Einrichtungsassistent für Organisationsressourcen

Mit dem Einrichtungsassistenten für Organisationen können Sie die Administration der Organisationsressource einfach einrichten und delegieren. Außerdem lassen sich damit vorhandene Projekte und Rechnungskonten in die neue Organisationsressource migrieren.

So können Sie den Einrichtungsassistenten für Organisationen nutzen:

  1. Beziehen Sie eine Organisationsressource. Eine ausführliche Anleitung finden Sie unter Eine Organisationsressource beziehen.

  2. Weisen Sie Organisations-, Abrechnungs- und Netzwerkadministratoren für die Google Cloud-Organisationsressource zu. Eine ausführliche Anleitung finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

So starten Sie den Migrationsprozess:

  1. Senden Sie die Migrationsanfrage für die Projekte und Abrechnung an die Projektinhaber.

  2. Warten Sie, bis die Projektinhaber die Migrationsanfrage bestätigt haben.

  3. Genehmigen Sie die Migration von Projekten und Rechnungskonten.

Diese Anleitung enthält Anweisungen zum Migrieren von Projekten und Rechnungskonten mit dem Einrichtungsassistenten für die Google Cloud. Weitere Informationen zur Verwendung von Resource Manager finden Sie unter Projekte migrieren.

Durch die Verknüpfung von Projekten oder Rechnungskonten mit einer Organisationsressource können alle Ressourcen in der Organisationsressource zentral gesteuert werden. Weitere Informationen finden Sie unter Vorteile der Organisationsressource.

Die folgenden Abschnitte enthalten ausführliche Anleitungen für diese Vorgänge.

Vorhandene Projekte und Rechnungskonten migrieren

Nachdem eine Organisationsressource für Ihre Domain erstellt wurde, gehören alle unter der Organisationsressource erstellten Projekte automatisch der Organisationsressource an. Sie können auch bereits vorhandene Projekte zur Organisationsressource migrieren.

  • Wenn Sie Inhaber oder Bearbeiter eines Projekts und Projektersteller für die Organisationsressource sind, können Sie Projekte direkt migrieren.

  • Wenn Sie Organisationsadministrator sind, können Sie Projektinhaber dazu auffordern, Ihnen die Kontrolle über ein Projekt zu übertragen, damit Sie es zu der Organisationsressource migrieren können.

Die Projektmigration lässt sich nicht rückgängig machen. Ein einmal mit einer Organisationsressource verknüpftes Projekt kann nicht mehr in den Status Keine Organisation zurückgesetzt werden. Auch zum Verschieben in eine andere Organisationsressource benötigen Sie Unterstützung. Wenn Sie ein Projekt verschieben müssen, nachdem es mit einer Organisationsressource verknüpft wurde, wenden Sie sich an den Google Cloud-Premiumsupport.

Wenn ein Projekt zu einer Organisationsressource migriert wird, erhält der Organisationsadministrator die administrative Kontrolle über das Projekt, welches die Richtlinien der Identity and Access Management (IAM) und der Organisation übernimmt. Weitere Informationen finden Sie unter Auswirkungen von IAM-Richtlinien.

Wenn Sie vorhandene Projekte in eine Organisationsressource verschieben, werden diese wie vor der Migration abgerechnet, auch wenn das Rechnungskonto noch nicht verschoben wurde. Genauso gilt umgekehrt, dass alle Projekte, die mit dem in die Organisationsressource verschobenen Rechnungskonto verknüpft sind, normal weitergeführt werden, auch wenn sie sich noch nicht in der Organisationsressource befinden. Sie können neu importierte Projekte jederzeit mit einem neuen oder vorhandenen Rechnungskonto in der Organisationsressource verknüpfen, wobei sämtliche Projektfunktionen unterbrechungsfrei erhalten bleiben.

Einrichtung von Ressourcen für Organisationen für Super Admins

Organisationsressource erstellen

Bevor Sie Google Cloud-Administratoren delegieren und Projekte und Rechnungskonten migrieren, müssen Sie eine Organisationsressource erstellen. Registrieren Sie sich bei Google Workspace oder Cloud Identity, bestätigen Sie Ihre Domain und erstellen Sie dann mit diesem Konto ein Projekt, um eine Organisationsressource zu beziehen. Nach der Erstellung des Projekts wird automatisch eine Organisationsressource bereitgestellt. Weitere Informationen zum Erwerben einer Organisationsressource finden Sie unter Eine Organisationsressource beziehen.

Google Cloud-Administratoren delegieren

So delegieren Sie Google Cloud-Administratoren:

  1. Klicken Sie in der E-Mail „Willkommen bei [ORGANISATIONSNAME] in der Google Cloud“ auf Zu meiner Konsole oder rufen Sie in der Google Cloud Console die Seite Einrichtung der Organisation auf.

  2. Klicken Sie auf der Seite zur Einrichtung der Organisation auf Einrichtung delegieren.

  3. Die Seite Rolle als Organisationsadministrator delegieren wird geöffnet. Geben Sie auf dieser Seite die E-Mail-Adressen der Personen oder Gruppen ein, die Sie als Organisationsadministratoren hinzufügen möchten.

  4. Wenn Sie alle Organisationsadministratoren hinzugefügt haben, klicken Sie auf Delegieren.

Es wird eine E-Mail-Benachrichtigung an alle E-Mail-Adressen gesendet, um den Empfängern mitzuteilen, dass sie nun ein Organisationsadministrator für die Google Cloud-Organisationsressource sind.

Wenn Sie später weitere Administratoren einrichten möchten, klicken Sie auf der Seite Identität & Organisation auf Berechtigungen festlegen.

Migration für Google Cloud-Administratoren

Wenn der Nutzer eines Google Workspace- oder Cloud Identity-Kontos bei der Einrichtung der Organisationsressource die Rolle Organisationsadministrator an Sie delegiert, erhalten Sie eine E-Mail-Benachrichtigung. Während der Einrichtung von Organisationsressourcen können Sie anderen Organisations-, Abrechnungs- und Netzwerkadministratoren Berechtigungen zuweisen. Einzelpersonen, die Sie als Administrator zuweisen, erhalten keine E-Mail.

Sie benötigen die Rolle Projektersteller, um die Migration von Projekten und Rechnungskonten anzufordern. Standardmäßig erhalten alle Nutzer in Ihrer Domain diese Rolle. Weitere Informationen zum Ändern dieses Standardverhaltens und Gewähren dieser Rolle an Nutzer finden Sie unter Standardorganisationsrollen verwalten.

Projekte und Rechnungskonten migrieren

Sie müssen erst die Genehmigung der Inhaber einholen, um Projekte oder Rechnungskonten von anderen Nutzerkonten zu migrieren. Die Inhaber erhalten dann eine Benachrichtigung, in der sie die Anfrage prüfen und die Migration der Projekte oder Rechnungskonten genehmigen können. Projektinhaber können die Anfrage ignorieren, sie läuft dann nach 30 Tagen ab. Sie können die Migration noch einmal anfordern, wenn die ursprüngliche Anfrage abläuft oder noch offen ist. Nachdem ein Inhaber die Migration der Projekte oder Rechnungskonten genehmigt hat, erhalten Sie eine Benachrichtigung und können auswählen, was migriert werden soll.

Migration von Projekten oder Rechnungskonten anfordern

  1. Rufen Sie in der Google Cloud Console die Seite Identität & Organisation auf.

    Benutzeroberfläche des Einrichtungsassistenten für Organisationen

  2. Fügen Sie im Feld Projekte oder Rechnungskonten anfordern von die E-Mail-Adressen der Rechnungskonto- oder Projektinhaber an, von denen Sie Projekte anfordern möchten, und klicken Sie dann auf Anfrage.

    Benutzeroberfläche für die Projektanfrage

Die Inhaber der Rechnungskonten oder Projekte erhalten eine E-Mail mit der Migrationsanfrage. Nachdem sie die Migration genehmigt haben, erhalten Sie eine E-Mail mit einem Link für den Abschluss der Migration.

Auf Genehmigung von Migrationsanfragen warten

Wenn Sie die Migration von Projekt- oder Rechnungskonten anfordern, erhalten die Inhaber der Projekte oder Rechnungskonten eine E-Mail mit der Anfrage. Sie können die Projekte auswählen, die migriert werden sollen. Die Anfrage bleibt bis zu 30 Tage gültig. Nach 30 Tagen läuft die Anfrage ab und Sie müssen eine neue Migrationsanfrage für alle ausstehenden Projekte oder Rechnungskonten senden.

Wenn ein Projekt- oder Rechnungskontoinhaber die Migrationsanfrage bestätigt, erhalten Sie zusätzlich zu einer E-Mail eine Benachrichtigung in der Google Cloud Console. Fahren Sie mit dem nächsten Schritt fort, um die Migration zu genehmigen.

Migration von Projekten und Rechnungskonten genehmigen

Nachdem ein Inhaber Ihre Migrationsanfrage genehmigt, erhalten Sie eine E-Mail von Platform Notifications mit der Benachrichtigung, dass der Projektinhaber auf die Migrationsanfrage geantwortet hat. Zusätzlich wird in der Google Cloud Console eine Benachrichtigung angezeigt.

Sie benötigen die Rollen Projektersteller, Rechnungskontoersteller und Organisationsadministrator für die Organisationsressource, zu der Sie Projekte migrieren. So schließen Sie die Migration ab:

  1. Klicken Sie in der E-Mail auf Migrieren oder rufen Sie in der Google Cloud Console die Seite Projekte migrieren auf.

    Seite "Projekte migrieren"

  2. Wählen Sie auf den Tabs Projekte auswählen und Rechnungskonten auswählen eine beliebige Kombination aus Projekten und Rechnungskonten für die Migration aus und klicken Sie dann auf Weiter.

  3. Auf dem Tab Prüfen und genehmigen wird eine Liste aller Projekte und Rechnungskonten angezeigt, die zur Migration ausgewählt wurden.

  4. Klicken Sie auf Genehmigen, um die Migration abzuschließen.

Die Projekte oder Abrechnungskonten, die Sie zur Migration ausgewählt haben, werden jetzt mit der Organisationsressource verknüpft. Alle Projekte oder Rechnungskonten, die Sie nicht migriert haben, bleiben in der Liste Keine Organisation stehen. Sie haben weiterhin die Google Workspace-Rolle "Projektverschieber" für diese Projekte und die Rolle "Abrechnungsadministrator" für diese Rechnungskonten. Wenn Sie die Migration dieser Projekte und Rechnungskonten genehmigen möchten, können Sie die Seite Projekte migrieren in der Google Cloud Console noch einmal öffnen.

Wenn Sie die Migration für ein Projekt fertigstellen, wird es wie zuvor abgerechnet, auch wenn das zugehörige Rechnungskonto noch nicht migriert wurde. Genauso gilt umgekehrt, dass alle mit einem migrierten Rechnungskonto verknüpften Projekte normal weitergeführt werden, auch wenn sie sich noch nicht in der Organisation befinden.

Migrationsanfragen prüfen

Wenn ein Organisationsadministrator Sie dazu auffordert, ein Projekt oder Rechnungskonto zu seiner Organisationsressource zu migrieren, erhalten Sie eine E-Mail mit einer Migrationsanfrage. Sobald Sie die Migration genehmigen, erteilen Sie dem Organisationsadministrator die folgenden Rollen:

  • Projekte: role/project.mover

    • Mit der Rolle "Projektverschieber" kann ein Nutzer Projekte importieren und die IAM-Berechtigungen für diese ändern.
  • Rechnungskonten: roles/billing.admin

    • Mit der Rolle "Abrechnungsadministrator" kann ein Nutzer Rechnungskonten importieren und die IAM-Berechtigungen für diese ändern.

Nachdem der Organisationsadministrator eine Migration genehmigt hat, kann er die IAM-Rollen für das Projekt ändern und das Projekt übernimmt die vorhandenen Organisationsrichtlinien. Weitere Informationen finden Sie unter Auswirkungen von IAM-Richtlinien.

So prüfen Sie Anfragen:

  1. Klicken Sie in der E-Mail auf Anfrage prüfen, um die Seite Migrationsantrag überprüfen zu öffnen.

  2. Wählen Sie auf den Tabs Projekte auswählen und Rechnungskonten auswählen eine beliebige Kombination aus Projekten und Rechnungskonten für die Migration zu der Organisationsressource aus und klicken Sie dann auf Weiter. Es kann bis zu fünf Minuten dauern, bis die Liste der Projekte zusammengestellt ist.

  3. Auf dem Tab Bestätigen werden die folgenden Informationen zur Migration aufgeführt:

    1. Die E-Mail-Adresse des Organisationsadministrators, dem Sie die Rollen "Projektverschieber" und "Abrechnungsadministrator" gewähren.

    2. Eine Bestätigungsliste aller Projekte und Abrechnungskonten, die Sie für die Migration ausgewählt haben.

  4. Um die Migration abzuschließen, geben Sie die E-Mail-Adresse der Entität ein, die die Migrationsanfrage gestellt hat, und klicken Sie dann auf Bestätigen.

Die Projekte oder Abrechnungskonten, die Sie für die Migration ausgewählt haben, können nun vom Organisationsadministrator zu der Organisationsressource migriert werden.

Wenn Sie den Migrationsprozess für ein Projekt oder Rechnungskonto beenden möchten, müssen Sie dies tun, bevor der Organisationsadministrator es in seine Organisationsressource importiert. Rufen Sie dazu in der Google Cloud Console die Seite IAM für das Projekt auf und entfernen Sie die Rolle „Projektverschieber“ oder „Abrechnungsadministrator“ für den Organisationsadministrator.

Alle Projekte oder Rechnungskonten, die Sie nicht für die Migration ausgewählt haben, verbleiben im Status Keine Organisation. Sie haben 30 Tage Zeit, um auf den Link in der E-Mail mit der Migrationsanfrage zu klicken und damit die Migration zu genehmigen. Nach 30 Tagen läuft die Migrationsanfrage ab und der Organisationsadministrator muss eine neue Migrationsanfrage zur Prüfung an Sie senden.

Auswirkungen der IAM-Politik

IAM-Richtlinien, die für ein Projekt bereits definiert sind, werden mit dem Projekt migriert. Dies bedeutet, dass Nutzer ihre vor der Migration vorhandenen Berechtigungen für das Projekt nach der Migration behalten.

Da IAM-Berechtigungen in niedrigere Hierarchieebenen übernommen werden und additiv sind, werden Rollen, die auf Organisationsebene definiert wurden, in Projekte übernommen, wenn diese zu der Organisationsressource migriert werden. Wenn beispielsweise für projektautor@meineorganisation.com die Rolle eines Projektbearbeiters auf Organisationsebene definiert wurde, erhält diese E-Mail-Adresse diese Rolle auch für jedes Projekt, das in die Organisationsressource migriert wird. Dadurch können vorhandene Projekte wie gewohnt verwendet werden, aufgrund der Rollenübernahme erhalten jedoch möglicherweise mehr Nutzer Zugriffsberechtigungen.

Auch Organisationsrichtlinien werden in niedrigere Hierarchieebenen übernommen. Standardmäßig haben neu erstellte Organisationsressourcen keine Organisationsrichtlinien. Wenn Sie Organisationsrichtlinien für die Organisationsressource definieren, achten Sie darauf, dass migrierte Projekte mit diesen übereinstimmen.