Mehrere Organisationsressourcen verwalten

Die Organisationsressource legt die Inhaberschaft der darunterliegenden Projekte und Ordner in der Google Cloud Platform-Ressourcenhierarchie fest. Ihr Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Jedes Google Workspace- oder Cloud Identity-Konto ist auch mit einer primären Domain wie example.com verknüpft. Weitere Informationen zum Verwenden mehrerer Domains finden Sie unter Nutzer-Alias-Domain oder sekundäre Domain hinzufügen. Weitere Informationen zum Ändern der primären Domain für ein Google Workspace-Konto finden Sie im Hilfeartikel Primäre Domain für Google Workspace ändern.

Für die meisten Anwendungsfälle empfiehlt es sich, Ordner unter einer Organisationsressource zu verwenden. Wenn Sie Unterorganisationen oder Abteilungen in Ihrem Unternehmen als isolierte Entitäten ohne zentrale Verwaltung verwalten möchten, können Sie mehrere Google Workspace- oder Cloud Identity-Konten einrichten. Jedes Konto enthält eine einzelne Organisationsressource, die einer primären Domain zugeordnet ist.

Auswirkungen der Verwendung mehrerer Organisationsressourcen

Verwenden Sie mehrere Organisationsressourcen, wenn Sie nicht möchten, dass Nutzer eines Google Workspace- oder Cloud Identity-Kontos auf Ressourcen zugreifen, die von Nutzern aus einem anderen Google Workspace- oder Cloud Identity-Konto erstellt wurden. Das Aufteilen von Ressourcen auf mehrere Organisationsressourcen hat mehrere Konsequenzen:

  • Standardmäßig kann kein einzelner Nutzer zentral alle Ressourcen aufrufen und verwalten.

  • Richtlinien, die für Unterorganisationen gelten, müssen für jede Organisationsressource repliziert werden.

  • Das Verschieben von Ordnern von einer Organisationsressource in eine andere wird nicht unterstützt. Das Verschieben von Projekten von einer Organisationsressource in eine andere kann wie hier beschrieben erfolgen.

  • Für jede Organisationsressource ist ein Google Workspace-Konto erforderlich. Der Betrieb mehrerer Organisationsressourcen erfordert daher mehrere Google Workspace-Konten und die Möglichkeit, Identitäten über diese hinweg zu verwalten.

Einzelne Organisationsressource verwenden

Die meisten Organisationen, die separate Unterorganisationen verwalten möchten, können dazu eine einzelne Organisationsressource und Ordner verwenden. Wenn Sie ein einzelnes Google Workspace-Konto haben, wird dieses Konto der Organisationsressource und Unterorganisationen werden Ordnern zugeordnet.

Organisationsadministrator auswählen

Wählen Sie einen oder mehrere Nutzer aus, die als IAM-Organisationsadministrator für die Organisationsressource fungieren sollen.

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Drop-down-Liste "Projekt".

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Organisationsadministrator kann Folgendes tun:

    • Sie haben die vollständige Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Ordner für Unterorganisationen erstellen

Erstellen Sie für jede Unterorganisation einen Ordner unter der Organisationsressource.

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise Ordner auf Organisationsebene erstellen möchten, benötigen Sie eine dieser Rollen auf Organisationsebene.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Achten Sie darauf, dass der Name der Organisationsressource in der Drop-down-Liste „Organisation“ oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen und wählen Sie eine der folgenden Optionen aus:

    • Standardordner: Eine standardmäßige Ordnerressource.
    • Assured Workloads-Ordner: Ein Assured Workloads-Ordner, der zusätzliche regulatorische, regionale oder Datenhoheitskontrollen für Google Cloud-Ressourcen bietet. Durch Auswahl dieser Option gelangen Sie zu Assured Workloads, um einen Ordner zu erstellen.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie die Organisationsressource oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Ordner können programmatisch über die Google Cloud CLI erstellt werden.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource zu erstellen.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Wobei:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisationsressource, wenn das übergeordnete Element eine Organisationsressource ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Wobei:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisationsressource, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden Unterorganisationsordner, den Sie erstellen, einem oder mehreren Nutzern die Rolle des Ordner-Administrators zu. Diese Nutzer haben administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben links auf die Drop-down-Liste Organisation und wählen Sie dann Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie die Berechtigungen ändern möchten.

    1. Geben Sie auf der rechten Seite im Bereich Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

    2. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    3. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, in der bestätigt wird, dass die neue Rolle der Mitglieder hinzugefügt oder aktualisiert wurde.

gcloud

Sie können den Zugriff auf Ordner programmatisch über die Google Cloud CLI oder API konfigurieren.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Wobei:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Mit der Methode setIamPolicy wird die Richtlinie für die Zugriffssteuerung für einen Ordner festgelegt und vorhandene Richtlinien ersetzt. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Wobei:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Unterorganisationsrollen einschränken

Jeder Ordneradministrator kann die Rolle des Projekterstellers auf Mitglieder seiner Unterorganisation beschränken. Sie können die Domain auch aus der Rolle Projektersteller in der IAM-Richtlinie der Organisationsressource entfernen.

Google Workspace-Super Admins haben unwiderrufliche Berechtigungen als Organisationsadministrator. Diese Super Admins verwalten normalerweise die Identitäten und Identitätsrichtlinien anstelle von Google Cloud-Ressourcen und Ressourcenrichtlinien.

Console

So entfernen Sie die Rollen, die Nutzern standardmäßig über die Google Cloud Console zugewiesen sind:

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben auf der Seite auf die Drop-down-Liste Organisation und wählen Sie dann Ihre Organisationsressource aus.

  3. Klicken Sie das Kästchen für die Organisationsressource an, für die Sie die Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden sich in der Anleitung zum Widerrufen von Rollen auf der Seite IAM.

  4. Klicken Sie auf der rechten Seite im Infofeld unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Hauptkonto, das Sie aus der Rolle entfernen möchten, auf „Entfernen“. Screenshot der Oberfläche

  6. Klicken Sie im Dialogfeld Hauptkonto entfernen?, das eingeblendet wird, auf Entfernen, um das Entfernen der Rolle aus dem angegebenen Hauptkonto zu bestätigen.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation, die Ordner verwendet hat, um zwei Abteilungen zu trennen. Die Leiter der Abteilungen Technik und Finanzen haben administrative Kontrolle und andere Nutzer können keine Projekte erstellen.

Hierarchiediagramm

Mehrere Organisationen unter einer primären Organisationsressource verwalten

Wenn Ihre Organisation mehrere Google Workspace-Konten hat, stehen Ihnen standardmäßig mehrere Organisationsressourcen zur Verfügung. Damit Sie weiterhin an einer zentralen Stelle Einblick und Kontrolle erhalten, sollten Sie eine Organisationsressource als primäre Organisationsressource auswählen. Die Super Admins des Google Workspace-Kontos, das mit Ihrer primären Organisationsressource verknüpft ist, haben administrative Kontrolle über alle Ressourcen, einschließlich derer, die von Nutzern aus den anderen Google Workspace-Konten erstellt wurden. Nutzer aus diesen Google Workspace-Konten erhalten Zugriff auf einen Ordner unter der primären Organisationsressource, in dem sie Projekte erstellen können.

Organisationsadministrator auswählen

Wählen Sie einen oder mehrere Nutzer aus, die als IAM-Organisationsadministrator für die Organisationsressource fungieren sollen.

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Drop-down-Liste "Projekt".

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Organisationsadministrator kann Folgendes tun:

    • Sie haben die vollständige Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Rolle des Projekterstellers entfernen

Entfernen Sie die Rolle Projektersteller aus der Organisationsressource, damit in den anderen Organisationsressourcen keine Ressourcen erstellt werden.

Console

So entfernen Sie die Rollen, die Nutzern standardmäßig über die Google Cloud Console zugewiesen sind:

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben auf der Seite auf die Drop-down-Liste Organisation und wählen Sie dann Ihre Organisationsressource aus.

  3. Klicken Sie das Kästchen für die Organisationsressource an, für die Sie die Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden sich in der Anleitung zum Widerrufen von Rollen auf der Seite IAM.

  4. Klicken Sie auf der rechten Seite im Infofeld unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Hauptkonto, das Sie aus der Rolle entfernen möchten, auf „Entfernen“. Screenshot der Oberfläche

  6. Klicken Sie im Dialogfeld Hauptkonto entfernen?, das eingeblendet wird, auf Entfernen, um das Entfernen der Rolle aus dem angegebenen Hauptkonto zu bestätigen.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Ordner für Google Workspace-Konten erstellen

Erstellen Sie für jedes Google Workspace-Konto einen Ordner unter der Organisationsressource.

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise Ordner auf Organisationsebene erstellen möchten, benötigen Sie eine dieser Rollen auf Organisationsebene.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Achten Sie darauf, dass der Name der Organisationsressource in der Drop-down-Liste „Organisation“ oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen und wählen Sie eine der folgenden Optionen aus:

    • Standardordner: Eine standardmäßige Ordnerressource.
    • Assured Workloads-Ordner: Ein Assured Workloads-Ordner, der zusätzliche regulatorische, regionale oder Datenhoheitskontrollen für Google Cloud-Ressourcen bietet. Durch Auswahl dieser Option gelangen Sie zu Assured Workloads, um einen Ordner zu erstellen.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie die Organisationsressource oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Ordner können programmatisch über die Google Cloud CLI erstellt werden.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource zu erstellen.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Wobei:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisationsressource, wenn das übergeordnete Element eine Organisationsressource ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Wobei:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisationsressource, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden erstellten Ordner einem oder mehreren Nutzern die Rolle Ordneradministrator zu. Diese Nutzer erhalten die administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben links auf die Drop-down-Liste Organisation und wählen Sie dann Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie die Berechtigungen ändern möchten.

    1. Geben Sie auf der rechten Seite im Bereich Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

    2. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    3. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, in der bestätigt wird, dass die neue Rolle der Mitglieder hinzugefügt oder aktualisiert wurde.

gcloud

Sie können den Zugriff auf Ordner programmatisch über die Google Cloud CLI oder API konfigurieren.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Wobei:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Mit der Methode setIamPolicy wird die Richtlinie für die Zugriffssteuerung für einen Ordner festgelegt und vorhandene Richtlinien ersetzt. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Wobei:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Jeder Ordneradministrator kann Nutzern aus der verknüpften Domain die Rolle Projektersteller zuweisen.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation mit einer primären Domain, die von einer erworbenen sekundären Domain isoliert gehalten wird. Jede der beiden Domains hat ein eigenes Google Workspace-Konto, wobei hypothetical.com die primäre Organisationsressource ist.

Hierarchiediagramm