Mehrere Organisationsressourcen verwalten

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Die Organisationsressource legt die Projekte und Ordner in der Google Cloud Platform-Ressourcenhierarchie darunter fest. Ihr Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Jedes Google Workspace- oder Cloud Identity-Konto ist auch mit einer primären Domain wie example.com verknüpft. Weitere Informationen zur Verwendung mehrerer Domains finden Sie unter Nutzer-Alias-Domain oder sekundäre Domain hinzufügen. Weitere Informationen zum Ändern der primären Domain für ein Google Workspace-Konto finden Sie im Hilfeartikel Primäre Domain für Google Workspace-Konten ändern.

Für die meisten Anwendungsfälle empfiehlt es sich, Ordner unter einer Organisationsressource zu verwenden. Wenn Sie Unterorganisationen oder Abteilungen in Ihrem Unternehmen als isolierte Entitäten ohne zentrale Verwaltung verwalten möchten, können Sie mehrere Google Workspace- oder Cloud Identity-Konten einrichten. Jedes Konto enthält eine einzelne Organisationsressource, die mit einer primären Domain verknüpft ist.

Auswirkungen der Verwendung mehrerer Organisationsressourcen

Verwenden Sie mehrere Organisationsressourcen, wenn Sie nicht möchten, dass Nutzer aus einem Google Workspace- oder Cloud Identity-Konto auf Ressourcen zugreifen, die von Nutzern aus einem anderen Google Workspace- oder Cloud Identity-Konto erstellt wurden. Das Aufteilen von Ressourcen in mehrere Organisationsressourcen hat mehrere Konsequenzen:

  • Standardmäßig kann kein einzelner Nutzer zentral alle Ressourcen aufrufen und verwalten.

  • Richtlinien, die für alle Unterorganisationen gelten, müssen auf jeder Organisationsressource repliziert werden.

  • Das Verschieben von Ordnern von einer Organisationsressource in eine andere wird nicht unterstützt. Wie Sie Projekte von einer Organisationsressource in eine andere verschieben, erfahren Sie hier.

  • Für jede Organisationsressource ist ein Google Workspace-Konto erforderlich. Der Betrieb mehrerer Organisationsressourcen erfordert daher mehrere Google Workspace-Konten und die Möglichkeit, Identitäten kontoübergreifend zu verwalten.

Einzelne Organisationsressource verwenden

Die meisten Organisationen, die separate Unterorganisationen verwalten möchten, können dies mit einer einzigen Organisationsressource und Ordnern tun. Wenn Sie ein einzelnes Google Workspace-Konto haben, wird dieses Konto der Organisationsressource und die Unterorganisationen Ordnern zugeordnet.

Administrator der Organisation auswählen

Wählen Sie einen oder mehrere Nutzer aus, die als IAM-Organisationsadministrator für die Organisationsressource fungieren sollen.

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace- oder Cloud Identity-Super Admin an und rufen Sie die Seite IAM &Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste für Organisationen und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Uneingeschränkte Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Ordner für Unterorganisationen erstellen

Erstellen Sie für jede Unterorganisation einen Ordner unter der Organisationsressource.

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise Ordner auf Organisationsebene erstellen möchten, benötigen Sie eine dieser Rollen auf Organisationsebene.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Achten Sie darauf, dass der Name der Organisationsressource in der Drop-down-Liste für Organisationen oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie die Organisationsressource oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Sie können Ordner programmatisch mit der Google Cloud CLI erstellen.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource zu erstellen.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisationsressource, wenn das übergeordnete Element eine Organisationsressource ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders?parent=[ORGANIZATION_NAME]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisationsressource, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden Unterorganisationsordner, den Sie erstellen, einem oder mehreren Nutzern die Rolle des Ordner-Administrators zu. Diese Nutzer haben administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie links oben auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

    1. Geben Sie auf der rechten Seite im Bereich Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

    2. Wählen Sie in der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    3. Klicken Sie auf Add (Hinzufügen). Es wird eine Benachrichtigung angezeigt, in der das Hinzufügen oder Aktualisieren der neuen Rolle bestätigt wird.

gcloud

Sie können den Zugriff auf Ordner programmatisch über die Google Cloud CLI oder die API konfigurieren.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor
gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dabei gilt:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Die Methode setIamPolicy legt die Zugriffssteuerungsrichtlinie für einen Ordner fest und ersetzt alle vorhandenen Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dabei gilt:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Unterorganisationsrollen einschränken

Jeder Ordneradministrator kann die Rolle des Projekterstellers auf Mitglieder seiner Unterorganisation beschränken. Sie können die Domain auch aus der Rolle Projektersteller in der IAM-Richtlinie der Organisationsressource entfernen.

Super Admins von Google Workspace haben unwiderrufliche Berechtigungen als Organisationsadministrator. Diese Super Admins verwalten normalerweise die Identitäten und Identitätsrichtlinien anstelle von Google Cloud-Ressourcen und Ressourcenrichtlinien.

Console

So entfernen Sie die Rollen, die Nutzern standardmäßig über die Google Cloud Console zugewiesen wurden:

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben auf der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen für die Organisationsressource, für die Sie Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden sich in der Anleitung zum Widerrufen von Rollen auf der Seite IAM.

  4. Klicken Sie auf der rechten Seite unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Hauptkonto, das Sie aus der Rolle entfernen möchten, auf „Entfernen“. Screenshot der Oberfläche

  6. Klicken Sie im Dialogfeld Hauptkonto entfernen? auf Entfernen, um das Entfernen des Hauptkontos zu bestätigen.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation, die Ordner verwendet hat, um zwei Abteilungen zu trennen. Die Leiter der Abteilungen Technik und Finanzen haben administrative Kontrolle und andere Nutzer können keine Projekte erstellen.

Hierarchiediagramm

Mehrere Organisationen unter einer primären Organisationsressource verwalten

Wenn Ihre Organisation mehrere Google Workspace-Konten hat, haben Sie standardmäßig mehrere Organisationsressourcen. Damit die zentrale Sichtbarkeit und Kontrolle erhalten bleibt, sollten Sie eine primäre Organisationsressource auswählen. Die Super Admins des Google Workspace-Kontos, das mit Ihrer primären Organisationsressource verknüpft ist, haben administrative Kontrolle über alle Ressourcen, einschließlich derer, die von Nutzern aus den anderen Google Workspace-Konten erstellt wurden. Nutzern aus diesen Google Workspace-Konten wird Zugriff auf einen Ordner unter der primären Organisationsressource gewährt, in der sie Projekte erstellen können.

Administrator der Organisation auswählen

Wählen Sie einen oder mehrere Nutzer aus, die als IAM-Organisationsadministrator für die Organisationsressource fungieren sollen.

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Google Workspace- oder Cloud Identity-Super Admin an und rufen Sie die Seite IAM &Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste für Organisationen und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die zugehörige Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Uneingeschränkte Kontrolle über die Organisationsressource. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Rolle des Projekterstellers entfernen

Entfernen Sie die Rolle Projektersteller aus der Organisationsressource, damit sie nicht in den anderen Organisationsressourcen erstellt wird.

Console

So entfernen Sie die Rollen, die Nutzern standardmäßig über die Google Cloud Console zugewiesen wurden:

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben auf der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen für die Organisationsressource, für die Sie Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden sich in der Anleitung zum Widerrufen von Rollen auf der Seite IAM.

  4. Klicken Sie auf der rechten Seite unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Hauptkonto, das Sie aus der Rolle entfernen möchten, auf „Entfernen“. Screenshot der Oberfläche

  6. Klicken Sie im Dialogfeld Hauptkonto entfernen? auf Entfernen, um das Entfernen des Hauptkontos zu bestätigen.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Ordner für Google Workspace-Konten erstellen

Erstellen Sie für jedes Google Workspace-Konto einen Ordner unter der Organisationsressource.

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise Ordner auf Organisationsebene erstellen möchten, benötigen Sie eine dieser Rollen auf Organisationsebene.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Rufen Sie in der Google Cloud Console die Seite Ressourcen verwalten auf:

    Zur Seite "Ressourcen verwalten"

  2. Achten Sie darauf, dass der Name der Organisationsressource in der Drop-down-Liste für Organisationen oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie die Organisationsressource oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Sie können Ordner programmatisch mit der Google Cloud CLI erstellen.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource zu erstellen.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisationsressource, wenn das übergeordnete Element eine Organisationsressource ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders?parent=[ORGANIZATION_NAME]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisationsressource, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden erstellten Ordner einem oder mehreren Nutzern die Rolle Ordneradministrator zu. Diese Nutzer erhalten die administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie links oben auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

    1. Geben Sie auf der rechten Seite im Bereich Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

    2. Wählen Sie in der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    3. Klicken Sie auf Add (Hinzufügen). Es wird eine Benachrichtigung angezeigt, in der das Hinzufügen oder Aktualisieren der neuen Rolle bestätigt wird.

gcloud

Sie können den Zugriff auf Ordner programmatisch über die Google Cloud CLI oder die API konfigurieren.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor
gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dabei gilt:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Die Methode setIamPolicy legt die Zugriffssteuerungsrichtlinie für einen Ordner fest und ersetzt alle vorhandenen Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Dabei gilt:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Jeder Ordneradministrator kann Nutzern aus der verknüpften Domain die Rolle Projektersteller zuweisen.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation mit einer primären Domain, die von einer erworbenen sekundären Domain isoliert gehalten wird. Jede der beiden Domains hat ein eigenes Google Workspace-Konto, wobei hypothetical.com die primäre Organisationsressource ist.

Hierarchiediagramm