Die Organisationsressource ist der Stammknoten in der Google Cloud-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.
Hinweise
Sehen Sie sich die Übersicht über die Organisationsressource an.
Organisationsressource beziehen
Für Google Workspace- und Cloud Identity-Kunden steht eine Organisationsressource zur Verfügung:
- Google Workspace: Registrieren Sie sich für Google Workspace.
- Cloud Identity: Registrieren Sie sich für Cloud Identity.
Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:
- Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.
-
Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource für Sie erstellt, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle Projekte, die Sie zuvor erstellt haben, werden unter „Keine Organisation“ aufgeführt. Das ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch mit ihr verknüpft.
Sie müssen alle Projekte, die Sie unter „Keine Organisation“ erstellt haben, in die neue Organisationsressource verschieben. Eine Anleitung zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisationsressource migrieren.
Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden, sind untergeordnete Elemente dieser Organisationsressource.
- Weitere Informationen zum Migrieren bereits vorhandener Projekte finden Sie unter Vorhandene Projekte zu einer Organisation migrieren.
Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Eine Organisationsressource ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.
Wenn die Organisationsressource erstellt wurde, teilen wir die Verfügbarkeit dieser Ressource den Super Admins für Google Workspace oder Cloud Identity mit. Bei der Verwendung dieser Super Admin-Konten ist Vorsicht angeraten, da sie mit umfangreichen Berechtigungen ausgestattet sind, die eine umfassende Kontrolle über Ihre Organisation und alle darin enthaltenen Ressourcen ermöglichen. Daher sollten Sie Super Admin-Konten für Google Workspace oder Cloud Identity nicht für die tägliche Verwaltung Ihrer Organisationsressource verwenden. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.
Für eine aktive Übernahme der Organisationsressource müssen die Super Admins für Google Workspace oder Cloud Identity einem Nutzer oder einer Gruppe die IAM-Rolle Administrator der Organisation (roles/resourcemanager.organizationAdmin
) zuweisen. Eine Anleitung zum Einrichten einer Organisationsressource finden Sie unter Organisationsressource einrichten.
- Beim Erstellen der Organisationsressource werden allen Nutzern in Ihrer Domain die IAM-Rollen „Projektersteller“ (
roles/resourcemanager.projectCreator
) und „Rechnungskonto-Ersteller“ (roles/billing.creator
) auf Ebene der Organisationsressource zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen. - Der Organisationsadministrator entscheidet, ab wann die Organisationsressource aktiv genutzt werden soll. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
- Wenn die Organisationsressource verfügbar ist, Sie aber nicht über die IAM-Berechtigungen zum Anzeigen verfügen, können Sie weiterhin Projekte und Abrechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.
ID der Organisationsressource abrufen
Die Organisationsressourcen-ID ist eine eindeutige Kennzeichnung für eine Organisationsressource und wird automatisch gemeinsam mit der Organisationsressource erstellt. Organisationsressourcen-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.
Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console, die gcloud CLI oder die Cloud Resource Manager API abrufen.
Console
So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud Console ab:
- Öffnen Sie die Google Cloud Console:
- Wählen Sie in der Projektauswahl oben auf der Seite die Ressource Ihrer Organisation aus.
- Klicken Sie auf der rechten Seite auf das Dreipunkt-Menü und dann auf Einstellungen.
Auf der Seite Einstellungen wird die ID Ihrer Organisationsressource angezeigt.
gcloud
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Dadurch wird eine Liste aller Organisationsressourcen ausgegeben, zu denen Sie gehören, sowie die entsprechenden Organisationsressourcen-IDs.
API
Wenn Sie die Organisationsressourcen-ID mithilfe der Cloud Resource Manager API ermitteln möchten, verwenden Sie die Methode organizations.search()
und fügen Sie eine Abfrage für Ihre Domain hinzu. Beispiel:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
Die Antwort enthält die Metadaten der Organisationsressource, die zu altostrat.com
gehört, einschließlich der Organisationsressourcen-ID.
Organisationsressource einrichten
Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird automatisch eine Organisationsressource für Sie bereitgestellt.
Die Super Admins von Google Workspace oder Cloud Identity sind die ersten Nutzer, die nach dem Erstellen der Organisationsressource Zugriff darauf haben. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Sie sehen die Organisationsressource zwar, können sie aber erst ändern, nachdem die entsprechenden Berechtigungen festgelegt wurden.
Die Super Admins für Google Workspace oder Cloud Identity und der Google Cloud-Organisationsadministrator sind wichtige Rollen während der Einrichtung und für die Lebenszyklussteuerung der Organisationsressource. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.
Der Super Admin für Google Workspace und Cloud Identity hat im Zusammenhang mit der Einrichtung von Google Cloud-Organisationsressourcen folgende Aufgaben:
- Er weist Nutzern die Rolle Organisationsadministrator zu.
- Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
- Er steuert den Lebenszyklus des Google Workspace- oder Cloud Identity-Kontos und der Organisationsressource, wie unter Organisationsressource löschen erläutert.
Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern Rollen für die Identitäts- und Zugriffsverwaltung zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:
- IAM-Richtlinien definieren und anderen Nutzern IAM-Rollen zuweisen
- Einblick in die Struktur der Ressourcenhierarchie
Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.
Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.
Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:
Organisationsadministrator hinzufügen
Console
So fügen Sie einen Organisationsadministrator hinzu:
Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite IAM & Verwaltung auf:
Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:
Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.
Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste der Organisation und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.
Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die Seite IAM-Berechtigungen zu öffnen.
Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.
Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.
Der Administrator der Organisation kann Folgendes tun:
Die vollständige Kontrolle über die Organisationsressource übernehmen. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.
Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.
Wie unter Organisationsressource beziehen erläutert, werden beim Erstellen allen Nutzern in der Domain standardmäßig die Rollen „Projektersteller“ und „Rechnungskonto-Ersteller“ auf Ebene der Organisationsressource gewährt. Dadurch wird eine unterbrechungsfreie Dienstverfügbarkeit für Google Cloud-Nutzer während der Erstellung der Organisationsressource gewährleistet. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle „Projektersteller“ der gesamten Domain (domain:mycompany.com
) zugewiesen wird.
Projekte in der Ressourcenseite Ihrer Organisation erstellen
Console
Sie können ein Projekt in der Organisationsressource in der Google Cloud Console erstellen, nachdem die Organisationsressource für Ihre Domain aktiviert wurde.
So erstellen Sie ein neues Projekt in der Organisationsressource:
So erstellen Sie ein neues Projekt:
-
Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.
Zur Seite „Ressourcen verwalten“
Die verbleibenden Schritte werden in der Google Cloud Console angezeigt.
- Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
- Klicken Sie auf Projekt erstellen.
- Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
- Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
- Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.
API
Sie können in der Organisationsressource ein neues Projekt erstellen, indem Sie einen project
erstellen und für dessen parent
-Feld die organizationId
der Organisationsressource festlegen.
Das folgende Code-Snippet zeigt, wie ein Projekt in einer Organisationsressource erstellt wird:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Projekte in einer Organisationsressource ansehen
Nutzer können nur Projekte einsehen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisationsressource einsehen und auflisten.
Console
So rufen Sie alle Projekte in einer Organisationsressource mit der Google Cloud Console auf:
Öffnen Sie die Google Cloud Console:
Klicken Sie oben auf der Seite auf das Drop-down Organisation.
Wählen Sie Ihre Organisationsressource aus.
Klicken Sie oben auf der Seite auf das Drop-down-Menü Projekt und dann auf Mehr Projekte aufrufen. Auf der Seite werden alle Projekte in der Organisationsressource aufgeführt.
Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:
- Projekte, die noch nicht zur Organisationsressource gehören
- Projekte, auf die der Nutzer Zugriff hat, die jedoch zu einer Organisationsressource gehören, auf die der Nutzer keinen Zugriff hat
gcloud
Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisationsressource aufzurufen:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Mit der Methode projects.list()
können Sie alle Projekte unter einer übergeordneten Ressource auflisten, wie im folgenden Code-Snippet gezeigt:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Organisationsressource löschen
Die Organisationsressource ist an Ihr Google Workspace- oder Cloud Identity-Konto gebunden.
Wenn Sie die Organisationsressource nicht verwenden möchten, empfehlen wir, die IAM-Richtlinie der Organisationsressource so im Originalzustand wiederherzustellen:
- Fügen Sie Ihre Domain den Rollen
Project Creator
undBilling Account Creator
hinzu. - Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisationsressource.
Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.
Wenn Sie Ihr Google Workspace-Konto löschen, werden Ihre Organisationsressource und alle zugehörigen Ressourcen gelöscht. Wenn Sie also Ihre Organisationsressource löschen möchten, können Sie dazu Ihr Google Workspace-Konto löschen. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sich sicher sind, dass keine Ressourcen aktiv sind.
Jetzt testen
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten