Organisationsressourcen erstellen und verwalten

Die Organisationsressource ist der Stammknoten im Google Cloud-Ressourcenhierarchie und ist der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.

Hinweise

Übersicht lesen der Organisationsressource.

Organisationsressource abrufen

Google Workspace- und Cloud Identity-Kunden können eine Organisationsressource beziehen:

Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:

  • Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird der Organisationsressource für Sie erstellt, wenn Sie sich im Google Cloud Console und akzeptieren Sie die Nutzungsbedingungen.

  • Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource die für Sie erstellt werden, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle von Ihnen erstellten Projekte zuvor unter „Keine Organisation“ aufgeführt. Das ist normal. Die Organisation Ressource angezeigt und das neu erstellte Projekt wird automatisch damit verknüpft.

    Sie müssen alle erstellten Projekte in den Bereich „Keine Organisation“ verschieben in Ihr neues Organisationsressource. Anweisungen zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisationsressource migrieren.

Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die in Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden werden untergeordnete Elemente dieser Organisationsressource.

Jedes Google Workspace- oder Cloud Identity-Konto ist exakt eine Organisationsressource beziehen. Eine Organisationsressource ist exakt eine Domain, die beim Erstellen der Organisationsressource festgelegt wird.

Wenn die Organisationsressource erstellt wurde, teilen wir deren Verfügbarkeit mit die Super Admins von Google Workspace oder Cloud Identity. Diese sollten Sie mit Bedacht einsetzen, Ihre Organisationsressource und alle ihr untergeordneten Ressourcen zu verwalten. Aus diesem Grund Wir raten davon ab, Super Admin-Konten von Google Workspace oder Cloud Identity zu verwenden. für die tägliche Verwaltung Ihrer Organisationsressource. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.

Um die Organisationsressource aktiv zu übernehmen, müssen die Google Workspace- oder Cloud Identity-Super Admins müssen die Administrator der Organisation (roles/resourcemanager.organizationAdmin) IAM-Rolle (Identity and Access Management) zu einer Nutzer oder der Gruppe. Eine Anleitung zum Einrichten Ihrer Organisationsressource finden Sie unter Organisationsressource einrichten

  • Wenn die Organisationsressource erstellt wird, werden alle Nutzer in Ihrer Domain automatisch gewährten Projektersteller (roles/resourcemanager.projectCreator) und IAM-Rollen des Rechnungskontoerstellers (roles/billing.creator) auf Ebene der Organisationsressource an. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Administrator der Organisation entscheidet, wann er beginnen möchte. die Organisationsressource aktiv nutzen. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisationsressource verfügbar ist und Sie die IAM-Rolle nicht haben haben, können Sie weiterhin Projekte und Rechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie nicht sehen können.

Ressourcen-ID der Organisation abrufen

Die Ressourcen-ID der Organisation ist eine eindeutige Kennzeichnung für eine Organisationsressource und ist die beim Erstellen der Organisationsressource automatisch erstellt wird. Organisationsressource IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console abrufen, über die gcloud CLI oder die Cloud Resource Manager API.

Console

So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud Console ab: Folgendes:

  1. Öffnen Sie die Google Cloud Console:

    Weiter zur Google Cloud Console

  2. Wählen Sie in der Projektauswahl oben auf der Seite Ihre Organisation aus. .
  3. Klicken Sie auf der rechten Seite auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die Ressourcen-ID Ihrer Organisation angezeigt.

gcloud

Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:

gcloud organizations list

Mit diesem Befehl werden alle Organisationsressourcen aufgelistet, zu denen Sie gehören, und der zugehörigen Ressourcen-IDs der Organisation.

API

Um die Ressourcen-ID Ihrer Organisation mithilfe der Cloud Resource Manager API zu ermitteln, verwenden Sie die organizations.search() -Methode einschließlich einer Abfrage für Ihre Domain. Beispiel:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Die Antwort enthält die Metadaten der Organisationsressource, die gehört zu altostrat.com, einschließlich der Ressourcen-ID der Organisation.

Organisationsressource einrichten

Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird Ihnen automatisch bereitgestellt.

Die Super Admins für Google Workspace oder Cloud Identity sind die ersten Nutzer, die nach dem Erstellen auf die Organisationsressource zugreifen können. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Sie sehen die Organisationsressource, können sie aber erst nach der korrekten Berechtigungen festgelegt sind.

Die Super Admins von Google Workspace oder Cloud Identity und die Google Cloud Organization Administrator spielen bei der Einrichtung eine wichtige Rolle. und Lebenszykluskontrolle für die Organisationsressource. Die beiden Rollen in der Regel verschiedenen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch davon ab, die Struktur und die Anforderungen der Organisationsressource.

Super Admins für Google Workspace oder Cloud Identity Kontext der Einrichtung von Google Cloud-Organisationsressourcen:

  • Er weist Nutzern die Rolle Organisationsadministrator zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Lebenszyklus von Google Workspace oder Cloud Identity steuern Konto- und Organisationsressource wie unter Organisationsressource löschen

Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern Rollen für die Identitäts- und Zugriffsverwaltung zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:

  • IAM-Richtlinien definieren und anderen Nutzern IAM-Rollen zuweisen
  • Einblick in die Struktur der Ressourcenhierarchie

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace- oder Cloud Identity Super Admin und rufen Sie die IAM und Verwaltung:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste „Organisation“. und wählen Sie die Organisationsressource aus, der Sie eine Organisationsadministrator.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige IAM-Berechtigungen.

  3. Klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adressen eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Übernehmen Sie die vollständige Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Wie unter Organisationsressource beziehen erläutert, können Sie bei der Erstellung Allen Nutzern in der Domain wurde die Rolle „Project Creator“ und „Billing Account Creator“ gewährt Rollen standardmäßig auf Organisationsressourcenebene. So stellen Sie sicher, für Google Cloud-Nutzer verursacht, wenn die Organisationsressource erstellt wird. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da Sie IAM-Richtlinien werden von oben nach unten übernommen, wobei Rolle „Projektersteller“, die der gesamten Domain zugewiesen ist (domain:mycompany.com) auf Organisationsressourcenebene impliziert, dass jeder Nutzer in der Domain können überall in der Hierarchie Projekte erstellen.

Projekte in Ihrer Organisationsressource erstellen

Console


Sie können ein Projekt in der Organisationsressource erstellen, indem Sie die Google Cloud Console, nachdem die Organisationsressource für Ihr Konto aktiviert wurde .

So erstellen Sie ein neues Projekt in der Organisationsressource:

So erstellen Sie ein neues Projekt:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

    Die verbleibenden Schritte werden in der Google Cloud Console angezeigt.

  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

API


Sie können ein neues Projekt in der Organisationsressource erstellen, indem Sie Erstellen eines project festgelegt und das Feld parent auf organizationId der Organisationsressource.

Das folgende Code-Snippet zeigt, wie ein Projekt in einem Organisationsressource:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Projekte in einer Organisationsressource aufrufen

Nutzer können nur Projekte einsehen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Administrator der Organisation kann alle Projekte im Organisationsressource.

Console


So rufen Sie alle Projekte in einer Organisationsressource über die Google Cloud Console auf:

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Klicken Sie oben auf der Seite auf das Drop-down Organisation.

  3. Wählen Sie Ihre Organisationsressource aus.

  4. Klicken Sie oben auf der Seite auf das Drop-down-Menü Projekt und dann auf Weitere Projekte ansehen Alle Projekte in der Organisationsressource werden aufgelistet auf der Seite.

Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:

  • Projekte, die noch nicht zur Organisationsressource gehören.
  • Projekte, auf die der Nutzer Zugriff hat, die aber zu einer Organisation gehören Ressource, auf die der Nutzer keinen Zugriff hat.

gcloud


Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisationsressource anzusehen:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Mit der Methode projects.list() können Sie alle Projekte unter einer übergeordneten Ressource auflisten, wie im folgenden Code-Snippet gezeigt:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Organisationsressource löschen

Die Organisationsressource ist an Ihr Google Workspace- oder Cloud Identity-Konto gebunden Konto.

Wenn Sie die Organisationsressource nicht verwenden möchten, Wiederherstellen der IAM-Richtlinie der Organisationsressource in den ursprünglichen Zustand mithilfe der folgenden Schritten:

  1. Fügen Sie Ihre Domain den Rollen Project Creator und Billing Account Creator hinzu.
  2. Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisationsressource.

Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.

Wenn Sie Ihr Google Workspace-Konto löschen werden Ihre Organisationsressource und alle Ressourcen, die mit Wenn Sie Ihre Organisationsressource löschen möchten, können Sie dies folgendermaßen tun: Löschen Ihres Google Workspace-Kontos. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sich sicher sind, dass keine Ressourcen aktiv sind.

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten