Diese Seite wurde von der Cloud Translation API übersetzt.

Ressourcenhierarchie

Auf dieser Seite werden die Google Cloud-Ressourcenhierarchie und die Ressourcen beschrieben, die mit Resource Manager verwaltet werden können.

Die Google Cloud-Ressourcenhierarchie hat zwei Ziele:

Sie stellt eine Hierarchie von Inhaberschaften zur Verfügung, in der der Lebenszyklus einer Ressource an das in der Hierarchie unmittelbar übergeordnete Element gebunden ist.
Sie ermöglicht das Zuweisen und Übernehmen von Zugriffssteuerungs- und Organisationsrichtlinien.

Bildlich gesprochen entspricht die Google Cloud-Ressourcenhierarchie den Dateisystemen, die unter herkömmlichen Betriebssystemen zur hierarchischen Organisation und zur Verwaltung von Elementen dienen. Im Allgemeinen hat jede Ressource genau ein übergeordnetes Element. Durch diese hierarchische Organisation von Ressourcen können Sie Richtlinien für die Zugriffssteuerung und Konfigurationseinstellungen für eine übergeordnete Ressource festlegen. Die Richtlinien und Einstellungen für Identity and Access Management (IAM) werden von den untergeordneten Ressourcen übernommen.

Google Cloud-Ressourcenhierarchie im Detail

Google Cloud-Ressourcen sind hierarchisch organisiert. Alle Ressourcen mit Ausnahme der höchsten Ressource in einer Hierarchie haben genau eine übergeordnete Ressource. Auf der untersten Ebene sind Dienstressourcen die grundlegenden Komponenten, aus denen alle Google Cloud-Dienste bestehen. Beispiele für Dienstressourcen sind virtuelle Compute Engine-Maschinen (VMs), Pub/Sub-Themen, Cloud Storage-Buckets und App Engine-Instanzen. Allen Ressourcen auf der untersten Ebene sind Projektressourcen übergeordnet. Sie stellen den ersten Gruppierungsmechanismus der Google Cloud-Ressourcenhierarchie dar.

Alle Nutzer, einschließlich Nutzer der kostenlosen Testversion, Nutzer der kostenlosen Stufe sowie Google Workspace- und Cloud Identity-Kunden, können Projektressourcen erstellen. Nutzer des kostenlosen Google Cloud-Programms können Projekt- und Dienstressourcen nur innerhalb von Projekten erstellen. Projektressourcen können die oberste Ebene ihrer Hierarchie sein, aber nur, wenn sie von einem Nutzer der kostenlosen Testversion oder einem Nutzer der kostenlosen Stufe erstellt wurden. Google Workspace- und Cloud Identity-Kunden haben Zugriff auf zusätzliche Features der Google Cloud-Ressourcenhierarchie wie Organisations- und Ordnerressourcen. Weitere Informationen finden Sie in der Übersicht über Cloud Identity. Projektressourcen an der Spitze der Hierarchie haben keine übergeordneten Ressourcen, können jedoch in eine Organisationsressource migriert werden, nachdem sie für die Domain erstellt wurde. Weitere Informationen zum Migrieren von Projektressourcen finden Sie unter Projektressourcen migrieren.

Google Workspace- und Cloud Identity-Kunden können Organisationsressourcen erstellen. Jedes Google Workspace- oder Cloud Identity-Konto ist einer Organisationsressource zugeordnet. Wenn eine Organisationsressource vorhanden ist, steht sie an der Spitze der Google Cloud-Ressourcenhierarchie. Alle Ressourcen einer Organisation sind unter der Organisationsressource gruppiert. So erhalten Sie zentrale Sichtbarkeit und Kontrolle über jede Ressource, die zu einer Organisationsressource gehört.

Ordnerressourcen sind ein zusätzlicher, optionaler Gruppierungsmechanismus zwischen Organisationsressourcen und Projektressourcen. Eine Organisationsressource ist für die Verwendung von Ordnern erforderlich. Ordnerressourcen und ihre untergeordneten Projektressourcen sind der Organisationsressource zugeordnet.

Die Google Cloud-Ressourcenhierarchie bietet Unternehmen insbesondere in ihrer vollständigen Form mit einer Organisationsressource und Ordnerressourcen die Möglichkeit, ihre Organisationsressource in Google Cloud zuzuordnen. Außerdem stellt sie logische Verbindungspunkte für Zugriffsverwaltungsrichtlinien (IAM) und Organisationsrichtlinien bereit. Sowohl IAM- als auch Organisationsrichtlinien werden innerhalb der Hierarchie übernommen. Die für jede Ressource in der Hierarchie geltende Richtlinie ist das Ergebnis von Richtlinien, die direkt auf die Ressource angewendet werden, sowie von Richtlinien, die von ihren Ancestors übernommen wurden.

Das folgende Diagramm zeigt ein vollständiges Beispiel für eine Google Cloud-Ressourcenhierarchie:

Organisationsressource

Die Organisationsressource stellt eine Organisation (z. B. ein Unternehmen) dar und ist der Stammknoten in der Google Cloud-Ressourcenhierarchie, sofern vorhanden. Die Organisationsressource ist der hierarchische Ancestor von Ordner- und Projektressourcen. Die auf die Organisationsressource angewendeten IAM-Zugriffssteuerungsrichtlinien gelten innerhalb der gesamten Hierarchie für alle Ressourcen der Organisation.

Google Cloud-Nutzer müssen keine Organisationsressource haben, aber einige Funktionen von Resource Manager sind ohne diese nicht verwendbar. Die Organisationsressource ist eng mit einem Google Workspace- oder Cloud Identity-Konto verknüpft. Wenn ein Nutzer mit einem Google Workspace- oder Cloud Identity-Konto eine Google Cloud-Projektressource erstellt, wird automatisch eine Organisationsressource für ihn bereitgestellt.

Für ein Google Workspace- oder Cloud Identity-Konto kann genau eine Organisationsressource bereitgestellt werden. Sobald eine Organisationsressource für eine Domain erstellt wurde, gehören alle neuen Google Cloud-Projektressourcen, die von Mitgliedern der Kontodomain erstellt wurden, standardmäßig dieser Organisationsressource an. Wenn ein verwalteter Nutzer eine Projektressource erstellt, muss sie sich in einer Organisationsressource befinden. Wenn ein Nutzer eine Organisationsressource angibt und die entsprechenden Berechtigungen hat, wird das Projekt dieser Organisation zugewiesen. Andernfalls wird standardmäßig die Organisationsressource verwendet, mit der der Nutzer verknüpft ist. Für Konten, die mit einer Organisationsressource verknüpft sind, ist es nicht möglich, Projektressourcen zu erstellen, die keiner Organisationsressource zugeordnet sind.

Mit Google Workspace- oder Cloud Identity-Konten verknüpfen

Der Einfachheit halber verwenden wir Google Workspace stellvertretend für Google Workspace- und Cloud Identity-Nutzer.

Das Google Workspace- oder Cloud Identity-Konto stellt ein Unternehmen dar und ist Voraussetzung für den Zugriff auf die Organisationsressource. Im Google Cloud-Kontext bietet es Funktionen zur Identitäts-, Eigentums- und Lebenszyklusverwaltung. Die folgende Abbildung zeigt die Verknüpfung zwischen dem Google Workspace-Konto, Cloud Identity und der Google Cloud-Ressourcenhierarchie.

Der Super Admin von Google Workspace ist für die Bestätigung der Domaininhaberschaft zuständig und dient als Ansprechpartner bei Wiederherstellungen. Aus diesem Grund hat der Super Admin von Google Workspace die Möglichkeit, IAM-Rollen standardmäßig zuzuweisen. Die Hauptaufgabe des Google Workspace-Super Admins in Bezug auf Google Cloud besteht darin, die IAM-Rolle „Organisationsadministrator“ den entsprechenden Nutzern in ihrer Domain zuzuweisen. Dies ermöglicht die Trennung zwischen Google Workspace- und Google Cloud-Verwaltungsverantwortlichkeiten, die Nutzer in der Regel wünschen.

Vorteile der Organisationsressource

Bei einer Organisationsressource gehören Projektressourcen Ihrer Organisation und nicht dem Mitarbeiter, der das Projekt erstellt hat. Das bedeutet, dass die Projektressourcen nicht mehr gelöscht werden, wenn ein Mitarbeiter das Unternehmen verlässt. Stattdessen folgen sie dem Lebenszyklus der Organisationsressource in Google Cloud.

Darüber hinaus haben Organisationsadministratoren eine zentrale Kontrolle über alle Ressourcen. Sie können alle Projektressourcen Ihres Unternehmens anzeigen und verwalten. Schattenprojekte und betrügerische Administratoren sind dann nicht mehr möglich.

Außerdem können Sie Rollen auf Organisationsebene zuweisen, die von allen Projekt- und Ordnerressourcen unter der Organisationsressource übernommen werden. Sie können beispielsweise Ihrem Netzwerkteam die Rolle eines Netzwerkadministrators auf Organisationsebene zuweisen, damit es alle Netzwerke in allen Projektressourcen in Ihrem Unternehmen verwalten kann, anstatt ihm die Rolle für alle einzelnen Projektressourcen zu gewähren.

Eine Organisationsressource, die von der Cloud Resource Manager API bereitgestellt wird, umfasst Folgendes:

Eine Ressourcen-ID einer Organisation, die eine Organisation eindeutig identifiziert.
Ein Anzeigename, der aus dem primären Domainnamen in Google Workspace oder Cloud Identity generiert wird.
Der Erstellungszeitpunkt der Organisationsressource.
Die Zeit der letzten Änderung der Organisationsressource.
Der Inhaber der Organisationsressource. Der Inhaber wird beim Erstellen der Organisationsressource angegeben. und kann anschließend nicht mehr geändert werden. Dies ist die Google Workspace-Kundennummer, die in der Directory API angegeben wird.

Das folgende Code-Snippet zeigt die Struktur einer Organisationsressource:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Die anfängliche IAM-Richtlinie einer neu erstellten Organisationsressource weist der gesamten Google Workspace-Domain die Rollen „Projektersteller“ und „Rechnungskonto-Ersteller zu. Dies bedeutet, dass Nutzer Projektressourcen und Rechnungskonten weiterhin wie vor der Organisationsressource erstellen können. Bei der Erstellung einer Organisationsressource werden keine weiteren Ressourcen erstellt.

Die Ordnerressource

Ordnerressourcen bieten optional einen zusätzlichen Gruppierungsmechanismus und Isolierungsgrenzen zwischen Projekten. Sie können als Unterorganisationen innerhalb der Organisationsressource betrachtet werden. Ordnerressourcen können verwendet werden, um verschiedene Rechtssubjekte, Abteilungen und Teams innerhalb eines Unternehmens zu modellieren. Beispielsweise kann eine erste Ebene von Ordnerressourcen verwendet werden, um die Hauptabteilungen in Ihrer Organisationsressource darzustellen. Da Ordnerressourcen Projektressourcen und andere Ordner enthalten können, könnte jede Ordnerressource dann weitere Unterordner für verschiedene Teams enthalten. Jeder Teamordner könnte weitere Unterordner für verschiedene Anwendungen enthalten. Weitere Informationen zur Verwendung von Ordnerressourcen finden Sie unter Ordnerressourcen erstellen und verwalten.

Wenn in Ihrer Organisationsressource Ordnerressourcen vorhanden sind und Sie die entsprechenden Anzeigeberechtigungen haben, können Sie diese über die Google Cloud Console aufrufen. Eine ausführliche Anleitung finden Sie unter Ordner und Projektressourcen ansehen oder auflisten.

Ordnerressourcen ermöglichen das Delegieren von Administratorrechten. So kann beispielsweise jedem Abteilungsleiter die volle Inhaberschaft aller Google Cloud-Ressourcen seiner Abteilung zugewiesen werden. Ebenso kann der Zugriff auf Ressourcen durch Ordnerressource eingeschränkt werden, sodass Nutzer in einer Abteilung Google Cloud-Ressourcen nur innerhalb dieser Ordnerressource aufrufen und erstellen können.

Das folgende Code-Snippet zeigt die Struktur einer Ordnerressource:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Wie Organisations- und Projektressourcen dienen Ordnerressourcen als Richtlinienübernahmepunkt für IAM- und Organisationsrichtlinien. IAM-Rollen, die einer Ordnerressource zugewiesen wurden, werden automatisch von allen Projekt- und Ordnerressourcen übernommen, die in diesem Ordner enthalten sind.

Die Projektressource

Die Projektressource ist die unterste Organisationsebene. Organisations- und Ordnerressourcen können mehrere Projekte enthalten. Eine Projektressource ist für die Verwendung von Google Cloud erforderlich und bildet die Grundlage zum Erstellen, Aktivieren und Verwenden aller Google Cloud-Dienste. Dies umfasst die Verwaltung von APIs, das Aktivieren der Abrechnung, das Hinzufügen und Entfernen von Mitbearbeitern sowie das Verwalten von Berechtigungen.

Alle Projektressourcen bestehen aus Folgendem:

Zwei Kennungen:
1. Projektressourcen-ID, die eine eindeutige Kennzeichnung für die Projektressource ist.
2. Die Projektressourcennummer, die beim Erstellen des Projekts automatisch zugewiesen wird. Diese ist schreibgeschützt.
Einen änderbaren Anzeigenamen
Der Lebenszyklusstatus der Projektressource, z. B. ACTIVE oder DELETE_REQUESTED.
Eine Reihe von Labels, die zum Filtern von Projekten verwendet werden können
Der Zeitpunkt, zu dem die Projektressource erstellt wurde.

Das folgende Code-Snippet zeigt die Struktur einer Projektressource:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Wenn Sie mit Google Cloud-Ressourcen interagieren möchten, müssen Sie in der Regel in jeder Anfrage die Ressourceninformationen zum Projekt angeben. Sie können eine Projektressource auf zwei Arten identifizieren: über eine Projektressourcen-ID oder über eine Projektressourcennummer (projectId und projectNumber im Code-Snippet).

Die Projektressourcen-ID ist der benutzerdefinierte Name, den Sie beim Erstellen der Projektressource ausgewählt haben. Wenn Sie eine API aktivieren, für die eine Projektressource erforderlich ist, werden Sie aufgefordert, eine Projektressource zu erstellen oder anhand ihrer Projektressourcen-ID eine Projektressource auszuwählen. (Beachten Sie, dass der String name, der auf der Benutzeroberfläche angezeigt wird, nicht mit der Projektressourcen-ID identisch ist.)

Von Google Cloud wird automatisch eine Projektressourcennummer generiert. Sowohl die Projektressourcen-ID als auch die Projektressourcennummer finden Sie in der Google Cloud Console auf dem Dashboard der Projektressource. Informationen zum Abrufen von Projektkennungen sowie zu anderen Verwaltungsaufgaben für Projektressourcen finden Sie unter Projektressourcen erstellen und verwalten.

Die anfängliche IAM-Richtlinie einer neu erstellten Projektressource weist dem Ersteller des Projekts die Inhaberrolle zu.

IAM-Richtlinienübernahme

Google Cloud bietet mit IAM (Identity and Access Management) die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Mit IAM können Sie steuern, wer (Nutzer) welche Zugriffsrechte (Rollen) für welche Ressourcen hat. Dazu legen Sie IAM-Richtlinien für die Ressourcen fest.

IAM-Richtlinien können auf Organisationsebene, Ordnerebene, Projektebene und zum Teil auch auf Ressourcenebene festgelegt werden. Ressourcen erben die Richtlinien der übergeordneten Ressource. Wenn Sie eine Richtlinie auf Organisationsebene festlegen, wird sie von allen untergeordneten Ordner und Projektressourcen übernommen. Wenn Sie eine Richtlinie auf Projektebene festlegen, wird sie von allen untergeordneten Ressourcen übernommen.

Die für eine Ressource geltende Richtlinie ist die Kombination aus der für die Ressource festgelegten Richtlinie sowie der von Ancestors übernommenen Richtlinie. Diese Übernahme ist transitiv. Mit anderen Worten: Ressourcen übernehmen Richtlinien vom Projekt, die wiederum die Richtlinien der Organisationsressource übernehmen. Daher gelten die Richtlinien auf Organisationsressourcenebene auch auf der Ressourcenebene.

Wenn Sie beispielsweise in der oben dargestellten Ressourcenhierarchie eine Richtlinie für den Ordner "Department Y" (Abteilung Y) festlegen, die bob@example.com die Rolle "Project Editor" (Projektbearbeiter) zuweist, hat Bob die Bearbeiterrolle für die Projekte "Development Project" (Entwicklungsprojekt), "Test Project" (Testprojekt) und "Production Project" (Produktionsprojekt). Wenn Sie hingegen alice@example.com die Rolle "Instanzadministrator" für das Projekt "Test Project" zuweisen, kann Alice nur Compute Engine-Instanzen in diesem Projekt verwalten.

Rollen werden immer übernommen und es gibt keine Möglichkeit, eine Berechtigung für eine untergeordnete Ressource, die auf einer höheren Ebene in der Ressourcenhierarchie erteilt wurde, explizit zu entfernen. Selbst wenn Sie im obigen Beispiel die Rolle "Project Editor" von Bob für das "Test Project" entfernen, übernimmt er diese Rolle weiterhin aus dem Ordner "Department Y", sodass er auch die Berechtigungen dieser Rolle für das "Test Project" weiterhin hat.

Für die IAM-Richtlinienhierarchie gelten dieselben Regeln wie für die Google Cloud-Ressourcenhierarchie. Wenn Sie die Ressourcenhierarchie ändern, ändert sich auch die Richtlinienhierarchie. Wenn Sie beispielsweise ein Projekt in eine Organisationsressource verschieben, wird die IAM-Richtlinie des Projekts aktualisiert und von der IAM-Richtlinie der Organisationsressource übernommen. Ebenso ändern sich die übernommenen Berechtigungen, wenn Sie eine Projektressource von einer Ordnerressource in eine andere verschieben. Berechtigungen, die von der Projektressource von der ursprünglichen übergeordneten Ressource übernommen wurden, gehen verloren, wenn die Projektressource in eine neue Ordnerressource verschoben wird. Für die Zielordnerressource festgelegte Berechtigungen werden beim Verschieben von der Projektressource übernommen.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten