Organisationen erstellen und verwalten

Die Organisationsressource ist der Stammknoten in der Google Cloud Platform-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.

Vorbereitung

Sehen Sie sich die Übersicht über die Organisationsressource an.

Eine Organisationsressource beziehen

G Suite- und Cloud Identity-Kunden können eine Organisationsressource beziehen:

Eine Organisationsressource wird automatisch erstellt, wenn ein Nutzer, der mit einer G Suite- oder Cloud Identity-Domain verknüpft ist, zum ersten Mal ein Projekt oder Rechnungskonto erstellt. Die Organisation wird mit dem Konto verknüpft, wobei das Projekt oder das Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer G Suite- oder Cloud Identity-Domain erstellt wurden, sind untergeordnete Elemente dieser Organisation.

Jedes G Suite- oder Cloud Identity-Konto ist genau einer Organisation zugeordnet. Eine Organisation ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.

Wenn die Organisationsressource erstellt wurde, teilen wir den G Suite oder Cloud Identity Super Admins die Verfügbarkeit dieser Organisationsressource mit. Bei der Verwendung dieser Super Admin-Konten ist Vorsicht angeraten, da sie mit umfangreichen Berechtigungen ausgestattet sind, die eine umfassende Kontrolle über Ihre Organisation und alle darin enthaltenen Ressourcen ermöglichen. Aus diesem Grund sollten G Suite oder Cloud Identity Super Admin-Konten nicht zur Verwaltung des Tagesgeschäfts Ihrer Organisation verwendet werden. Weitere Informationen zum Verwenden von G Suite oder Cloud Identity Super Admin-Konten in der GCP finden Sie unter Best Practices für Super Admins.

Für eine aktive Übernahme der Organisationsressource müssen die G Suite oder Cloud Identity Super Admins einem Nutzer oder einer Gruppe die IAM-Rolle "Administrator der Organisation" zuweisen. Schritte zum Einrichten Ihrer Organisation finden Sie unter Organisation einrichten.

  • Beim Erstellen der Organisation werden allen Nutzern in Ihrer Domain die IAM-Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Organisationadministrator entscheidet, ab wann die Organisation aktiv genutzt werden soll. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisation verfügbar ist, Sie aber nicht über die Cloud IAM-Berechtigungen zum Anzeigen verfügen, können Sie weiterhin Projekte und Abrechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.

Organisations-ID beziehen

Die Organisations-ID ist eine eindeutige Kennzeichnung für eine Organisation und wird automatisch gemeinsam mit der Organisationsressource erstellt. Organisations-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können Ihre Organisations-ID entweder über die GCP Console, das gcloud-Tool oder die Resource Manager API ermitteln.

Konsole


So erhalten Sie Ihre Organisations-ID mithilfe der GCP Console:

  1. Wechseln Sie zur GCP Console.

    GCP Console aufrufen

  2. Klicken Sie oben auf der Seite auf die Dropdown-Liste für die Projektauswahl.
  3. Klicken Sie im daraufhin angezeigten Fenster Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die gewünschte Organisation aus.
  4. Klicken Sie auf der rechten Seite auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die ID Ihrer Organisation angezeigt.

gcloud


Führen Sie den folgenden Befehl aus, um Ihre Organisations-ID zu ermitteln:

gcloud organizations list

Dadurch wird eine Liste aller Organisationen ausgegeben, denen Sie angehören, sowie die entsprechenden Organisations-IDs.

API


Zum Ermitteln Ihrer Organisations-ID mithilfe der Resource Manager API rufen Sie die Methode organizations.search() mit dem Filter domain:[company.com] auf. Die Antwort enthält die Metadaten der Organisationsressource, einschließlich der Organisations-ID.

Organisation einrichten

Als G Suite- oder Cloud Identity-Kunde wird Ihnen automatisch eine Organisationsressource zur Verfügung gestellt.

Die G Suite oder Cloud Identity Super Admins sind die ersten Nutzer, die nach dem Erstellen der Organisation Zugriff darauf haben. Alle anderen Nutzer oder Gruppen können die GCP wie bisher verwenden. Sie sehen die Organisationsressource zwar, können sie aber erst ändern, nachdem die entsprechenden Berechtigungen festgelegt wurden.

Die G Suite oder Cloud Identity Super Admins und der GCP-Organisationsadministrator spielen während der Einrichtung und für die Lebenszyklussteuerung der Organisationsressource eine wichtige Rolle. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.

Der G Suite oder Cloud Identity Super Admin ist hinsichtlich der Einrichtung der GCP-Organisation für Folgendes verantwortlich:

  • Er weist Nutzern die Rolle "Organisationsadministrator" zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Er steuert den Lebenszyklus des G Suite- oder Cloud Identity-Kontos und der Organisationsressource, wie unter Organisationsressource löschen erläutert.

Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern IAM-Rollen zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:

  • Er definiert IAM-Richtlinien.
  • Er bestimmt die Struktur der Ressourcenhierarchie.
  • Er delegiert die Verantwortung für wichtige Komponenten wie Netzwerke, die Abrechnung und die Ressourcenhierarchie durch IAM-Rollen.

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Die beiden unterschiedlichen Rollen stellen die Aufgabentrennung zwischen den G Suite oder Cloud Identity Super Admins und dem GCP-Organisationsadministrator sicher. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Um die Organisationsressource aktiv zu nutzen, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Konsole

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Platform Console als G Suite oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Seite "IAM & Verwaltung" öffnen

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Drop-down-Liste Projekt auswählen.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Administrator der Organisation aus und klicken Sie dann auf Hinzufügen.

  5. Der Organisationsadministrator kann die vollständige Kontrolle über die Organisation übernehmen. Außerdem werden die Zuständigkeiten des G Suite oder Cloud Identity Super Admin und des GCP-Administrators getrennt.

  6. Der Organisationsadministrator kann Zuständigkeiten für wichtige Funktionen delegieren, indem er die entsprechenden Cloud IAM-Rollen zuweist.

Wie unter Organisationsressource beziehen erläutert, werden bei der Erstellung allen Nutzern in der Domain standardmäßig die Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene gewährt. Dadurch wird eine unterbrechungsfreie Dienstverfügbarkeit für GCP-Nutzer während der Erstellung der Organisationsressource gewährleistet. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle "Projektersteller" der gesamten Domain (domain:meinunternehmen.com) zugewiesen wird.

Projekte in meiner Organisation erstellen

Konsole


Nachdem die Organisationsressource für die Domain aktiviert wurde, können Sie über die GCP Console ein Projekt in der Organisation erstellen.

So erstellen Sie ein neues Projekt in der Organisation:

  1. Öffnen Sie die Seite Ressourcen verwalten in der GCP Console.
    WEITER ZUR SEITE "RESSOURCEN VERWALTEN"
  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisation aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus.
  5. Wenn Sie das Projekt einem Ordner hinzufügen möchten, geben Sie im Feld Speicherort den Namen des Zielordners ein.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

API


Wenn Sie ein neues Projekt in der Organisation benötigen, erstellen Sie ein project und legen dessen Feld parent auf die organizationId der Organisation fest.

Das folgende Code-Snippet zeigt das Erstellen eines Projekts in einer Organisation:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Projekte in einer Organisation ansehen

Nutzer können nur Projekte anzeigen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisation anzeigen und auflisten.

Konsole


So rufen Sie mit der GCP Console alle Projekte in einer Organisation auf:

  1. Rufen Sie die Google Cloud Platform Console auf.

    Weiter zur Google Cloud Platform Console

  2. Klicken Sie oben auf der Seite auf das Drop-down Organisation.

  3. Wählen Sie Ihre Organisation aus.

  4. Klicken Sie oben auf der Seite auf das Drop-down Projekt und dann auf Mehr Projekte aufrufen. Auf der Seite werden alle Projekte in der Organisation angezeigt.

Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:

  • Projekte, die noch nicht zur Organisation gehören
  • Projekte, auf die der Nutzer Zugriff hat, die jedoch zu einer Organisation gehören, auf die der Nutzer keinen Zugriff hat

gcloud


Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisation aufzurufen:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Mit der Methode projects.list() können Sie alle Projekte in einer Organisation auflisten, wie im folgenden Code-Snippet gezeigt:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Organisationsressource löschen

Die Organisationsressource ist an Ihr G Suite- oder Cloud Identity-Konto gebunden.

Wenn Sie die Organisationsressource nicht verwenden möchten, empfiehlt es sich, den ursprünglichen Status der IAM-Richtlinie der Organisation wiederherzustellen. Gehen Sie dazu folgendermaßen vor:

  1. Fügen Sie Ihre Domain den Rollen Project Creator und Billing Account Creator hinzu.
  2. Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisation.

Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den G Suite oder Cloud Identity Super Admins, die zentrale Administration später wiederherzustellen.

Wenn Sie Ihre Organisation und alle zugehörigen Ressourcen löschen möchten, löschen Sie Ihr G Suite-Konto. Cloud Identity-Nutzer brechen alle anderen Google-Dienste ab und löschen dann ihr Google-Konto.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager