Organisationen erstellen und verwalten

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Die Organisationsressource ist der Stammknoten in der Google Cloud-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.

Hinweis

Übersicht über die Organisationsressource lesen

Organisationsressource beziehen

Für Google Workspace- und Cloud Identity-Kunden ist eine Organisationsressource verfügbar:

Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:

  • Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.
  • Wenn Sie Google Cloud-Nutzer sind, wird die Organisationsressource für Sie angelegt, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle zuvor erstellten Projekte werden unter „Keine Organisation“ aufgelistet. Das ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch damit verknüpft.

    Sie müssen alle Projekte, die Sie unter „Keine Organisation“ erstellt haben, in Ihre neue Organisationsressource verschieben. Eine Anleitung zum Verschieben von Projekten finden Sie unter Projekte in eine Organisationsressource migrieren.

Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden, sind untergeordnete Elemente dieser Organisationsressource.

Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Eine Organisationsressource ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.

Wenn die Organisationsressource erstellt wird, informieren wir die Google Workspace- oder Cloud Identity-Super Admins über ihre Verfügbarkeit. Diese Super Admin-Konten sollten mit Bedacht verwendet werden, da sie viele Kontrolle über Ihre Organisationsressource und alle ihr untergeordneten Ressourcen haben. Aus diesem Grund raten wir von der Verwendung von Google Workspace- oder Cloud Identity-Super Admin-Konten für die alltägliche Verwaltung einer Organisationsressource ab. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.

Damit die Organisationsressource aktiv angenommen werden kann, müssen die Super Admins von Google Workspace oder Cloud Identity einem Nutzer oder einer Gruppe die IAM-Rolle (Identity and Access Management) Organisationsadministrator zuweisen. Eine Anleitung zum Einrichten Ihrer Organisationsressource finden Sie unter Organisationsressource einrichten.

  • Beim Erstellen der Organisationsressource werden allen Nutzern in Ihrer Domain automatisch die IAM-Rollen „Projektersteller“ (roles/resourcemanager.projectCreator) und „Rechnungskontoersteller“ (roles/billing.creator) auf Organisationsebene zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Organisationsadministrator entscheidet, wann er die Organisationsressource aktiv verwenden möchte. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisationsressource verfügbar ist und Sie keine IAM-Berechtigungen zum Ansehen haben, können Sie trotzdem Projekte und Rechnungskonten erstellen. Sie werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.

Ressourcen-ID Ihrer Organisation abrufen

Die ID der Organisationsressource ist eine eindeutige Kennzeichnung für eine Organisationsressource und wird automatisch beim Erstellen der Organisationsressource erstellt. Ressourcen-IDs von Organisationen sind als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console, die gcloud CLI oder die Resource Manager API abrufen.

Konsole


So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud Console ab:

  1. Rufen Sie die Google Cloud Console auf:

    Weiter zur Google Cloud Console

  2. Klicken Sie oben auf der Seite auf die Dropdown-Liste für die Projektauswahl.
  3. Klicken Sie im angezeigten Fenster Auswählen aus auf die Drop-down-Liste „Organisationsressource“ und wählen Sie die gewünschte Organisationsressource aus.
  4. Klicken Sie auf der rechten Seite auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die Ressourcen-ID Ihrer Organisation angezeigt.

gcloud


Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:

gcloud organizations list

Dadurch werden alle Organisationsressourcen, zu denen Sie gehören, und die entsprechenden Organisationsressourcen-IDs aufgelistet.

API


Wenn Sie die Ressourcen-ID Ihrer Organisation mithilfe der Resource Manager API ermitteln möchten, rufen Sie die Methode organizations.search() mit dem Filter domain:[company.com] auf. Die Antwort enthält die Metadaten der Organisationsressource, einschließlich der ID der Organisationsressource.

Organisationsressource einrichten

Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird Ihnen automatisch eine Organisationsressource bereitgestellt.

Die Super Admins von Google Workspace oder Cloud Identity sind die ersten Nutzer, die bei der Erstellung auf die Organisationsressource zugreifen können. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Sie können die Organisationsressource zwar sehen, aber erst ändern, wenn die entsprechenden Berechtigungen festgelegt wurden.

Die Super Admins von Google Workspace oder Cloud Identity und der Organisationsadministrator von Google Cloud sind wichtige Rollen während der Einrichtung und für die Lebenszyklussteuerung für die Organisationsressource. Die beiden Rollen werden im Allgemeinen unterschiedlichen Nutzern oder Gruppen zugewiesen. Das hängt aber von der Struktur und den Anforderungen der Organisation ab.

Für Super Admins von Google Workspace oder Cloud Identity gilt im Zusammenhang mit der Einrichtung von Google Cloud-Organisationsressourcen Folgendes:

  • Er weist Nutzern die Rolle Organisationsadministrator zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Den Lebenszyklus des Google Workspace- oder Cloud Identity-Kontos und der Organisationsressource steuern, wie unter Organisationsressource löschen erläutert.

Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern Rollen für die Identitäts- und Zugriffsverwaltung zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:

  • IAM-Richtlinien definieren und anderen Nutzern IAM-Rollen zuweisen
  • Einblick in die Struktur der Ressourcenhierarchie

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace- oder Cloud Identity-Super Admin an und rufen Sie die Seite IAM &Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste für Organisationen und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Uneingeschränkte Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Wie unter Organisationsressource beziehen erläutert, werden allen Nutzern in der Domain standardmäßig die Rollen „Projektersteller“ und „Rechnungskontoersteller“ auf Organisationsebene gewährt. Dadurch wird sichergestellt, dass Google Cloud-Nutzer nicht unterbrochen werden, wenn die Organisationsressource erstellt wird. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle „Projektersteller“ der gesamten Domain (domain:mycompany.com) zugewiesen wird.

Projekte in Ihrer Organisationsressource erstellen

Console


Sie können ein Projekt in der Organisationsressource mit der Google Cloud Console erstellen, nachdem die Organisationsressource für Ihre Domain aktiviert wurde.

So erstellen Sie ein neues Projekt in der Organisationsressource:

So erstellen Sie ein neues Projekt:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.
  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

API


Sie können in der Organisationsressource ein neues Projekt erstellen. Dazu erstellen Sie ein project und legen für das Feld parent den Wert organizationId der Organisationsressource fest.

Im folgenden Code-Snippet sehen Sie, wie Sie ein Projekt in einer Organisationsressource erstellen:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Projekte in einer Organisationsressource ansehen

Nutzer können nur Projekte einsehen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Administrator der Organisation kann alle Projekte in der Organisationsressource ansehen und auflisten.

Console


So rufen Sie mit der Google Cloud Console alle Projekte in einer Organisationsressource auf:

  1. Rufen Sie die Google Cloud Console auf:

    Zur Google Cloud Console

  2. Klicken Sie oben auf der Seite auf das Drop-down Organisation.

  3. Wählen Sie Ihre Organisationsressource aus.

  4. Klicken Sie oben auf der Seite auf das Drop-down Projekt und dann auf Weitere Projekte anzeigen. Alle Projekte in der Organisationsressource werden auf der Seite aufgelistet.

Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:

  • Projekte, die noch nicht zur Organisationsressource gehören.
  • Projekte, auf die der Nutzer Zugriff hat, die sich jedoch in einer Organisationsressource befinden, auf die er nicht zugreifen kann.

gcloud


Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisationsressource anzusehen:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Mit der Methode projects.list() können Sie alle Projekte unter einer übergeordneten Ressource auflisten, wie im folgenden Code-Snippet gezeigt:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Organisationsressource löschen

Die Organisationsressource ist an Ihr Google Workspace- oder Cloud Identity-Konto gebunden.

Wenn Sie die Organisationsressource nicht verwenden möchten, empfehlen wir, die IAM-Richtlinie der Organisationsressource im ursprünglichen Zustand wiederherzustellen:

  1. Fügen Sie Ihre Domain den Rollen Project Creator und Billing Account Creator hinzu.
  2. Entfernen Sie alle anderen Einträge aus der IAM-Richtlinie der Organisationsressource.

Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.

Wenn Sie Ihr Google Workspace-Konto löschen, werden Ihre Organisationsressource und alle damit verknüpften Ressourcen gelöscht. Wenn Sie also Ihre Organisationsressource löschen möchten, können Sie Ihr Google Workspace-Konto löschen. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sich sicher sind, dass keine Ressourcen aktiv sind.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten