Organisationsressourcen erstellen und verwalten

Die Organisationsressource ist der Stammknoten in der Google Cloud-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource erwerben und verwalten.

Hinweise

Sehen Sie sich die Übersicht über die Organisationsressource an.

Organisationsressource abrufen

Für Google Workspace- und Cloud Identity-Kunden ist eine Organisationsressource verfügbar:

Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:

  • Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.
  • Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource für Sie erstellt, wenn Sie ein neues Projekt oder Rechnungskonto anlegen. Alle Projekte, die Sie zuvor erstellt haben, werden unter „Keine Organisation“ aufgeführt. Das ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch damit verknüpft.

    Sie müssen alle Projekte, die Sie unter „Keine Organisation“ erstellt haben, in Ihre neue Organisationsressource verschieben. Eine Anleitung zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisationsressource migrieren.

Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die in Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden, sind untergeordnete Elemente dieser Organisationsressource.

Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Eine Organisationsressource ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.

Wenn die Organisationsressource erstellt wurde, informieren wir die Super Admins von Google Workspace oder Cloud Identity über ihre Verfügbarkeit. Diese Super Admin-Konten sollten mit Bedacht verwendet werden, da sie eine umfassende Kontrolle über Ihre Organisationsressource und alle darunter liegenden Ressourcen haben. Aus diesem Grund raten wir davon ab, Super Admin-Konten von Google Workspace oder Cloud Identity für die tägliche Verwaltung Ihrer Organisationsressource zu verwenden. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.

Um die Organisationsressource aktiv zu übernehmen, müssen die Super Admins von Google Workspace oder Cloud Identity einem Nutzer oder einer Gruppe die IAM-Rolle Organization Administrator (roles/resourcemanager.organizationAdmin) zuweisen. Schritte zum Einrichten Ihrer Organisationsressource finden Sie unter Organisationsressource einrichten.

  • Beim Erstellen der Organisationsressource werden allen Nutzern in Ihrer Domain automatisch die IAM-Rollen „Projektersteller“ (roles/resourcemanager.projectCreator) und „Rechnungskonto-Ersteller“ (roles/billing.creator) auf der Ebene der Organisationsressource zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Organisationsadministrator entscheidet, wann er die Organisationsressource aktiv nutzen möchte. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisationsressource verfügbar ist und Sie nicht die IAM-Berechtigungen zum Ansehen haben, können Sie trotzdem Projekte und Rechnungskonten erstellen. Sie werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.

Ressourcen-ID der Organisation abrufen

Die ID der Organisationsressource ist eine eindeutige Kennzeichnung für eine Organisationsressource und wird zusammen mit der Organisationsressource automatisch erstellt. IDs von Organisationsressource werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud Console, die gcloud CLI oder die Cloud Resource Manager API abrufen.

Console

So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud Console ab:

  1. Rufen Sie die Google Cloud Console auf:

    Weiter zur Google Cloud Console

  2. Wählen Sie in der Projektauswahl oben auf der Seite Ihre Organisationsressource aus.
  3. Klicken Sie rechts auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die Ressourcen-ID Ihrer Organisation angezeigt.

gcloud

Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:

gcloud organizations list

Dieser Befehl listet alle Organisationsressourcen, zu denen Sie gehören, sowie die entsprechenden Organisationsressourcen-IDs auf.

API

Um die Ressourcen-ID der Organisation mithilfe der Cloud Resource Manager API zu ermitteln, verwenden Sie die Methode organizations.search(), einschließlich einer Abfrage Ihrer Domain. Beispiel:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Die Antwort enthält die Metadaten der Organisationsressource, die zu altostrat.com gehört, einschließlich der ID der Organisationsressource.

Organisationsressource einrichten

Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird Ihnen automatisch eine Organisationsressource zur Verfügung gestellt.

Die Super Admins von Google Workspace oder Cloud Identity sind die ersten Nutzer, die nach dem Erstellen auf die Organisationsressource zugreifen können. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Er kann die Organisationsressource zwar sehen, aber nur ändern, nachdem die entsprechenden Berechtigungen festgelegt wurden.

Die Super Admins von Google Workspace oder Cloud Identity und der Organisationsadministrator von Google Cloud sind wichtige Rollen während der Einrichtung und für die Lebenszyklussteuerung für die Organisationsressource. Die beiden Rollen werden in der Regel verschiedenen Nutzern oder Gruppen zugewiesen, obwohl dies von der Struktur und den Anforderungen der Organisationsressource abhängt.

Der Super Admin von Google Workspace oder Cloud Identity hat im Zusammenhang mit der Einrichtung von Google Cloud-Organisationsressourcen folgende Aufgaben:

  • Er weist Nutzern die Rolle Organisationsadministrator zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Er steuert den Lebenszyklus des Google Workspace- oder Cloud Identity-Kontos und der Organisationsressource, wie unter Organisationsressource löschen erläutert.

Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern Rollen für die Identitäts- und Zugriffsverwaltung zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:

  • IAM-Richtlinien definieren und anderen Nutzern IAM-Rollen zuweisen
  • Einblick in die Struktur der Ressourcenhierarchie

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Drop-down-Liste "Projekt".

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Organisationsadministrator kann Folgendes tun:

    • Sie haben die vollständige Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Wie unter Organisationsressource beziehen erläutert, werden bei der Erstellung allen Nutzern in der Domain standardmäßig die Rollen „Projektersteller“ und „Rechnungskonto-Ersteller“ auf Organisationsressource gewährt. So wird sichergestellt, dass Google Cloud-Nutzer beim Erstellen der Organisationsressource nicht unterbrochen werden. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien in der Hierarchie von unten nach unten übernommen werden, bedeutet die Zuweisung der Rolle "Projektersteller" der gesamten Domain (domain:mycompany.com) auf der Ressourcenebene der Organisation, dass jeder Nutzer in der Domain Projekte an beliebiger Stelle in der Hierarchie erstellen kann.

Projekte in Ihrer Organisationsressource erstellen

Console


Nachdem die Organisationsressource für Ihre Domain aktiviert wurde, können Sie mit der Google Cloud Console ein Projekt in der Organisationsressource erstellen.

So erstellen Sie ein neues Projekt in der Organisationsressource:

So erstellen Sie ein neues Projekt:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

    Die verbleibenden Schritte werden automatisch in der Google Cloud Console angezeigt.

  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

API


Sie können ein neues Projekt in der Organisationsressource erstellen. Dazu erstellen Sie eine project und setzen das Feld parent auf organizationId der Organisationsressource.

Im folgenden Code-Snippet wird gezeigt, wie Sie ein Projekt in einer Organisationsressource erstellen:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Projekte in einer Organisationsressource ansehen

Nutzer können nur Projekte einsehen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisationsressource ansehen und auflisten.

Console


So rufen Sie alle Projekte in einer Organisationsressource mit der Google Cloud Console auf:

  1. Rufen Sie die Google Cloud Console auf:

    Zur Google Cloud Console

  2. Klicken Sie oben auf der Seite auf das Drop-down Organisation.

  3. Wählen Sie die Organisationsressource aus.

  4. Klicken Sie oben auf der Seite auf das Drop-down-Menü Projekt und dann auf Weitere Projekte anzeigen. Auf der Seite werden alle Projekte in der Organisationsressource aufgelistet.

Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:

  • Projekte, die noch nicht zur Organisationsressource gehören.
  • Projekte, auf die der Nutzer Zugriff hat, die sich aber in einer Organisationsressource befinden, auf die der Nutzer keinen Zugriff hat.

gcloud


Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisationsressource anzusehen:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Mit der Methode projects.list() können Sie alle Projekte unter einer übergeordneten Ressource auflisten, wie im folgenden Code-Snippet gezeigt:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Organisationsressource löschen

Die Organisationsressource ist an Ihr Google Workspace- oder Cloud Identity-Konto gebunden.

Wenn Sie die Organisationsressource nicht verwenden möchten, empfehlen wir, die IAM-Richtlinie der Organisationsressource mithilfe der folgenden Schritte im ursprünglichen Zustand wiederherzustellen:

  1. Fügen Sie Ihre Domain den Rollen Project Creator und Billing Account Creator hinzu.
  2. Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisationsressource.

Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.

Wenn Sie Ihr Google Workspace-Konto löschen, werden auch Ihre Organisationsressource und alle damit verknüpften Ressourcen gelöscht. Wenn Sie also Ihre Organisationsressource löschen möchten, können Sie Ihr Google Workspace-Konto löschen. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sich sicher sind, dass keine Ressourcen aktiv sind.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten