Einrichtungsassistent für Organisationsressource

Mit dem Einrichtungsassistenten für Organisationen können Sie die Verwaltung Ihrer Organisationsressource ganz einfach einrichten und delegieren. Außerdem können Sie damit vorhandene Projekte und Rechnungskonten in Ihre neue Organisationsressource migrieren.

So können Sie den Einrichtungsassistenten für Organisationen nutzen:

  1. Beziehen Sie eine Organisationsressource. Eine ausführliche Anleitung finden Sie unter Eine Organisationsressource beziehen.

  2. Weisen Sie Organisations-, Abrechnungs- und Netzwerkadministratoren für Ihre Google Cloud-Organisationsressource zu. Eine ausführliche Anleitung finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

So starten Sie den Migrationsprozess:

  1. Senden Sie die Migrationsanfrage für die Projekte und Abrechnung an die Projektinhaber.

  2. Warten Sie, bis die Projektinhaber die Migrationsanfrage bestätigt haben.

  3. Genehmigen Sie die Migration von Projekten und Rechnungskonten.

Diese Anleitung enthält Anweisungen zum Migrieren von Projekten und Rechnungskonten mit dem Einrichtungsassistenten für die Google Cloud. Weitere Informationen zur Verwendung von Resource Manager finden Sie unter Projekte migrieren.

Durch das Verknüpfen von Projekten oder Rechnungskonten mit einer Organisationsressource können Sie alle Ressourcen in der Organisationsressource zentral steuern. Weitere Informationen finden Sie unter Vorteile der Organisationsressource.

Die folgenden Abschnitte enthalten ausführliche Anleitungen für diese Vorgänge.

Vorhandene Projekte und Rechnungskonten migrieren

Nachdem eine Organisationsressource für Ihre Domain erstellt wurde, gehören alle unter der Organisationsressource erstellten Projekte automatisch zur Organisationsressource. Sie können auch bereits vorhandene Projekte in die Organisationsressource migrieren.

  • Wenn Sie Inhaber oder Bearbeiter eines Projekts und Projektersteller für die Organisationsressource sind, können Sie Projekte direkt migrieren.

  • Als Organisationsadministrator können Sie Projektinhaber bitten, Ihnen die Kontrolle über ein Projekt zu geben, damit Sie es in Ihre Organisationsressource migrieren können.

Die Projektmigration lässt sich nicht rückgängig machen. Nachdem ein Projekt mit einer Organisationsressource verknüpft wurde, können Sie es nicht mehr in Keine Organisation zurückversetzen oder selbst in eine andere Organisationsressource verschieben. Wenn Sie ein Projekt verschieben müssen, nachdem es mit einer Organisationsressource verknüpft wurde, wenden Sie sich an den Google Cloud Premium-Support.

Wenn ein Projekt zu einer Organisationsressource migriert wird, erhält der Organisationsadministrator die administrative Kontrolle über das Projekt und übernimmt die Richtlinien für Identity and Access Management (IAM) sowie die Organisationsrichtlinien. Weitere Informationen finden Sie unter Auswirkungen von IAM-Richtlinien.

Wenn Sie vorhandene Projekte in eine Organisationsressource verschieben, werden sie wie vor der Migration abgerechnet, auch wenn das Rechnungskonto des Projekts noch nicht migriert wurde. Wenn Sie das Rechnungskonto in eine Organisationsressource verschieben, funktionieren alle damit verknüpften Projekte auch weiterhin außerhalb der Organisationsressource. Sie können neu importierte Projekte jederzeit mit einem neuen oder vorhandenen Rechnungskonto in Ihrer Organisationsressource verknüpfen, ohne dass die Projektfunktionalität unterbrochen wird.

Organisationsressource für Super Admins einrichten

Organisationsressource erstellen

Bevor Sie Google Cloud-Administratoren delegieren und Projekte und Rechnungskonten migrieren, benötigen Sie eine Organisationsressource. Registrieren Sie sich für Google Workspace oder Cloud Identity, bestätigen Sie Ihre Domain und erstellen Sie dann mit diesem Konto ein Projekt, um eine Organisationsressource zu erhalten. Nach dem Erstellen des Projekts wird automatisch eine Organisationsressource bereitgestellt. Weitere Informationen zum Erwerb einer Organisationsressource finden Sie unter Eine Organisationsressource beziehen.

Google Cloud-Administratoren delegieren

So delegieren Sie Google Cloud-Administratoren:

  1. Klicken Sie in der E-Mail „Willkommen bei [ORGANISATIONSNAME] in Google Cloud“ auf Zu meiner Console oder rufen Sie in der Google Cloud Console die Seite Einrichtung der Organisation auf.

  2. Klicken Sie auf der Seite zur Einrichtung der Organisation auf Einrichtung delegieren.

  3. Die Seite Rolle als Organisationsadministrator delegieren wird geöffnet. Geben Sie auf dieser Seite die E-Mail-Adressen der Personen oder Gruppen ein, die Sie als Organisationsadministratoren hinzufügen möchten.

  4. Wenn Sie alle Organisationsadministratoren hinzugefügt haben, klicken Sie auf Delegieren.

Es wird eine E-Mail-Benachrichtigung an die von Ihnen eingegebenen E-Mail-Adressen gesendet, dass sie nun ein Organisationsadministrator für Ihre Google Cloud-Organisationsressource sind.

Wenn Sie später weitere Administratoren einrichten möchten, klicken Sie auf der Seite Identität & Organisation auf Berechtigungen festlegen.

Migration für Google Cloud-Administratoren

Wenn ein Nutzer mit einem Google Workspace- oder Cloud Identity-Konto bei der Einrichtung der Organisationsressource die Rolle Organisationsadministrator an Sie delegiert, erhalten Sie eine E-Mail-Benachrichtigung. Während der Einrichtung der Organisationsressource können Sie anderen Organisations-, Abrechnungs- und Netzwerkadministratoren Berechtigungen zuweisen. Einzelpersonen, die Sie als Administrator zuweisen, erhalten keine E-Mail.

Sie benötigen die Rolle Projektersteller, um die Migration von Projekten und Rechnungskonten anzufordern. Standardmäßig erhalten alle Nutzer in Ihrer Domain diese Rolle. Weitere Informationen zum Ändern des Standardverhaltens und zum Gewähren dieser Rolle an Nutzer finden Sie unter Standardorganisationsrollen verwalten.

Projekte und Rechnungskonten migrieren

Sie müssen erst die Genehmigung der Inhaber einholen, um Projekte oder Rechnungskonten von anderen Nutzerkonten zu migrieren. Die Inhaber erhalten dann eine Benachrichtigung, in der sie die Anfrage prüfen und die Migration der Projekte oder Rechnungskonten genehmigen können. Projektinhaber können die Anfrage ignorieren, sie läuft dann nach 30 Tagen ab. Sie können die Migration noch einmal anfordern, wenn die ursprüngliche Anfrage abläuft oder noch offen ist. Nachdem ein Inhaber die Migration der Projekte oder Rechnungskonten genehmigt hat, erhalten Sie eine Benachrichtigung und können auswählen, was migriert werden soll.

Migration von Projekten oder Rechnungskonten anfordern

  1. Rufen Sie in der Google Cloud Console die Seite Identität und Organisation auf.

    Benutzeroberfläche des Einrichtungsassistenten für Organisationen

  2. Fügen Sie im Feld Projekte oder Rechnungskonten anfordern von die E-Mail-Adressen der Rechnungskonto- oder Projektinhaber an, von denen Sie Projekte anfordern möchten, und klicken Sie dann auf Anfrage.

    Benutzeroberfläche für die Projektanfrage

Die Inhaber der Rechnungskonten oder Projekte erhalten eine E-Mail mit der Migrationsanfrage. Nachdem sie die Migration genehmigt haben, erhalten Sie eine E-Mail mit einem Link für den Abschluss der Migration.

Auf Genehmigung von Migrationsanfragen warten

Wenn Sie die Migration von Projekt- oder Rechnungskonten anfordern, erhalten die Inhaber der Projekte oder Rechnungskonten eine E-Mail mit der Anfrage. Sie können die Projekte auswählen, die migriert werden sollen. Die Anfrage bleibt bis zu 30 Tage gültig. Nach 30 Tagen läuft die Anfrage ab und Sie müssen eine neue Migrationsanfrage für alle ausstehenden Projekte oder Rechnungskonten senden.

Wenn ein Projekt- oder Rechnungskontoinhaber die Migrationsanfrage bestätigt, erhalten Sie eine E-Mail und eine Benachrichtigung in der Google Cloud Console. Fahren Sie mit dem nächsten Schritt fort, um die Migration zu genehmigen.

Migration von Projekten und Rechnungskonten genehmigen

Nachdem ein Inhaber die Migrationsanfrage genehmigt hat, erhalten Sie von Platform Notifications eine E-Mail mit der Information, dass der Projektinhaber auf die Migrationsanfrage geantwortet hat. Außerdem wird in der Google Cloud Console eine Benachrichtigung angezeigt.

Sie benötigen die Rollen Projektersteller, Rechnungskontoersteller und Organisationsadministrator für die Organisationsressource, zu der Sie Projekte migrieren. So schließen Sie die Migration ab:

  1. Klicken Sie in der E-Mail auf Migrieren oder rufen Sie in der Google Cloud Console die Seite Projekte migrieren auf.

    Seite "Projekte migrieren"

  2. Wählen Sie auf den Tabs Projekte auswählen und Rechnungskonten auswählen eine beliebige Kombination aus Projekten und Rechnungskonten für die Migration aus und klicken Sie dann auf Weiter.

  3. Auf dem Tab Prüfen und genehmigen wird eine Liste aller Projekte und Rechnungskonten angezeigt, die zur Migration ausgewählt wurden.

  4. Klicken Sie auf Genehmigen, um die Migration abzuschließen.

Die Projekte oder Rechnungskonten, die Sie für die Migration ausgewählt haben, sind jetzt mit Ihrer Organisationsressource verknüpft. Alle Projekte oder Rechnungskonten, die Sie nicht migriert haben, bleiben in der Liste Keine Organisation stehen. Sie haben weiterhin die Google Workspace-Rolle "Projektverschieber" für diese Projekte und die Rolle "Abrechnungsadministrator" für diese Rechnungskonten. Sie können in der Google Cloud Console die Seite Projekte migrieren noch einmal aufrufen, um die Migration dieser Projekte und Rechnungskonten zu genehmigen.

Wenn Sie die Migration für ein Projekt fertigstellen, wird es wie zuvor abgerechnet, auch wenn das zugehörige Rechnungskonto noch nicht migriert wurde. Wenn Sie die Migration für ein Rechnungskonto abschließen, funktionieren alle damit verknüpften Projekte auch weiterhin außerhalb der Organisationsressource.

Migrationsanfragen prüfen

Wenn ein Organisationsadministrator Sie bittet, ein Projekt oder Rechnungskonto zu seiner Organisationsressource zu migrieren, erhalten Sie eine E-Mail mit einer Migrationsanfrage. Sobald Sie die Migration genehmigen, erteilen Sie dem Organisationsadministrator die folgenden Rollen:

  • Projekte: role/project.mover

    • Mit der Rolle "Projektverschieber" kann ein Nutzer Projekte importieren und die IAM-Berechtigungen für diese ändern.

  • Rechnungskonten: roles/billing.admin

    • Mit der Rolle "Abrechnungsadministrator" kann ein Nutzer Rechnungskonten importieren und die IAM-Berechtigungen für diese ändern.

Nachdem der Organisationsadministrator eine Migration genehmigt hat, kann er die IAM-Rollen für das Projekt ändern und das Projekt übernimmt die vorhandenen Organisationsrichtlinien. Weitere Informationen finden Sie unter Auswirkungen von IAM-Richtlinien.

So prüfen Sie Anfragen:

  1. Klicken Sie in der E-Mail auf Anfrage prüfen, um die Seite Migrationsantrag überprüfen zu öffnen.

  2. Wählen Sie auf den Tabs Projekte auswählen und Rechnungskonten auswählen eine beliebige Kombination aus Projekten und Rechnungskonten aus, die Sie zur Organisationsressource migrieren möchten. Klicken Sie dann auf Weiter. Es kann bis zu fünf Minuten dauern, bis die Liste der Projekte zusammengestellt ist.

  3. Auf dem Tab Bestätigen werden die folgenden Informationen zur Migration aufgeführt:

    1. Die E-Mail-Adresse des Organisationsadministrators, dem Sie die Rollen "Projektverschieber" und "Abrechnungsadministrator" gewähren.

    2. Eine Bestätigungsliste aller Projekte und Abrechnungskonten, die Sie für die Migration ausgewählt haben.

  4. Um die Migration abzuschließen, geben Sie die E-Mail-Adresse der Entität ein, die die Migrationsanfrage gestellt hat, und klicken Sie dann auf Bestätigen.

Die Projekte oder Rechnungskonten, die Sie für die Migration ausgewählt haben, können jetzt vom Organisationsadministrator zu seiner Organisationsressource migriert werden.

Wenn Sie den Migrationsprozess für ein Projekt oder Rechnungskonto beenden möchten, müssen Sie dies tun, bevor der Organisationsadministrator es in seine Organisationsressource importiert. Rufen Sie in der Google Cloud Console die IAM-Seite für das Projekt auf und entfernen Sie die Rolle „Projektverschieber“ oder „Abrechnungsadministrator“ für den Organisationsadministrator.

Alle Projekte oder Rechnungskonten, die Sie nicht für die Migration ausgewählt haben, verbleiben im Status Keine Organisation. Sie haben 30 Tage Zeit, um auf den Link in der E-Mail mit der Migrationsanfrage zu klicken und damit die Migration zu genehmigen. Nach 30 Tagen läuft die Migrationsanfrage ab und der Organisationsadministrator muss eine neue Migrationsanfrage zur Prüfung an Sie senden.

Auswirkungen der IAM-Politik

IAM-Richtlinien, die für ein Projekt bereits definiert sind, werden mit dem Projekt migriert. Dies bedeutet, dass Nutzer ihre vor der Migration vorhandenen Berechtigungen für das Projekt nach der Migration behalten.

Da IAM-Berechtigungen übernommen und additiv sind, werden Rollen, die auf Organisationsebene definiert sind, von Projekten übernommen, wenn sie zur Organisationsressource migrieren. Wenn beispielsweise für projektautor@meineorganisation.com die Rolle "Projektbearbeiter" auf Organisationsebene definiert wurde, wird diese Rolle auch für jedes Projekt zugewiesen, das in die Organisationsressource migriert wird. Dadurch können vorhandene Projekte wie gewohnt verwendet werden, aufgrund der Rollenübernahme erhalten jedoch möglicherweise mehr Nutzer Zugriffsberechtigungen.

Auch Organisationsrichtlinien werden in niedrigere Hierarchieebenen übernommen. Standardmäßig haben neu erstellte Organisationsressourcen keine Organisationsrichtlinien. Wenn Sie Organisationsrichtlinien für Ihre Organisationsressource definieren, achten Sie darauf, dass die zu migrierenden Projekte mit Ihren Organisationsrichtlinien übereinstimmen.