Organisationen erstellen und verwalten

Die Organisationsressource ist der Stammknoten in der Google Cloud Platform-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.

Vorbereitung

Sehen Sie sich die Übersicht über die Organisationsressource an.

Eine Organisationsressource beziehen

G Suite- und Cloud Identity-Kunden können eine Organisationsressource beziehen:

Sobald Sie Ihr G Suite- oder Cloud Identity-Konto erstellt und mit einer Domain verknüpft haben, wird Ihre Organisationsressource automatisch für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:

  • Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.
  • Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource für Sie erstellt, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle Projekte, die Sie zuvor erstellt haben, werden unter "Keine Organisation" aufgeführt. Dies ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch mit ihr verknüpft.

    Sie müssen alle Projekte, die Sie unter "Keine Organisation" erstellt haben, in die neue Organisationsressource verschieben. Eine Anleitung zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisation migrieren.

Die erstellte Organisationsressource wird mit Ihrem G Suite- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer G Suite- oder Cloud Identity-Domain erstellt wurden, sind untergeordnete Elemente dieser Organisation.

Jedes G Suite- oder Cloud Identity-Konto ist genau einer Organisation zugeordnet. Eine Organisation ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.

Wenn die Organisationsressource erstellt wurde, teilen wir den G Suite oder Cloud Identity Super Admins die Verfügbarkeit dieser Organisationsressource mit. Bei der Verwendung dieser Super Admin-Konten ist Vorsicht angeraten, da sie mit umfangreichen Berechtigungen ausgestattet sind, die eine umfassende Kontrolle über Ihre Organisation und alle darin enthaltenen Ressourcen ermöglichen. Aus diesem Grund sollten G Suite oder Cloud Identity Super Admin-Konten nicht zur Verwaltung des Tagesgeschäfts Ihrer Organisation verwendet werden. Weitere Informationen zum Verwenden von G Suite oder Cloud Identity Super Admin-Konten in Google Cloud finden Sie unter Best Practices für Super Admins.

Für eine aktive Übernahme der Organisationsressource müssen die G Suite oder Cloud Identity Super Admins einem Nutzer oder einer Gruppe die IAM-Rolle "Administrator der Organisation" zuweisen. Schritte zum Einrichten Ihrer Organisation finden Sie unter Organisation einrichten.

  • Beim Erstellen der Organisation werden allen Nutzern in Ihrer Domain die IAM-Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Organisationsadministrator entscheidet, ab wann die Organisation aktiv genutzt werden soll. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisation verfügbar ist, Sie aber nicht über die IAM-Berechtigungen zum Anzeigen verfügen, können Sie weiterhin Projekte und Abrechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.

Organisations-ID beziehen

Die Organisations-ID ist eine eindeutige Kennzeichnung für eine Organisation und wird automatisch gemeinsam mit der Organisationsressource erstellt. Organisations-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können Ihre Organisations-ID entweder über die Cloud Console, das gcloud-Tool oder die Resource Manager API abrufen.

Console


So erhalten Sie Ihre Organisations-ID über die Cloud Console:

  1. Wechseln Sie zur Cloud Console:

    Zur Cloud Console

  2. Klicken Sie oben auf der Seite auf die Dropdown-Liste für die Projektauswahl.
  3. Klicken Sie im daraufhin angezeigten Fenster Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die gewünschte Organisation aus.
  4. Klicken Sie auf der rechten Seite auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die ID Ihrer Organisation angezeigt.

gcloud


Führen Sie den folgenden Befehl aus, um Ihre Organisations-ID zu ermitteln:

gcloud organizations list

Dadurch wird eine Liste aller Organisationen ausgegeben, denen Sie angehören, sowie die entsprechenden Organisations-IDs.

API


Zum Ermitteln der Organisations-ID mithilfe der Resource Manager API rufen Sie die Methode organizations.search() mit dem Filter domain:[company.com] auf. Die Antwort enthält die Metadaten der Organisationsressource, einschließlich der Organisations-ID.

Organisation einrichten

Als G Suite- oder Cloud Identity-Kunde wird Ihnen automatisch eine Organisationsressource zur Verfügung gestellt.

Die G Suite oder Cloud Identity Super Admins sind die ersten Nutzer, die nach dem Erstellen der Organisation Zugriff darauf haben. Alle anderen Nutzer oder Gruppen können die GCP wie bisher verwenden. Sie sehen die Organisationsressource zwar, können sie aber erst ändern, nachdem die entsprechenden Berechtigungen festgelegt wurden.

Die G Suite oder Cloud Identity Super Admins und der GCP-Organisationsadministrator spielen während der Einrichtung und für die Lebenszyklussteuerung der Organisationsressource eine wichtige Rolle. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.

Der G Suite oder Cloud Identity Super Admin ist hinsichtlich der Einrichtung der GCP-Organisation für Folgendes verantwortlich:

  • Er weist Nutzern die Rolle "Organisationsadministrator" zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Er steuert den Lebenszyklus des G Suite- oder Cloud Identity-Kontos und der Organisationsressource, wie unter Organisationsressource löschen erläutert.

Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern IAM-Rollen zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:

  • Er definiert IAM-Richtlinien.
  • Er bestimmt die Struktur der Ressourcenhierarchie.
  • Er delegiert die Verantwortung für wichtige Komponenten wie Netzwerke, die Abrechnung und die Ressourcenhierarchie durch IAM-Rollen.

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Die beiden unterschiedlichen Rollen stellen die Aufgabentrennung zwischen den G Suite oder Cloud Identity Super Admins und dem GCP-Organisationsadministrator sicher. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Um die Organisationsressource aktiv zu nutzen, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Konsole

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als G Suite oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Die vollständige Kontrolle über die Organisation übernehmen. Die Zuständigkeiten des G Suite oder Cloud Identity Super Admin und des Google Cloud-Administrators werden getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Wie unter Organisationsressource beziehen erläutert, werden beim Erstellen allen Nutzern in der Domain standardmäßig die Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene gewährt. Dadurch wird eine unterbrechungsfreie Dienstverfügbarkeit für GCP-Nutzer während der Erstellung der Organisationsressource gewährleistet. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle "Projektersteller" der gesamten Domain (domain:meinunternehmen.com) zugewiesen wird.

Projekte in meiner Organisation erstellen

Console


Sie können ein Projekt in der Organisation in der Cloud Console erstellen, nachdem die Organisationsressource für Ihre Domain aktiviert wurde.

So erstellen Sie ein neues Projekt in der Organisation:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten.
    Zur Seite "Ressourcen verwalten"
  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisation aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Geben Sie die übergeordnete Organisation oder den übergeordneten Ordner in das Feld Speicherort ein. Diese Ressource ist das hierarchische übergeordnete Element des neuen Projekts.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

API


Sie können in der Organisation ein neues Projekt erstellen, indem Sie ein project erstellen und für dessen parent-Feld die organizationId der Organisation festlegen.

Das folgende Code-Snippet zeigt das Erstellen eines Projekts in einer Organisation:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Projekte in einer Organisation ansehen

Nutzer können nur Projekte anzeigen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisation anzeigen und auflisten.

Console


So rufen Sie alle Projekte in einer Organisation mit der Cloud Console auf:

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Klicken Sie oben auf der Seite auf das Drop-down Organisation.

  3. Wählen Sie Ihre Organisation aus.

  4. Klicken Sie oben auf der Seite auf das Drop-down Projekt und dann auf Mehr Projekte aufrufen. Auf der Seite werden alle Projekte in der Organisation angezeigt.

Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:

  • Projekte, die noch nicht zur Organisation gehören
  • Projekte, auf die der Nutzer Zugriff hat, die jedoch zu einer Organisation gehören, auf die der Nutzer keinen Zugriff hat

gcloud


Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisation aufzurufen:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Mit der Methode projects.list() können Sie alle Projekte in einer Organisation auflisten, wie im folgenden Code-Snippet gezeigt:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Organisationsressource löschen

Die Organisationsressource ist an Ihr G Suite- oder Cloud Identity-Konto gebunden.

Wenn Sie die Organisationsressource nicht verwenden möchten, empfiehlt es sich, den ursprünglichen Status der IAM-Richtlinie der Organisation wiederherzustellen. Gehen Sie dazu folgendermaßen vor:

  1. Fügen Sie Ihre Domain den Rollen Project Creator und Billing Account Creator hinzu.
  2. Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisation.

Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den G Suite oder Cloud Identity Super Admins, die zentrale Administration später wiederherzustellen.

Wenn Sie Ihr G Suite-Konto löschen, werden Ihre Organisation und alle damit verknüpften Ressourcen gelöscht. Wenn Sie also Ihre Organisation löschen möchten, können Sie Ihr G Suite-Konto löschen. Cloud Identity-Nutzer brechen alle anderen Google-Dienste ab und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sicher sind, dass keine Ressourcen aktiv sind.