Die Organisationsressource ist der Stammknoten im Google Cloud-Ressourcenhierarchie und ist der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.
Hinweis
Übersicht lesen der Organisationsressource.
Organisationsressource beziehen
Für Google Workspace- und Cloud Identity-Kunden steht eine Organisationsressource zur Verfügung:
- Google Workspace: Registrieren Sie sich für Google Workspace.
- Cloud Identity: Registrieren Sie sich für Cloud Identity.
Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:
- Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird der Organisationsressource für Sie erstellt, wenn Sie sich im Google Cloud Console und akzeptieren Sie die Nutzungsbedingungen.
-
Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource die für Sie erstellt werden, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle Projekte, die Sie zuvor erstellt haben, werden unter „Keine Organisation“ aufgeführt. Das ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch mit ihr verknüpft.
Sie müssen alle Projekte, die Sie unter „Keine Organisation“ erstellt haben, in die neue Organisationsressource verschieben. Eine Anleitung zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisationsressource migrieren.
Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die in Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden werden untergeordnete Elemente dieser Organisationsressource.
- Weitere Informationen zum Migrieren bereits vorhandener Projekte finden Sie unter Vorhandene Projekte zu einer Organisation migrieren.
Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Eine Organisationsressource ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.
Wenn die Organisationsressource erstellt wurde, teilen wir die Verfügbarkeit dieser Ressource den Super Admins für Google Workspace oder Cloud Identity mit. Diese sollten Sie mit Bedacht einsetzen, Ihre Organisationsressource und alle ihr untergeordneten Ressourcen zu steuern. Daher sollten Sie Super Admin-Konten für Google Workspace oder Cloud Identity nicht für die tägliche Verwaltung Ihrer Organisationsressource verwenden. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.
Um die Organisationsressource aktiv zu übernehmen, müssen die Google Workspace- oder
Cloud Identity-Super Admins müssen die
Administrator der Organisation
(roles/resourcemanager.organizationAdmin) IAM-Rolle (Identity and Access Management) zu einer
Nutzer oder der Gruppe. Eine Anleitung zum Einrichten Ihrer Organisationsressource finden Sie unter
Organisationsressource einrichten
- Beim Erstellen der Organisationsressource werden allen Nutzern in Ihrer Domain die IAM-Rollen „Projektersteller“ (
roles/resourcemanager.projectCreator) und „Rechnungskontoersteller“ (roles/billing.creator) auf Ebene der Organisationsressource zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen. - Der Administrator der Organisation entscheidet, wann er beginnen möchte. die Organisationsressource aktiv nutzen. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
- Wenn die Organisationsressource verfügbar ist, Sie aber nicht über die IAM-Berechtigungen zum Anzeigen verfügen, können Sie weiterhin Projekte und Abrechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie nicht sehen können.
ID der Organisationsressource abrufen
Die Ressourcen-ID der Organisation ist eine eindeutige Kennzeichnung für eine Organisationsressource und ist die beim Erstellen der Organisationsressource automatisch erstellt wird. Organisationsressourcen-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.
Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console, die gcloud CLI oder die Cloud Resource Manager API abrufen.
Console
So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud Console ab:
- Öffnen Sie die Google Cloud Console:
- Wählen Sie in der Projektauswahl oben auf der Seite Ihre Organisation aus. .
- Klicken Sie rechts auf Mehr und dann auf Einstellungen.
Auf der Seite Einstellungen wird die Ressourcen-ID Ihrer Organisation angezeigt.
gcloud
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Mit diesem Befehl werden alle Organisationsressourcen aufgelistet, zu denen Sie gehören, und der zugehörigen Ressourcen-IDs der Organisation.
API
Wenn Sie die Organisationsressourcen-ID mithilfe der Cloud Resource Manager API ermitteln möchten, verwenden Sie die Methode organizations.search() und fügen Sie eine Abfrage für Ihre Domain hinzu. Beispiel:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
Die Antwort enthält die Metadaten der Organisationsressource, die zu altostrat.com gehört, einschließlich der Organisationsressourcen-ID.
Organisationsressource einrichten
Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird automatisch eine Organisationsressource für Sie bereitgestellt.
Die Super Admins für Google Workspace oder Cloud Identity sind die ersten Nutzer, die nach dem Erstellen auf die Organisationsressource zugreifen können. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Sie sehen die Organisationsressource, können sie aber erst nach der korrekten Berechtigungen festgelegt sind.
Die Super Admins für Google Workspace oder Cloud Identity und der Google Cloud-Organisationsadministrator sind wichtige Rollen während der Einrichtung und für die Lebenszyklussteuerung der Organisationsressource. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.
Super Admin-Verantwortlichkeiten für Google Workspace oder Cloud Identity Kontext der Einrichtung von Google Cloud-Organisationsressourcen:
- Er weist Nutzern die Rolle Organisationsadministrator zu.
- Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
- Er steuert den Lebenszyklus des Google Workspace- oder Cloud Identity-Kontos und der Organisationsressource, wie unter Organisationsressource löschen erläutert.
Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern Rollen für die Identitäts- und Zugriffsverwaltung zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:
- IAM-Richtlinien definieren und anderen Nutzern IAM-Rollen zuweisen
- Einblick in die Struktur der Ressourcenhierarchie
Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.
Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.
Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:
Organisationsadministrator hinzufügen
Console
So fügen Sie einen Organisationsadministrator hinzu:
Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite IAM & Verwaltung auf:
Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:
Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.
Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste „Organisation“ und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.
Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die Seite IAM-Berechtigungen zu öffnen.
Klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adressen eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.
Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.
Der Administrator der Organisation kann Folgendes tun:
Die vollständige Kontrolle über die Organisationsressource übernehmen. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.
Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.
Wie unter Organisationsressource beziehen erläutert, werden beim Erstellen allen Nutzern in der Domain standardmäßig die Rollen „Projektersteller“ und „Rechnungskontoersteller“ auf Ebene der Organisationsressource gewährt. So stellen Sie sicher,
für Google Cloud-Nutzer verursacht, wenn die Organisationsressource erstellt wird. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle „Projektersteller“ der gesamten Domain (domain:mycompany.com) zugewiesen wird.
Projekte in Ihrer Organisationsressource erstellen
Console
Sie können ein Projekt in der Organisationsressource in der Google Cloud Console erstellen, nachdem die Organisationsressource für Ihre Domain aktiviert wurde.
So erstellen Sie ein neues Projekt in der Organisationsressource:
So erstellen Sie ein neues Projekt:
-
Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.
Zur Seite „Ressourcen verwalten“
Die verbleibenden Schritte werden in der Google Cloud Console angezeigt.
- Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
- Klicken Sie auf Projekt erstellen.
- Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
- Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
- Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.
API
Sie können in der Organisationsressource ein neues Projekt erstellen, indem Sie einen project erstellen und für dessen parent-Feld die organizationId der Organisationsressource festlegen.
Das folgende Code-Snippet zeigt, wie ein Projekt in einem Organisationsressource:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Projekte in einer Organisationsressource ansehen
Nutzer können nur Projekte einsehen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisationsressource einsehen und auflisten.
Console
So rufen Sie alle Projekte in einer Organisationsressource über die Google Cloud Console auf:
Öffnen Sie die Google Cloud Console:
Klicken Sie oben auf der Seite auf das Drop-down Organisation.
Wählen Sie Ihre Organisationsressource aus.
Klicken Sie oben auf der Seite auf das Drop-down-Menü Projekt und dann auf Mehr Projekte aufrufen. Alle Projekte in der Organisationsressource werden aufgelistet auf der Seite.
Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:
- Projekte, die noch nicht zur Organisationsressource gehören
- Projekte, auf die der Nutzer Zugriff hat, die aber zu einer Organisation gehören Ressource, auf die der Nutzer keinen Zugriff hat.
gcloud
Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisationsressource anzusehen:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Mit der Methode projects.list() können Sie alle Projekte unter einer übergeordneten Ressource auflisten, wie im folgenden Code-Snippet gezeigt:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Organisationsressource löschen
Die Organisationsressource ist an Ihr Google Workspace- oder Cloud Identity-Konto gebunden.
Wenn Sie die Organisationsressource nicht verwenden möchten, Wiederherstellen der IAM-Richtlinie der Organisationsressource in den ursprünglichen Zustand mithilfe der folgenden Schritten:
- Fügen Sie Ihre Domain den Rollen
Project CreatorundBilling Account Creatorhinzu. - Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisationsressource.
Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.
Wenn Sie Ihr Google Workspace-Konto löschen werden Ihre Organisationsressource und alle Ressourcen, die mit Wenn Sie Ihre Organisationsressource löschen möchten, können Sie dies folgendermaßen tun: Löschen Ihres Google Workspace-Kontos. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sich sicher sind, dass keine Ressourcen aktiv sind.
Jetzt testen
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten