Die Organisationsressource ist der Stammknoten in der Google Cloud-Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.
Hinweis
Übersicht über die Organisationsressource lesen
Organisationsressource abrufen
Für Google Workspace- und Cloud Identity-Kunden ist eine Organisationsressource verfügbar:
- Google Workspace: Registrieren Sie sich für Google Workspace.
- Cloud Identity: Registrieren Sie sich für Cloud Identity.
Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:
- Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.
-
Wenn Sie bereits Google Cloud-Nutzer sind, wird die Organisationsressource für Sie erstellt, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Alle zuvor erstellten Projekte werden unter „Keine Organisation“ aufgeführt. Das ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch damit verknüpft.
Sie müssen alle Projekte, die Sie unter „Keine Organisation“ erstellt haben, in Ihre neue Organisationsressource verschieben. Eine Anleitung zum Verschieben von Projekten finden Sie unter Projekte in eine Organisationsressource migrieren.
Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden, sind dieser Organisationsressource untergeordnet.
- Weitere Informationen zum Migrieren bereits vorhandener Projekte finden Sie unter Vorhandene Projekte in eine Organisation migrieren.
Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Eine Organisationsressource ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.
Wenn die Organisationsressource erstellt wird, informieren wir die Super Admins von Google Workspace oder Cloud Identity über deren Verfügbarkeit. Diese Super Admin-Konten sollten mit Bedacht verwendet werden, da sie eine große Kontrolle über Ihre Organisationsressource und alle ihr untergeordneten Ressourcen haben. Aus diesem Grund raten wir von der Verwendung von Google Workspace- oder Cloud Identity-Super Admin-Konten für die tägliche Verwaltung Ihrer Organisationsressource ab. Weitere Informationen zur Verwendung für Super Admin-Konten von Google Workspace oder Cloud Identity in Google Cloud finden Sie unter Best Practices für Super Admins.
Damit die Organisationsressource aktiv angenommen werden kann, müssen die Google Workspace- oder Cloud Identity-Super Admins einem Nutzer oder einer Gruppe die IAM-Rolle Organisationsadministrator (roles/resourcemanager.organizationAdmin) zuweisen. Schritte zum Einrichten Ihrer Organisationsressource finden Sie unter Organisationsressource einrichten.
- Beim Erstellen der Organisationsressource werden allen Nutzern in Ihrer Domain automatisch die IAM-Rollen „Projektersteller“ (
roles/resourcemanager.projectCreator) und „Rechnungskontoersteller“ (roles/billing.creator) auf Organisationsebene zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen. - Der Organisationsadministrator entscheidet, ab wann die Organisationsressource aktiv verwendet werden soll. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
- Wenn die Organisationsressource verfügbar ist und Sie nicht die erforderlichen IAM-Berechtigungen haben, können Sie trotzdem Projekte und Rechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.
Ressourcen-ID Ihrer Organisation abrufen
Die Organisationsressourcen-ID ist eine eindeutige Kennung für eine Organisationsressource und wird bei der Erstellung Ihrer Organisationsressource automatisch erstellt. Organisationsressourcen-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.
Sie können die Organisationsressourcen-ID über die Google Cloud Console, die gcloud CLI oder die Resource Manager API abrufen.
Console
So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud Console ab:
- Rufen Sie die Google Cloud Console auf:
- Klicken Sie oben auf der Seite auf die Dropdown-Liste für die Projektauswahl.
- Klicken Sie im angezeigten Fenster Auswählen aus auf die Drop-down-Liste „Organisationsressource“ und wählen Sie die gewünschte Organisationsressource aus.
- Klicken Sie auf der rechten Seite auf Mehr und dann auf Einstellungen.
Auf der Seite Einstellungen wird die Ressourcen-ID Ihrer Organisation angezeigt.
gcloud
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Daraufhin werden alle Organisationsressourcen, zu denen Sie gehören, und die entsprechenden Organisationsressourcen-IDs aufgelistet.
API
Wenn Sie die Ressourcen-ID Ihrer Organisation mit der Resource Manager API ermitteln möchten, rufen Sie die Methode organizations.search() mit dem Filter domain:[company.com] auf. Die Antwort enthält die Metadaten der Organisationsressource, einschließlich der ID der Organisationsressource.
Organisationsressource einrichten
Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird Ihnen automatisch eine Organisationsressource zur Verfügung gestellt.
Die Google Workspace- oder Cloud Identity-Super Admins sind die ersten Nutzer, die bei der Erstellung auf die Organisationsressource zugreifen können. Alle anderen Nutzer oder Gruppen können Google Cloud wie zuvor verwenden. Sie können die Organisationsressource zwar sehen, aber nur ändern, wenn die richtigen Berechtigungen festgelegt sind.
Die Super Admins von Google Workspace oder Cloud Identity und der Organisationsadministrator von Google Cloud sind wichtige Rollen während der Einrichtung und für die Lebenszyklussteuerung der Organisationsressource. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.
Google Workspace- oder Cloud Identity-Poweruser sind im Rahmen der Einrichtung von Google Cloud-Organisationsressourcen Folgendes:
- Er weist Nutzern die Rolle Organisationsadministrator zu.
- Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
- Den Lebenszyklus des Google Workspace- oder Cloud Identity-Kontos und der Organisationsressource steuern, wie unter Organisationsressource löschen erläutert
Sobald der Administrator der Organisation zugewiesen wurde, kann er anderen Nutzern Rollen für die Identitäts- und Zugriffsverwaltung zuweisen. Der Administrator der Organisation ist für Folgendes verantwortlich:
- IAM-Richtlinien definieren und anderen Nutzern IAM-Rollen zuweisen
- Einblick in die Struktur der Ressourcenhierarchie
Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Administrator der Organisation muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.
Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Administrator der Google Cloud-Organisation gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.
Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:
Organisationsadministrator hinzufügen
Console
So fügen Sie einen Organisationsadministrator hinzu:
Melden Sie sich in der Google Cloud Console als Google Workspace- oder Cloud Identity-Super Admin an und rufen Sie die Seite IAM und Verwaltung auf:
Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:
Klicken Sie oben auf der Seite auf die Drop-down-Liste "Projekt".
Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste „Organisation“ und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.
Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die Seite IAM-Berechtigungen zu öffnen.
Klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.
Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.
Der Administrator der Organisation kann Folgendes tun:
Vollständige Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.
Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.
Wie unter Organisationsressource beziehen erläutert, werden allen Nutzern in der Domain standardmäßig die Rollen "Projektersteller" und "Rechnungskontoersteller" auf Organisationsebene zugewiesen. Dadurch wird sichergestellt, dass beim Erstellen der Organisationsressource keine Unterbrechung für Google Cloud-Nutzer verursacht wird. Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da IAM-Richtlinien innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle „Projektersteller“ der gesamten Domain (domain:mycompany.com) zugewiesen wird.
Projekte in Ihrer Organisationsressource erstellen
Console
Sie können ein Projekt in der Organisationsressource mit der Google Cloud Console erstellen, nachdem die Organisationsressource für Ihre Domain aktiviert wurde.
So erstellen Sie ein neues Projekt in der Organisationsressource:
So erstellen Sie ein neues Projekt:
-
Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.
Zu „Ressourcen verwalten“
Die verbleibenden Schritte werden automatisch in der Google Cloud Console angezeigt. - Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
- Klicken Sie auf Projekt erstellen.
- Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
- Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
- Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.
API
Sie können in der Organisationsressource ein neues Projekt erstellen. Dazu erstellen Sie ein project und setzen das Feld parent auf den organizationId der Organisationsressource.
Das folgende Code-Snippet zeigt, wie ein Projekt in einer Organisationsressource erstellt wird:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Projekte in einer Organisationsressource ansehen
Nutzer können nur Projekte einsehen und auflisten, auf die sie über IAM-Rollen Zugriff haben. Der Organisationsadministrator kann alle Projekte in der Organisationsressource ansehen und auflisten.
Console
So rufen Sie mit der Google Cloud Console alle Projekte in einer Organisationsressource auf:
Rufen Sie die Google Cloud Console auf:
Klicken Sie oben auf der Seite auf das Drop-down Organisation.
Wählen Sie Ihre Organisationsressource aus.
Klicken Sie oben auf der Seite auf das Drop-down Projekt und dann auf Weitere Projekte anzeigen. Auf der Seite werden alle Projekte in der Organisationsressource aufgelistet.
Durch Auswahl der Option Keine Organisation im Drop-down Organisation werden folgende Projekte aufgelistet:
- Projekte, die noch nicht zur Organisationsressource gehören.
- Projekte, auf die der Nutzer Zugriff hat, die sich jedoch in einer Organisationsressource befinden, auf die der Nutzer keinen Zugriff hat.
gcloud
Führen Sie den folgenden Befehl aus, um alle Projekte in einer Organisationsressource anzusehen:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Mit der Methode projects.list() können Sie alle Projekte unter einer übergeordneten Ressource auflisten, wie im folgenden Code-Snippet gezeigt:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Organisationsressource löschen
Die Organisationsressource ist an Ihr Google Workspace- oder Cloud Identity-Konto gebunden.
Wenn Sie die Organisationsressource nicht verwenden möchten, empfehlen wir, die IAM-Richtlinie der Organisation wie folgt im Originalzustand wiederherzustellen:
- Fügen Sie Ihre Domain den Rollen
Project CreatorundBilling Account Creatorhinzu. - Entfernen Sie alle anderen Einträge in der IAM-Richtlinie der Organisationsressource.
Ihre Nutzer können auf diese Weise weiterhin Projekte und Rechnungskonten erstellen. Gleichzeitig ermöglichen Sie es den Super Admins für Google Workspace oder Cloud Identity, die zentrale Verwaltung später wiederherzustellen.
Wenn Sie Ihr Google Workspace-Konto löschen, werden Ihre Organisationsressource und alle zugehörigen Ressourcen gelöscht. Wenn Sie also Ihre Organisationsressource löschen möchten, können Sie Ihr Google Workspace-Konto löschen. Als Cloud Identity-Nutzer kündigen Sie alle anderen Google-Dienste und löschen dann ihr Google-Konto. Dies ist eine potenziell schädliche Aktion, die möglicherweise nicht vollständig rückgängig gemacht werden kann. Daher wird empfohlen, diese Aktion nur durchzuführen, wenn Sie sich sicher sind, dass keine Ressourcen aktiv sind.
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten