellen

Nachdem Sie nun Ihre Konfigurationsdetails überprüft haben, verwenden Sie eine der folgenden Optionen:

• Direkt über die Console bereitstellen: Verwenden Sie diese Option, wenn Sie keinen vorhandenen Terraform-Bereitstellungsworkflow haben und eine einfache Bereitstellungsmethode wünschen. Sie können diese Methode nur einmal bereitstellen.

• Terraform-Datei herunterladen und bereitstellen: Verwenden Sie diese Option, wenn Sie die Ressourcenverwaltung mit einem Terraform-Bereitstellungsworkflow automatisieren möchten. Sie können diese Methode mit dieser Methode mehrmals herunterladen und bereitstellen.

Stellen Sie es mit einer der folgenden Optionen bereit:

Nächste Schritte

Best Practices für das Monitoring

Cloud Monitoring wird für Ihre Google Cloud-Projekte automatisch konfiguriert. In dieser Aufgabe erfahren Sie mehr über optionale Best Practices für das Monitoring.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-monitoring-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Optionale Best Practices für das Monitoring lesen und implementieren

Warum wir diese Aufgabe empfehlen

Sie können Best Practices für das Monitoring folgendermaßen implementieren:

• Erleichtern Sie die Zusammenarbeit zwischen Nutzern, die Ihre Organisation überwachen.
• Google Cloud-Infrastruktur an einem Ort überwachen
• Wichtige Anwendungsmesswerte und Logs erfassen

Best Practices für das Monitoring prüfen und implementieren

Cloud Monitoring erfasst Messwerte, Ereignisse und Metadaten aus Google Cloud-Diensten, synthetischen Überwachungen, Anwendungsinstrumentierung und weiteren üblichen Anwendungskomponenten. Cloud Monitoring wird automatisch für Ihre Google Cloud-Projekte konfiguriert.

In dieser Aufgabe können Sie Best Practices implementieren, die auf der Cloud Monitoring-Standardkonfiguration aufbauen.

• Erstellen Sie eine Organisationsrichtlinie, die jedem Hauptkonto in Ihrer Organisation für jedes Projekt die Rolle Monitoring-Betrachter zuweist.

• Wenn Sie Ihre Google Cloud-Infrastruktur an einem Ort überwachen möchten, konfigurieren Sie ein Projekt so, dass Messwerte aus mehreren Google Cloud-Projekten mithilfe von Messwertbereichen gelesen werden.

• So erfassen Sie Anwendungsmesswerte und Logs für virtuelle Maschinen:

  • Installieren Sie für Compute Engine den Ops-Agent.
  • Richten Sie für Google Kubernetes Engine (GKE) Google Cloud Managed Service for Prometheus ein.

Nächste Schritte

Anfängliche Sicherheitseinstellungen konfigurieren

Bei dieser Aufgabe konfigurieren Sie Sicherheitseinstellungen und Produkte zum Schutz Ihrer Organisation.

Wer führt diese Aufgabe aus?

Sie benötigen eine der folgenden Optionen, um diese Aufgabe auszuführen:

• Die Rollen "Administrator für Organisationsrichtlinien" (roles/orgpolicy.policyAdmin) und "Sicherheitscenter-Administrator" (roles/securitycenter.admin).
• Mitgliedschaft in der Gruppe gcp-organization-admins@<your-domain>.com, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Wenden Sie empfohlene Organisationsrichtlinien anhand der folgenden Kategorien an:

• Zugriffsmanagement.
• Verhalten des Dienstkontos.
• VPC-Netzwerkkonfiguration.

Sie aktivieren auch Security Command Center, um Berichte zu Sicherheitslücken und Bedrohungen zu zentralisieren.

Warum wir diese Aufgabe empfehlen

Mit den empfohlenen Organisationsrichtlinien können Sie Nutzeraktionen einschränken, die nicht Ihrem Sicherheitsstatus entsprechen.

Wenn Sie Security Command Center aktivieren, können Sie einen zentralen Ort zum Analysieren von Sicherheitslücken und Bedrohungen erstellen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Empfohlene Organisationsrichtlinien anwenden

Organisationsrichtlinien gelten auf Organisationsebene und werden von Ordnern und Projekten übernommen. In dieser Aufgabe prüfen Sie die Liste der empfohlenen Richtlinien und wenden sie an. Sie können Organisationsrichtlinien jederzeit ändern. Weitere Informationen finden Sie unter Einführung in den Organisationsrichtliniendienst.

1. Melden Sie sich mit einem Nutzer aus der Gruppe gcp-organization-admins@<your-domain>.com, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, in der Google Cloud Console an.

2. Wählen Sie Ihre Organisation oben auf der Seite aus der Drop-down-Liste Auswählen aus aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Sicherheit.

   Gehen Sie zu Sicherheit.

4. Prüfen Sie die Aufgabenübersicht und klicken Sie dann auf Sicherheit fortsetzen.

5. Prüfen Sie die Liste der empfohlenen Organisationsrichtlinien. Wenn Sie eine empfohlene Richtlinie nicht anwenden möchten, klicken Sie auf das zugehörige Kästchen, um sie zu entfernen.

   Eine ausführliche Erläuterung der einzelnen Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien.

Berichte zu Sicherheitslücken und Bedrohungen zentralisieren

Aktivieren Sie Security Command Center, um Dienste für Sicherheitslücken und Bedrohungsberichte zu zentralisieren. So können Sie den Sicherheitsstatus verbessern und Risiken mindern. Weitere Informationen finden Sie in der Übersicht über Security Command Center.

1. Achten Sie darauf, dass auf der Seite Google Cloud-Einrichtung: Sicherheit unter Security Command Center das Kästchen Security Command Center aktivieren: Standard aktiviert ist.

   Diese Aufgabe aktiviert die kostenlose Standard-Stufe. Sie können später ein Upgrade auf die Premium-Version ausführen. Weitere Informationen finden Sie unter Security Command Center-Dienststufen.

2. Klicken Sie auf Organisationsrichtlinien und Security Command Center anwenden.

Nächste Schritte

Wählen Sie einen Supportplan aus.

Bei dieser Aufgabe wählen Sie einen Supportplan aus, der Ihren geschäftlichen Anforderungen entspricht.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@YOUR_DOMAIN, die in der Aufgabe Nutzer und Gruppen erstellt wurde.

Was Sie in dieser Aufgabe tun

Wählen Sie einen Supportplan aus, der auf die Anforderungen Ihres Unternehmens zugeschnitten ist.

Warum wir diese Aufgabe empfehlen

Ein Premiumsupportplan bietet geschäftskritischen Support, um Probleme mit der Hilfe von Experten von Google Cloud schnell zu beheben.

Wählen Sie eine Supportoption aus

Sie erhalten automatisch kostenlosen Basissupport, der Zugriff auf die folgenden Ressourcen umfasst:

• Dokumentation
• Community-Support und Diskussionen
• Unterstützung bei Abrechnungsproblemen

Geschäftskunden wird empfohlen, sich für den Premium-Support zu registrieren, der persönlichen technischen Support mit Entwicklern des Google-Supportteams bietet. Einen Vergleich der Supportpläne finden Sie unter Google Cloud Customer Care.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Unterstützung aktivieren

Wählen Sie eine Supportoption aus und wählen Sie sie aus.

1. Wählen Sie einen Supportplan aus und wählen Sie ihn aus. Weitere Informationen finden Sie unter Google Cloud Customer Care.

2. Melden Sie sich mit einem Nutzer aus der Gruppe gcp-organization-admins@<your-domain>.com, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, in der Google Cloud Console an.

3. Gehen Sie zu Google Cloud-Einrichtung: Support.

   Zum Support

4. Prüfen Sie die Aufgabendetails und klicken Sie auf Supportangebote ansehen, um eine Supportoption auszuwählen.

5. Nachdem Sie Ihre Supportoption eingerichtet haben, kehren Sie zur Seite Google Cloud-Einrichtung: Support zurück und klicken Sie auf Aufgabe als abgeschlossen markieren.

Nächste Schritte

Nachdem Sie nun die Google Cloud-Einrichtung abgeschlossen haben, können Sie Ihre Ersteinrichtung erweitern, vordefinierte Lösungen bereitstellen und vorhandene Workflows migrieren. Weitere Informationen finden Sie unter Ersteinrichtung erweitern und mit der Erstellung beginnen.