Mehrere Organisationen verwalten

Der Organisationsknoten legt die Eigentumsrechte für die darunter liegenden Projekte und Ordner in der Google Cloud Platform-Ressourcenhierarchie fest. Ihr G Suite- oder Cloud Identity-Konto ist genau einem Organisationsknoten zugeordnet. Jedes G Suite- oder Cloud Identity-Konto ist ebenfalls einer einzigen Domain zugeordnet, wie zum Beispiel example.com.

Für die meisten Anwendungsfälle empfiehlt es sich, Ordner unter einem Organisationsknoten zu verwenden. Wenn Sie Unterorganisationen oder Abteilungen in Ihrem Unternehmen als isolierte Einheiten ohne zentrale Administration verwalten möchten, können Sie mehrere G Suite- oder Cloud Identity-Konten einrichten. Zu jedem Konto gehört ein einzelner Organisationsknoten, dem eine Domain zugeordnet ist.

Auswirkungen der Verwendung mehrerer Organisationsknoten

Verwenden Sie mehrere Organisationsknoten, wenn Sie nicht möchten, dass Nutzer eines G Suite- oder Cloud Identity-Kontos auf Ressourcen zugreifen, die von Nutzern aus einem anderen G Suite- oder Cloud Identity-Konto erstellt wurden. Das getrennte Verteilen von Ressourcen auf mehrere Organisationsknoten hat verschiedene Konsequenzen:

  • Standardmäßig kann kein einzelner Nutzer zentral alle Ressourcen aufrufen und verwalten.

  • Richtlinien, die für Unterorganisationen gelten, müssen auf jedem Organisationsknoten neu eingerichtet werden.

  • Das Verschieben von Projekten und Ordnern von einem Organisationsknoten zu einem anderen ist kein Vorgang, den Sie selbst ausführen können. Dieser Vorgang erfordert eine Supportanfrage.

  • Jeder Organisationsknoten benötigt ein G Suite-Konto. Die Verwendung mehrerer Organisationsknoten erfordert daher mehrere G Suite-Konten und die Möglichkeit, Identitäten über diese hinweg zu verwalten.

Einzelnen Organisationsknoten verwenden

Die meisten Organisationen, die separate Unterorganisationen verwalten möchten, verwenden dazu einen einzelnen Organisationsknoten sowie Ordner. Wenn Sie über ein einzelnes G Suite-Konto verfügen, wird dieses Konto dem Organisationsknoten und die Unterorganisationen werden den Ordnern zugeordnet.

Organisationsadministrator wählen

Wählen Sie einen oder mehrere Nutzer aus, die als Cloud IAM-Organisationsadministrator für den Organisationsknoten fungieren sollen.

Konsole

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Platform Console als G Suite oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Seite "IAM & Verwaltung" öffnen

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Drop-down-Liste Projekt auswählen.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Administrator der Organisation aus und klicken Sie dann auf Hinzufügen.

  5. Der Organisationsadministrator kann die vollständige Kontrolle über die Organisation übernehmen. Außerdem werden die Zuständigkeiten des G Suite oder Cloud Identity Super Admin und des GCP-Administrators getrennt.

  6. Der Organisationsadministrator kann Zuständigkeiten für wichtige Funktionen delegieren, indem er die entsprechenden Cloud IAM-Rollen zuweist.

Ordner für Unterorganisationen erstellen

Erstellen Sie für jede Unterorganisation einen Ordner unter dem Organisationsknoten.

Für das Erstellen von Ordnern benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise auf der Organisationsebene Ordner erstellen möchten, müssen Sie eine dieser Rollen auf dieser Ebene haben.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name darf maximal 30 Zeichen lang sein
  • Der Name darf innerhalb einer Hierarchieebene nur einmal vorkommen.

So erstellen Sie einen Ordner:

Konsole

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Öffnen Sie die Seite Ressourcen verwalten in der GCP Console:

    Seite "Ressourcen verwalten" öffnen

  2. Klicken Sie auf Ordner erstellen.

  3. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  4. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie den Organisationsknoten oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Sie können Ordner programmatisch mithilfe des Befehlszeilentools gcloud erstellen.

Führen Sie den folgenden Befehl aus, um mit dem Befehlszeilentool gcloud einen Ordner unter der Organisationsressource anzulegen:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dabei gilt Folgendes:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisation, wenn das übergeordnete Element eine Organisation ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Dabei gilt Folgendes:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisation, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden Unterorganisationsordner, den Sie erstellen, einem oder mehreren Nutzern die Rolle des Ordner-Administrators zu. Diese Nutzer haben administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Konsole

  1. Öffnen Sie in der Google Cloud Platform Console die Seite Ressourcen verwalten.

    Seite "Ressourcen verwalten" öffnen

  2. Klicken Sie links oben auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

  4. Geben Sie auf der rechten Seite im Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

  5. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    Screenshot der Benutzeroberfläche

  6. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, um das Hinzufügen oder Aktualisieren der Rolle der Mitglieder zu bestätigen.

gcloud

Sie können den Zugriff auf Ordner programmatisch mit dem gcloud-Befehlszeilentool oder über die API konfigurieren.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dabei gilt Folgendes:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Mit SetsIamPolicy legen Sie die Richtlinie für die Zugriffssteuerung eines Ordners fest und ersetzen dabei gegebenenfalls vorhandene Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Dabei gilt Folgendes:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Unterorganisationsrollen einschränken

Jeder Ordneradministrator kann die Rolle des Projekterstellers auf Mitglieder seiner Unterorganisation beschränken. Sie können die Domain auch aus der Rolle Projektersteller in der IAM-Richtlinie des Organisationsknotens entfernen.

G Suite-Super Admins verfügen über unwiderrufliche Berechtigungen in Bezug auf die Rolle "Administrator der Organisation". Diese Super Admins verwalten normalerweise die Identitäten und Identitätsrichtlinien anstelle von GCP-Ressourcen und Ressourcenrichtlinien.

Konsole

So entfernen Sie die Rollen, die Nutzern standardmäßig mithilfe der Google Cloud Platform Console zugewiesen wurden:

  1. Öffnen Sie die Seite Ressourcen verwalten in der GCP Console:

    Seite "Ressourcen verwalten" öffnen

  2. Klicken Sie am oberen Rand der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen der Organisationsressource, für die Sie Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden Sie in der Anleitung zum Widerrufen von Rollen auf der Seite Cloud IAM.

  4. Klicken Sie auf der rechten Seite unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Mitglied, das Sie aus der Rolle entfernen möchten, auf "Entfernen". Screenshot der UI

  6. Klicken Sie im Dialogfeld Mitglied entfernen? auf Entfernen, um das Entfernen der Rolle vom angegebenen Mitglied zu bestätigen.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation, die Ordner verwendet hat, um zwei Abteilungen zu trennen. Die Leiter der Abteilungen Technik und Finanzen haben administrative Kontrolle und andere Nutzer können keine Projekte erstellen.

Hierarchiediagramm

Mehrere Organisationsknoten verwenden

Wenn Ihre Organisation mehrere G Suite-Konten hat, verfügen Sie standardmäßig über mehrere Organisationsknoten. Sie sollten einen Hauptorganisationsknoten auswählen, um weiterhin alle Organisationsknoten zentral aufzurufen und zu verwalten. Die Super Admins des G Suite-Kontos, die mit Ihrem Master-Organisationsknoten verknüpft sind, haben administrative Kontrolle über alle Ressourcen, einschließlich derjenigen, die von Nutzern aus den anderen G Suite-Konten erstellt wurden. Nutzern aus diesen G Suite-Konten wird der Zugriff auf einen Ordner unter dem Hauptorganisationsknoten gewährt, in dem sie Projekte erstellen können.

Organisationsadministrator wählen

Wählen Sie einen oder mehrere Nutzer aus, die als Cloud IAM-Organisationsadministrator für den Organisationsknoten fungieren sollen.

Konsole

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Platform Console als G Suite oder Cloud Identity Super Admin an und rufen Sie die Seite IAM & Verwaltung auf:

    Seite "IAM & Verwaltung" öffnen

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Drop-down-Liste Projekt auswählen.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen auf die Drop-down-Liste "Organisation" und wählen Sie die Organisation aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Administrator der Organisation aus und klicken Sie dann auf Hinzufügen.

  5. Der Organisationsadministrator kann die vollständige Kontrolle über die Organisation übernehmen. Außerdem werden die Zuständigkeiten des G Suite oder Cloud Identity Super Admin und des GCP-Administrators getrennt.

  6. Der Organisationsadministrator kann Zuständigkeiten für wichtige Funktionen delegieren, indem er die entsprechenden Cloud IAM-Rollen zuweist.

Rolle des Projekterstellers entfernen

Entfernen Sie die Rolle Projektersteller vom Organisationsknoten, damit in den anderen Organisationsknoten keine Ressourcen erstellt werden.

Konsole

So entfernen Sie die Rollen, die Nutzern standardmäßig mithilfe der Google Cloud Platform Console zugewiesen wurden:

  1. Öffnen Sie die Seite Ressourcen verwalten in der GCP Console:

    Seite "Ressourcen verwalten" öffnen

  2. Klicken Sie am oberen Rand der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen der Organisationsressource, für die Sie Berechtigungen ändern möchten. Wenn Sie keine Ordnerressource haben, ist die Organisationsressource nicht sichtbar. Weitere Informationen finden Sie in der Anleitung zum Widerrufen von Rollen auf der Seite Cloud IAM.

  4. Klicken Sie auf der rechten Seite unter Berechtigungen, um die Rolle zu maximieren, aus der Sie Nutzer entfernen möchten.

  5. Klicken Sie in der maximierten Rollenliste neben dem Mitglied, das Sie aus der Rolle entfernen möchten, auf "Entfernen". Screenshot der UI

  6. Klicken Sie im Dialogfeld Mitglied entfernen? auf Entfernen, um das Entfernen der Rolle vom angegebenen Mitglied zu bestätigen.

  7. Wiederholen Sie die obigen zwei Schritte für jede Rolle, die Sie entfernen möchten.

Ordner für G Suite-Konten erstellen

Erstellen Sie für jedes G Suite-Konto einen Ordner unter dem Organisationsknoten.

Für das Erstellen von Ordnern benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise auf der Organisationsebene Ordner erstellen möchten, müssen Sie eine dieser Rollen auf dieser Ebene haben.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name darf maximal 30 Zeichen lang sein
  • Der Name darf innerhalb einer Hierarchieebene nur einmal vorkommen.

So erstellen Sie einen Ordner:

Konsole

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Öffnen Sie die Seite Ressourcen verwalten in der GCP Console:

    Seite "Ressourcen verwalten" öffnen

  2. Klicken Sie auf Ordner erstellen.

  3. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  4. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie den Organisationsknoten oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Sie können Ordner programmatisch mithilfe des Befehlszeilentools gcloud erstellen.

Führen Sie den folgenden Befehl aus, um mit dem Befehlszeilentool gcloud einen Ordner unter der Organisationsressource anzulegen:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Dabei gilt Folgendes:

  • [DISPLAY_NAME] ist der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • [ORGANIZATION_ID] ist die ID der übergeordneten Organisation, wenn das übergeordnete Element eine Organisation ist.
  • [FOLDER_ID] ist die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Dabei gilt Folgendes:

  • [DISPLAY_NAME] ist der Anzeigename des neuen Ordners, z. B. "Mein Ordner".
  • [ORGANIZATION_NAME] ist der Name der Organisation, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Administratorrollen für Ordner erteilen

Teilen Sie für jeden erstellten Ordner einem oder mehreren Nutzern die Rolle Ordneradministrator zu. Diese Nutzer erhalten die administrative Kontrolle über den Ordner und die Unterorganisation, die er repräsentiert.

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Konsole

  1. Öffnen Sie in der Google Cloud Platform Console die Seite Ressourcen verwalten.

    Seite "Ressourcen verwalten" öffnen

  2. Klicken Sie links oben auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

  4. Geben Sie auf der rechten Seite im Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

  5. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    Screenshot der Benutzeroberfläche

  6. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, um das Hinzufügen oder Aktualisieren der Rolle der Mitglieder zu bestätigen.

gcloud

Sie können den Zugriff auf Ordner programmatisch mit dem gcloud-Befehlszeilentool oder über die API konfigurieren.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Dabei gilt Folgendes:

  • [FOLDER_ID] ist die ID des neuen Ordners.
  • [POLICY_FILE] ist der Pfad zu einer Richtliniendatei für den Ordner.

API

Mit SetsIamPolicy legen Sie die Richtlinie für die Zugriffssteuerung eines Ordners fest und ersetzen dabei gegebenenfalls vorhandene Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Dabei gilt Folgendes:

  • [FOLDER_NAME] ist der Name des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. "folders/123".

Jeder Ordneradministrator kann Nutzern aus der verknüpften Domain die Rolle Projektersteller zuweisen.

Beispiel

Das folgende Diagramm veranschaulicht eine Organisation mit einer primären Domain, die von einer erworbenen sekundären Domain isoliert gehalten wird. Jede der beiden Domains hat ein eigenes G Suite-Konto, wobei hypothetical.com der Knoten der Hauptorganisation ist.

Hierarchiediagramm

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager