Ressourcenhierarchie

Auf dieser Seite werden die Google Cloud-Ressourcenhierarchie und die Ressourcen beschrieben, die mit Resource Manager verwaltet werden können.

Die Google Cloud-Ressourcenhierarchie hat zwei Ziele:

  • Sie stellt eine Hierarchie von Inhaberschaften zur Verfügung, in der der Lebenszyklus einer Ressource an das in der Hierarchie unmittelbar übergeordnete Element gebunden ist.
  • Sie ermöglicht das Zuweisen und Übernehmen von Zugriffssteuerungs- und Organisationsrichtlinien.

Bildlich gesprochen entspricht die Google Cloud-Ressourcenhierarchie den Dateisystemen, die unter herkömmlichen Betriebssystemen zur hierarchischen Organisation und zur Verwaltung von Elementen dienen. Im Allgemeinen hat jede Ressource genau ein übergeordnetes Element. In dieser hierarchischen Anordnung der Ressourcen können Sie Zugriffssteuerungsrichtlinien und Konfigurationseinstellungen für eine übergeordnete Ressource festlegen. Die Richtlinien und IAM-Einstellungen (Identity and Access Management) werden von den untergeordneten Ressourcen übernommen.

Google Cloud-Ressourcenhierarchie im Detail

Google Cloud-Ressourcen sind hierarchisch organisiert. Alle Ressourcen mit Ausnahme der höchsten Ressource in einer Hierarchie haben genau ein übergeordnetes Element. Auf der untersten Ebene sind Dienstressourcen die grundlegenden Komponenten aller Google Cloud-Dienste. Beispiele für Dienstressourcen sind Compute Engine-VMs, Pub/Sub-Themen, Cloud Storage-Buckets und App Engine-Instanzen. Alle dieser untergeordneten Ressourcen haben Projektressourcen als übergeordnete Elemente, die den ersten Gruppierungsmechanismus der Google Cloud-Ressourcenhierarchie darstellen.

Alle Nutzer, einschließlich Nutzern der kostenlosen Testversion, Nutzer der kostenlosen Stufe sowie Google Workspace- und Cloud Identity-Kunden, können Projektressourcen erstellen. Nutzer des kostenlosen Google Cloud-Programms können nur Projekt- und Dienstressourcen in Projekten erstellen. Projektressourcen können an erster Stelle der Hierarchie stehen, aber nur, wenn die Ressourcen von einem Nutzer der kostenlosen Testversion oder von einem kostenlosen Nutzer erstellt wurden. Google Workspace- und Cloud Identity-Kunden haben Zugriff auf zusätzliche Funktionen der Google Cloud-Ressourcenhierarchie, z. B. für Organisation und Ordnerressourcen. Weitere Informationen finden Sie in der Cloud Identity-Übersicht. Projektressourcen oben in der Hierarchie haben keine übergeordneten Ressourcen. Sie können aber zu einer Organisationsressource migriert werden, sobald sie für die Domain erstellt wurden. Weitere Informationen zum Migrieren von Projektressourcen finden Sie unter Projektressourcen migrieren.

Google Workspace- und Cloud Identity-Kunden können Organisationsressourcen erstellen. Jedes Google Workspace- oder Cloud Identity-Konto ist mit einer Organisationsressource verknüpft. Wenn eine Organisationsressource vorhanden ist, wird sie oben in der Google Cloud-Ressourcenhierarchie aufgeführt. Alle zu einer Organisation gehörenden Ressourcen werden unter der Organisationsressource gruppiert. Dies ermöglicht eine zentrale Übersicht und Kontrolle über alle Ressourcen, die zu einer Organisation gehören.

Ordnerressourcen sind ein zusätzlicher, optionaler Gruppierungsmechanismus zwischen Organisationsressourcen und Projektressourcen. Eine Organisationsressource ist eine Voraussetzung für die Verwendung von Ordnern. Die Ordnerressourcen und die ihr untergeordneten Projektressourcen sind unter der Organisationsressource zugeordnet.

Die Google Cloud-Ressourcenhierarchie, insbesondere in der vollständigen Form mit einer Organisationsressource und Ordnerressourcen, ermöglicht es Unternehmen, ihre Organisation Google Cloud zuzuordnen. Außerdem stellt sie logische Anhangspunkte für Access Management-Richtlinien (IAM) und Organisationsrichtlinien bereit. Sowohl IAM- als auch Organisationsrichtlinien werden über die Hierarchie übernommen. Die effektive Richtlinie für jede Ressource in der Hierarchie ist das Ergebnis von Richtlinien, die direkt auf die Ressource angewendet werden, sowie die von ihren Ancestors übernommenen Richtlinien.

Das folgende Diagramm zeigt eine vollständige Google Cloud-Ressourcenhierarchie in ihrer vollständigen Form:

Die Organisationsressource

Die Ressource Organisation stellt eine Organisation (z. B. ein Unternehmen) dar und ist, sofern vorhanden, der Stammknoten in der Google Cloud-Ressourcenhierarchie. Die Organisationsressource ist der hierarchische Ancestor von Ordner- und Projektressourcen. Die IAM-Zugriffssteuerungsrichtlinien, die auf die Organisationsressource angewendet werden, werden in der gesamten Hierarchie auf alle Ressourcen in der Organisation angewendet.

Google Cloud-Nutzer müssen keine Organisationsressource haben, aber einige Features von Resource Manager können ohne diese nicht verwendet werden. Die Organisationsressource ist eng mit einem Google Workspace- oder Cloud Identity-Konto verknüpft. Wenn ein Nutzer mit einem Google Workspace- oder Cloud Identity-Konto eine Google Cloud-Projektressource erstellt, wird automatisch eine Organisationsressource für ihn bereitgestellt.

Für ein Google Workspace- oder Cloud Identity-Konto kann genau eine Organisationsressource bereitgestellt werden. Sobald eine Organisationsressource für eine Domain erstellt wurde, gehören alle neuen Google Cloud-Projektressourcen, die von Mitgliedern der Kontodomain erstellt wurden, standardmäßig der Organisationsressource. Wenn ein verwalteter Nutzer eine Projektressource erstellt, muss sich diese in einer beliebigen Organisationsressource befinden. Wenn ein Nutzer eine Organisationsressource angibt und die erforderlichen Berechtigungen hat, wird das Projekt dieser Organisation zugewiesen. Andernfalls wird standardmäßig die Organisationsressource verwendet, mit der der Nutzer verknüpft ist. Für Konten, die mit einer Organisationsressource verknüpft sind, ist es nicht möglich, Projektressourcen zu erstellen, die nicht mit einer Organisationsressource verknüpft sind.

Der Einfachheit halber verwenden wir Google Workspace stellvertretend für Google Workspace- und Cloud Identity-Nutzer.

Das Google Workspace- oder Cloud Identity-Konto steht für ein Unternehmen und ist die Voraussetzung für den Zugriff auf die Organisationsressource. Im Google Cloud-Kontext umfasst es Verwaltung, Wiederherstellungsmechanismen, Eigentumsrechte und Lebenszyklusverwaltung. Die folgende Abbildung zeigt die Verknüpfung zwischen dem Google Workspace-Konto, Cloud Identity und der Google Cloud-Ressourcenhierarchie.


Der Super Admin von Google Workspace ist für die Bestätigung der Domaininhaberschaft zuständig und dient als Ansprechpartner bei Wiederherstellungen. Aus diesem Grund hat der Super Admin von Google Workspace die Möglichkeit, IAM-Rollen standardmäßig zuzuweisen. Die Hauptaufgabe von Google Workspace-Super Admins in Bezug auf Google Cloud ist, den entsprechenden Nutzern in ihrer Domain die IAM-Rolle „Administrator der Organisation“ zuzuweisen. Dies ermöglicht die Trennung zwischen Google Workspace- und Google Cloud-Verwaltungsverantwortlichkeiten, die Nutzer in der Regel wünschen.

Vorteile der Organisationsressource

Mit einer Organisationsressource gehören Projektressourcen zu Ihrer Organisation, anstatt zu dem Mitarbeiter, der das Projekt erstellt hat. Das bedeutet, dass die Projektressourcen nicht mehr gelöscht werden, wenn ein Mitarbeiter das Unternehmen verlässt. Sie folgen dem Lebenszyklus der Organisationsressource in Google Cloud.

Darüber hinaus haben Administratoren der Organisation die zentrale Kontrolle über alle Ressourcen. Dieser kann alle Projektressourcen Ihres Unternehmens ansehen und verwalten. Das bedeutet, dass es keine Schattenprojekte und keine Rogue-Administratoren mehr geben kann.

Außerdem können Sie Rollen auf Organisationsebene zuweisen, die von allen Projekt- und Ordnerressourcen unter der Organisationsressource übernommen werden. Sie können beispielsweise Ihrem Netzwerkteam die Rolle „Netzwerkadministrator“ auf Organisationsebene zuweisen und ihnen so die Möglichkeit geben, alle Netzwerke in allen Projektressourcen in Ihrem Unternehmen zu verwalten, anstatt sie für alle einzelnen Projektressourcen zu gewähren.

Eine Organisationsressource, die von der Resource Manager API verfügbar gemacht wird, besteht aus:

  • Die Ressourcen-ID einer Organisation ist eine eindeutige Kennung für eine Organisation.
  • Ein Anzeigename, der aus dem primären Domainnamen in Google Workspace oder Cloud Identity generiert wird.
  • Die Erstellungszeit der Organisationsressource.
  • Der Zeitpunkt der letzten Änderung der Organisationsressource.
  • Der Inhaber der Organisationsressource. Der Inhaber wird beim Erstellen der Organisationsressource angegeben. und kann anschließend nicht mehr geändert werden. Dies ist die Google Workspace-Kundennummer, die in der Directory API angegeben wird.

Das folgende Code-Snippet zeigt die Struktur einer Organisationsressource:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Die anfängliche IAM-Richtlinie für eine neu erstellte Organisationsressource gewährt der gesamten Google Workspace-Domain die Rollen „Projektersteller“ und „Rechnungskontoersteller“. Nutzer können also weiterhin Projektressourcen und Rechnungskonten erstellen, wie es vor der Organisationsressource war. Beim Erstellen einer Organisationsressource werden keine weiteren Ressourcen erstellt.

Die Ordnerressource

Ordnerressourcen bieten optional einen zusätzlichen Gruppierungsmechanismus und Isolationsgrenzen zwischen Projekten. Sie werden als Unterorganisationen innerhalb der Organisationsressource betrachtet. Mit Ordnerressourcen können verschiedene juristische Personen, Abteilungen und Teams innerhalb eines Unternehmens modelliert werden. Beispielsweise kann eine erste Ebene von Ordnerressourcen verwendet werden, um die Hauptabteilungen Ihrer Organisation darzustellen. Da Ordnerressourcen Projektressourcen und andere Ordner enthalten können, kann jede Ordnerressource weitere Unterordner für verschiedene Teams enthalten. Jeder Teamordner könnte weitere Unterordner für verschiedene Anwendungen enthalten. Weitere Informationen zur Verwendung von Ordnerressourcen finden Sie unter Ordnerressourcen erstellen und verwalten.

Wenn in Ihrer Organisationsressource Ordnerressourcen vorhanden sind und Sie die entsprechenden Berechtigungen haben, können Sie sie über die Google Cloud Console ansehen. Eine ausführliche Anleitung finden Sie unter Ordner- und Projektressourcen ansehen oder auflisten.

Ordnerressourcen ermöglichen die Delegierung von Administratorrechten. So kann beispielsweise jedem Abteilungsleiter die vollständige Inhaberschaft aller Google Cloud-Ressourcen der entsprechenden Abteilungen zugewiesen werden. Auch der Zugriff auf Ressourcen kann durch Ordnerressourcen eingeschränkt werden, sodass Nutzer in einer Abteilung nur Google Cloud-Ressourcen in dieser Ordnerressource aufrufen und erstellen können.

Das folgende Code-Snippet zeigt die Struktur einer Ordnerressource:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Ordner-Ressourcen dienen wie Organisations- und Projektressourcen als Übernahmepunkte für IAM- und Organisationsrichtlinien. IAM-Rollen, die für eine Ordnerressource gewährt wurden, werden automatisch von allen Projekt- und Ordnerressourcen in diesem Ordner übernommen.

Die Projektressource

Die Projektressource ist die unterste Organisationsebene. Ressourcen vom Typ „Organisation“ und „Ordner“ können mehrere Projekte enthalten. Eine Projektressource ist erforderlich, um Google Cloud verwenden zu können. Sie bildet die Grundlage zum Erstellen, Aktivieren und Verwenden aller Google Cloud-Dienste, Verwalten von APIs, Aktivieren der Abrechnung, Hinzufügen und Entfernen von Mitbearbeitern und Verwalten von Berechtigungen.

Alle Projektressourcen umfassen Folgendes:

  • Zwei Kennungen:
    1. Projektressourcen-ID, die eine eindeutige Kennung für die Projektressource ist.
    2. Projektressourcennummer, die beim Erstellen des Projekts automatisch zugewiesen wird. Diese ist schreibgeschützt.
  • Einen änderbaren Anzeigenamen
  • Der Lebenszyklusstatus der Projektressource, z. B. ACTIVE oder DELETE_REQUESTED.
  • Eine Reihe von Labels, die zum Filtern von Projekten verwendet werden können
  • Der Zeitpunkt, zu dem die Projektressource erstellt wurde.

Das folgende Code-Snippet zeigt die Struktur einer Projektressource:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Für die Interaktion mit den meisten Google Cloud-Ressourcen müssen Sie für jede Anfrage die identifizierenden Projektressourceninformationen angeben. Sie können eine Projektressource auf zwei Arten identifizieren: eine Projektressourcen-ID oder eine Projektressourcennummer (projectId und projectNumber im Code-Snippet).

Die Projektressourcen-ID ist der benutzerdefinierte Name, den Sie beim Erstellen der Projektressource ausgewählt haben. Wenn Sie eine API aktivieren, die eine Projektressource erfordert, werden Sie aufgefordert, eine Projektressource zu erstellen oder eine Projektressource anhand ihrer Projektressourcen-ID auszuwählen. Der String name, der in der UI angezeigt wird, ist nicht mit der Projektressourcen-ID identisch.

Die Projektressourcennummer wird automatisch von Google Cloud generiert. Sowohl die Projektressourcen-ID als auch die Projektressourcennummer finden Sie im Dashboard der Projektressource in der Google Cloud Console. Informationen zum Abrufen von Projekt-IDs und anderen Verwaltungsaufgaben für Projektressourcen finden Sie unter Projektressourcen erstellen und verwalten.

Die anfängliche IAM-Richtlinie einer neu erstellten Projektressource weist dem Ersteller des Projekts die Inhaberrolle zu.

IAM-Richtlinienübernahme

Google Cloud bietet mit IAM (Identity and Access Management) die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Mit IAM können Sie steuern, wer (Nutzer) welche Zugriffsrechte (Rollen) für welche Ressourcen hat. Dazu legen Sie IAM-Richtlinien für die Ressourcen fest.

IAM-Richtlinien können auf Organisationsebene, Ordnerebene, Projektebene und zum Teil auch auf Ressourcenebene festgelegt werden. Ressourcen übernehmen jeweils die Richtlinien der übergeordneten Ressource. Wenn Sie eine Richtlinie auf Organisationsebene festlegen, wird sie von allen untergeordneten Ordnern und Projektressourcen übernommen. Wenn Sie eine Richtlinie auf Projektebene festlegen, wird sie von allen untergeordneten Ressourcen übernommen.

Die für eine Ressource geltende Richtlinie ist die Kombination aus der für die Ressource festgelegten Richtlinie sowie der von Ancestors übernommenen Richtlinie. Diese Übernahme ist transitiv. Mit anderen Worten: Ressourcen übernehmen Richtlinien aus dem Projekt, die Richtlinien von der Organisationsressource übernehmen. Daher gelten die Richtlinien auf Organisationsebene auch auf der Ressourcenebene.

Wenn Sie beispielsweise in der oben dargestellten Ressourcenhierarchie eine Richtlinie für den Ordner "Department Y" (Abteilung Y) festlegen, die bob@example.com die Rolle "Project Editor" (Projektbearbeiter) zuweist, hat Bob die Bearbeiterrolle für die Projekte "Development Project" (Entwicklungsprojekt), "Test Project" (Testprojekt) und "Production Project" (Produktionsprojekt). Wenn Sie hingegen alice@example.com die Rolle "Instanzadministrator" für das Projekt "Test Project" zuweisen, kann Alice nur Compute Engine-Instanzen in diesem Projekt verwalten.

Rollen werden immer übernommen und es gibt keine Möglichkeit, eine Berechtigung für eine untergeordnete Ressource, die auf einer höheren Ebene in der Ressourcenhierarchie erteilt wurde, explizit zu entfernen. Selbst wenn Sie im obigen Beispiel die Rolle "Project Editor" von Bob für das "Test Project" entfernen, übernimmt er diese Rolle weiterhin aus dem Ordner "Department Y", sodass er auch die Berechtigungen dieser Rolle für das "Test Project" weiterhin hat.

Für die IAM-Richtlinienhierarchie gelten dieselben Regeln wie für die Google Cloud-Ressourcenhierarchie. Wenn Sie die Ressourcenhierarchie ändern, ändert sich auch die Richtlinienhierarchie. Wenn Sie beispielsweise ein Projekt in eine Organisationsressource verschieben, wird die IAM-Richtlinie des Projekts aktualisiert, sodass es von der IAM-Richtlinie der Organisationsressource übernommen wird. Wenn Sie eine Projektressource von einer Ordnerressource in eine andere verschieben, werden die übernommenen Berechtigungen ebenfalls geändert. Berechtigungen, die von der Projektressource der ursprünglichen übergeordneten Ressource übernommen wurden, gehen verloren, wenn die Projektressource in eine neue Ordnerressource verschoben wird. Berechtigungen, die auf der Zielordnerressource festgelegt sind, werden beim Verschieben der Projektressource übernommen.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten