Organisationen erstellen und verwalten

Die Organisationsressource ist der Stammknoten in der Google Cloud-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.

Vorbereitung

Sehen Sie sich die Übersicht über die Organisationsressource an.

Eine Organisationsressource beziehen

Für Google Workspace- und Cloud Identity-Kunden steht eine Organisationsressource zur Verfügung:

Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:

  • Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.
  • Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource für Sie erstellt, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle Projekte, die Sie zuvor erstellt haben, werden unter "Keine Organisation" aufgeführt. Dies ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch mit ihr verknüpft.

    Sie müssen alle Projekte, die Sie unter "Keine Organisation" erstellt haben, in die neue Organisationsressource verschieben. Eine Anleitung zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisation migrieren.

Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden, sind untergeordnete Elemente dieser Organisation.

Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisation zugeordnet. Eine Organisation ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.

Wenn eine Organisationsressource erstellt wurde, teilen wir die Verfügbarkeit dieser Ressource den Super Admins für Google Cloud (früher G Suite) oder Cloud Identity mit. Bei der Verwendung dieser Super Admin-Konten ist Vorsicht angeraten, da sie mit umfangreichen Berechtigungen ausgestattet sind, die eine umfassende Kontrolle über Ihre Organisation und alle darin enthaltenen Ressourcen ermöglichen. Daher sollten Sie Super Admin-Konten für Google Workspace oder Cloud Identity nicht für die tägliche Verwaltung Ihrer Organisation zu verwenden. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.

Für eine aktive Übernahme der Organisationsressource müssen die Super Admins für Google Workspace oder Cloud Identity einem Nutzer oder einer Gruppe die IAM-Rolle "Administrator der Organisation" zuweisen. Schritte zum Einrichten Ihrer Organisation finden Sie unter Organisation einrichten.

  • Beim Erstellen der Organisation werden allen Nutzern in Ihrer Domain die IAM-Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Organisationsadministrator entscheidet, ab wann die Organisation aktiv genutzt werden soll. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisation verfügbar ist, Sie aber nicht über die IAM-Berechtigungen zum Anzeigen verfügen, können Sie weiterhin Projekte und Abrechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.

Organisations-ID beziehen

Die Organisations-ID ist eine eindeutige Kennzeichnung für eine Organisation und wird automatisch gemeinsam mit der Organisationsressource erstellt. Organisations-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können Ihre Organisations-ID entweder über die Cloud Console, das gcloud-Tool oder die Resource Manager API abrufen.

Console


So erhalten Sie Ihre Organisations-ID über die Cloud Console:

  1. Wechseln Sie zur Cloud Console:

    Zur Cloud Console

  2. Klicken Sie oben auf der Seite auf die Dropdown-Liste für die Projektauswahl.
  3. Klicken Sie im daraufhin angezeigten Fenster Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die gewünschte Organisation aus.
  4. Klicken Sie auf der rechten Seite auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die ID Ihrer Organisation angezeigt.

gcloud


Führen Sie den folgenden Befehl aus, um Ihre Organisations-ID zu ermitteln:

gcloud organizations list

Dadurch wird eine Liste aller Organisationen ausgegeben, denen Sie angehören, sowie die entsprechenden Organisations-IDs.

API


Zum Ermitteln der Organisations-ID mithilfe der Resource Manager API rufen Sie die Methode organizations.search() mit dem Filter domain:[company.com] auf. Die Antwort enthält die Metadaten der Organisationsressource, einschließlich der Organisations-ID.

Organisation einrichten

Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird automatisch eine Organisationsressource für Sie bereitgestellt.

Die Super Admins für Google Workspace oder Cloud Identity sind die ersten Nutzer, die nach dem Erstellen der Organisation Zugriff darauf haben. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Sie sehen die Organisationsressource zwar, können sie aber erst ändern, nachdem die entsprechenden Berechtigungen festgelegt wurden.

Die Super Admins für Google Workspace oder Cloud Identity und der GCP-Organisationsadministrator spielen während der Einrichtung und bei der Lebenszyklussteuerung der Organisationsressource eine wichtige Rolle. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.

Der Super Admin für Google Workspace und Cloud Identity hat im Zusammenhang mit der Einrichtung der GCP-Organisation folgende Verantwortlichkeiten:

  • Er weist Nutzern die Rolle "Organisationsadministrator" zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Er steuert den Lebenszyklus des Google Workspace- oder Cloud Identity-Kontos und der Organisationsressource, wie unter Organisationsressource löschen erläutert.

Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern IAM-Rollen zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:

  • Er definiert IAM-Richtlinien.
  • Er bestimmt die Struktur der Ressourcenhierarchie.
  • Er delegiert die Verantwortung für wichtige Komponenten wie Netzwerke, die Abrechnung und die Ressourcenhierarchie durch IAM-Rollen.

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Um die Organisationsressource aktiv zu nutzen, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Konsole

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Die vollständige Kontrolle über die Organisation übernehmen. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Wie unter Organisationsressource beziehen erläutert, werden beim Erstellen allen Nutzern in der Domain standardmäßig die Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene gewährt. Dadurch wird eine unterbrechungsfreie Dienstverfügbarkeit für GCP-Nutzer während der Erstellung der Organisationsressource gewährleistet. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle "Projektersteller" der gesamten Domain (domain:meinunternehmen.com) zugewiesen wird.

Projekte in meiner Organisation erstellen

Console


Sie können ein Projekt in der Organisation in der Cloud Console erstellen, nachdem die Organisationsressource für Ihre Domain aktiviert wurde.

So erstellen Sie ein neues Projekt in der Organisation:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.
    Zur Seite "Ressourcen verwalten"
  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisation aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Geben Sie die übergeordnete Organisation oder den übergeordneten Ordner in das Feld Speicherort ein. Diese Ressource ist das hierarchische übergeordnete Element des neuen Projekts.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

API


Sie können in der Organisation ein neues Projekt erstellen, indem Sie ein project erstellen und für dessen parent-Feld die organizationId der Organisation festlegen.

Das folgende Code-Snippet zeigt das Erstellen eines Projekts in einer Organisation:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Projekte in einer Organisation ansehen

Nutzer können nur Projekte anzeigen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisation anzeigen und auflisten.

Console


So rufen Sie alle Projekte in einer Organisation mit der Cloud Console auf:

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Klicken Sie oben auf der Seite auf das Drop-down Organisation.

  3. Wählen Sie Ihre Organisation aus.

  4. Klicken Sie oben auf der Seite auf das Drop-down Projekt und dann auf Mehr Projekte aufrufen. Auf der Seite werden alle Projekte in der Organisation angezeigt.

Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:

  • Projekte, die noch nicht zur Organisation gehören
  • Projekte, auf die der Nutzer Zugriff hat, die jedoch zu einer Organisation gehören, auf die der Nutzer keinen Zugriff hat

gcloud


Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisation aufzurufen:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Mit der Methode projects.list() können Sie alle Projekte in einer Organisation auflisten, wie im folgenden Code-Snippet gezeigt:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Organisationsressource löschen

Die Organisationsressource ist an Ihr Google Workspace- oder Ihr Cloud Identity-Konto gebunden.

Wenn Sie die Organisationsressource nicht verwenden möchten, empfiehlt es sich, den ursprünglichen Status der IAM-Richtlinie der Organisation wiederherzustellen. Gehen Sie dazu folgendermaßen vor:

  1. Fügen Sie Ihre Domain den Rollen Project Creator und Billing Account Creator hinzu.
  2. Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisation.

Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.

Wenn Sie Ihr Google Workspace-Konto löschen, werden Ihre Organisation und alle zugehörigen Ressourcen gelöscht. Wenn Sie Ihre Organisation löschen möchten, löschen Sie Ihr Google Workspace-Konto löschen. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sicher sind, dass keine Ressourcen aktiv sind.