Mehrere Organisationen verwalten

Der Organisationsknoten legt die Eigentumsrechte für die darunter liegenden Projekte und Ordner in der Google Cloud Platform-Ressourcenhierarchie fest. Ihr Google Workspace- oder Cloud Identity-Konto ist genau einem Organisationsknoten zugeordnet. Jedes Google Workspace- oder Cloud Identity-Konto ist auch einer einzelnen Domain zugeordnet, z. B. example.com.

Für die meisten Anwendungsfälle empfiehlt es sich, Ordner unter einem Organisationsknoten zu verwenden. Wenn Sie Unterorganisationen oder Abteilungen in Ihrem Unternehmen als isolierte Entitäten ohne zentrale Verwaltung verwalten möchten, können Sie mehrere Google Workspace- oder Cloud Identity-Konten einrichten. Zu jedem Konto gehört ein einzelner Organisationsknoten, dem eine Domain zugeordnet ist.

Auswirkungen der Verwendung mehrerer Organisationsknoten

Verwenden Sie mehrere Organisationsknoten, um zu vermeiden, dass Nutzer von einem Google Workspace oder Cloud Identity-Konto auf Ressourcen zugreifen, die von Nutzern aus einem anderen Google Workspace- oder Cloud Identity-Konto erstellt wurden. Das getrennte Verteilen von Ressourcen auf mehrere Organisationsknoten hat verschiedene Konsequenzen:

  • Standardmäßig kann kein einzelner Nutzer zentral alle Ressourcen aufrufen und verwalten.

  • Richtlinien, die für Unterorganisationen gelten, müssen auf jedem Organisationsknoten neu eingerichtet werden.

  • Das Verschieben von Projekten und Ordnern von einem Organisationsknoten zu einem anderen ist kein Vorgang, den Sie selbst ausführen können. Dieser Vorgang erfordert eine Supportanfrage.

  • Jeder Organisationsknoten benötigt ein Google Workspace-Konto. Der Betrieb mehrerer Organisationsknoten erfordert daher mehrere Google Workspace-Konten und die Möglichkeit, Identitäten über diese hinweg zu verwalten.

Einzelnen Organisationsknoten verwenden

Die meisten Organisationen, die separate Unterorganisationen verwalten möchten, verwenden dazu einen einzelnen Organisationsknoten sowie Ordner. Wenn Sie ein einzelnes Google Workspace-Konto haben, wird dieses Konto dem Organisationsknoten und die Unterorganisationen werden Ordnern zugeordnet.

Organisationsadministrator wählen

Wählen Sie einen oder mehrere Nutzer, die als IAM-Organisationsadministrator für den Organisationsknoten fungieren sollen.

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Die vollständige Kontrolle über die Organisation übernehmen. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Ordner für Unterorganisationen erstellen

Erstellen Sie für jede Unterorganisation einen Ordner unter dem Organisationsknoten.

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise auf der Organisationsebene Ordner erstellen möchten, müssen Sie eine dieser Rollen auf dieser Ebene haben.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten:

    Zur Seite "Ressourcen verwalten"

  2. Prüfen Sie, ob Ihr Organisationsname in der Drop-down-Liste der Organisation oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie den Organisationsknoten oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Ordner können mit dem gcloud-Befehlszeilentool programmatisch erstellt werden.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource anzulegen:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisation, wenn das übergeordnete Element eine Organisation ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisation, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden Unterorganisationsordner, den Sie erstellen, einem oder mehreren Nutzern die Rolle des Ordner-Administrators zu. Diese Nutzer haben administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie links oben auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

  4. Geben Sie auf der rechten Seite im Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

  5. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

  6. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, um das Hinzufügen oder Aktualisieren der Rolle der Mitglieder zu bestätigen.

gcloud

Sie können den Zugriff auf Ordner programmatisch mit dem gcloud-Befehlszeilentool oder über die API konfigurieren.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dabei gilt:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Mit SetsIamPolicy legen Sie die Richtlinie für die Zugriffssteuerung eines Ordners fest und ersetzen dabei gegebenenfalls vorhandene Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Dabei gilt:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Unterorganisationsrollen einschränken

Jeder Ordneradministrator kann die Rolle des Projekterstellers auf Mitglieder seiner Unterorganisation beschränken. Sie können die Domain auch aus der Rolle Projektersteller in der IAM-Richtlinie des Organisationsknotens entfernen.

Super Admins für Google Workspace haben unwiderrufliche Berechtigungen in Bezug auf die Rolle "Administrator der Organisation". Diese Super Admins verwalten normalerweise die Identitäten und Identitätsrichtlinien anstelle von Google Cloud-Ressourcen und Ressourcenrichtlinien.

Console

So entfernen Sie Rollen, die Nutzern standardmäßig zugewiesen wurden, in der Google Cloud Console:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten:

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie am oberen Rand der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen der Organisationsressource, für die Sie Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden sich in der Anleitung zum Widerrufen von Rollen auf der Seite IAM.

  4. Klicken Sie auf der rechten Seite unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Mitglied, das Sie aus der Rolle entfernen möchten, auf "Entfernen". Screenshot der UI

  6. Klicken Sie im nun eingeblendeten Dialog Mitglied entfernen? auf Entfernen, um zu bestätigen, dass die Rolle dem angegebenen Mitglied entzogen werden soll.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation, die Ordner verwendet hat, um zwei Abteilungen zu trennen. Die Leiter der Abteilungen Technik und Finanzen haben administrative Kontrolle und andere Nutzer können keine Projekte erstellen.

Hierarchiediagramm

Mehrere Organisationsknoten verwenden

Wenn Ihre Organisation mehrere Google Workspace-Konten hat, haben Sie standardmäßig mehrere Organisationsknoten. Sie sollten einen Hauptorganisationsknoten auswählen, um weiterhin alle Organisationsknoten zentral aufzurufen und zu verwalten. Die Super Admins des Google Workspace-Kontos, das mit dem primären Organisationsknoten verknüpft ist, haben administrative Kontrolle über alle Ressourcen, einschließlich derjenigen, die von Nutzern aus den anderen Google Workspace-Konten erstellt wurden. Nutzern aus diesen Google Workspace-Konten wird der Zugriff auf einen Ordner unter dem primären Organisationsknoten gewährt, in dem sie Projekte erstellen können.

Organisationsadministrator wählen

Wählen Sie einen oder mehrere Nutzer, die als IAM-Organisationsadministrator für den Organisationsknoten fungieren sollen.

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen aus auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Administrator der Organisation kann Folgendes tun:

    • Die vollständige Kontrolle über die Organisation übernehmen. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud-Administrator getrennt.

    • Delegieren Sie Verantwortung für wichtige Funktionen, indem Sie die entsprechenden IAM-Rollen zuweisen.

Rolle des Projekterstellers entfernen

Entfernen Sie die Rolle Projektersteller vom Organisationsknoten, damit in den anderen Organisationsknoten keine Ressourcen erstellt werden.

Console

So entfernen Sie Rollen, die Nutzern standardmäßig zugewiesen wurden, in der Google Cloud Console:

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten:

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie am oberen Rand der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen der Organisationsressource, für die Sie Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden sich in der Anleitung zum Widerrufen von Rollen auf der Seite IAM.

  4. Klicken Sie auf der rechten Seite unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Mitglied, das Sie aus der Rolle entfernen möchten, auf "Entfernen". Screenshot der UI

  6. Klicken Sie im nun eingeblendeten Dialog Mitglied entfernen? auf Entfernen, um zu bestätigen, dass die Rolle dem angegebenen Mitglied entzogen werden soll.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Ordner für Google Workspace-Konten erstellen

Erstellen Sie für jedes Google Workspace-Konto einen Ordner unter dem Organisationsknoten.

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise auf der Organisationsebene Ordner erstellen möchten, müssen Sie eine dieser Rollen auf dieser Ebene haben.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten:

    Zur Seite "Ressourcen verwalten"

  2. Prüfen Sie, ob Ihr Organisationsname in der Drop-down-Liste der Organisation oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie den Organisationsknoten oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Ordner können mit dem gcloud-Befehlszeilentool programmatisch erstellt werden.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource anzulegen:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisation, wenn das übergeordnete Element eine Organisation ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Dabei gilt:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisation, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden erstellten Ordner einem oder mehreren Nutzern die Rolle Ordneradministrator zu. Diese Nutzer erhalten die administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie links oben auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

  4. Geben Sie auf der rechten Seite im Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

  5. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

  6. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, um das Hinzufügen oder Aktualisieren der Rolle der Mitglieder zu bestätigen.

gcloud

Sie können den Zugriff auf Ordner programmatisch mit dem gcloud-Befehlszeilentool oder über die API konfigurieren.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dabei gilt:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Mit SetsIamPolicy legen Sie die Richtlinie für die Zugriffssteuerung eines Ordners fest und ersetzen dabei gegebenenfalls vorhandene Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Dabei gilt:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Jeder Ordneradministrator kann Nutzern aus der verknüpften Domain die Rolle Projektersteller zuweisen.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation mit einer primären Domain, die von einer erworbenen sekundären Domain isoliert gehalten wird. Jede der beiden Domains hat ein eigenes Google Workspace-Konto, wobei hypothetical.com der primäre Organisationsknoten ist.

Hierarchiediagramm