In dieser Anleitung finden Sie Informationen zum Abrufen und Verwalten einer eigenständigen Organisation in Google Cloud.
Die Organisationsressource dient als Stammknoten Ihrer Google Cloud-Ressourcenhierarchie. In den meisten Fällen müssen Sie ein Cloud Identity-Superadministrator sein und die Google Cloud-Organisation mit einer DNS-Domain verknüpfen, um eine Organisation zu erstellen.
Bei eigenständigen Organisationen ist Cloud Identity nicht erforderlich. Wenn Sie sich für Google Cloud registrieren und eine Google-E-Mail-Adresse angeben, wird die eigenständige Organisation automatisch für Sie erstellt. Als Kontoinhaber erhalten Sie auch die Rolle „Organization Owner“. Anschließend können Sie auf der Seite Organisationsdetails den Zugriff auf die Inhaberschaft für andere Nutzer verwalten.
Eigenständige Organisationen bieten folgende Vorteile:
- Nutzer mit föderierten Identitäten können als Organisationsinhaber hinzugefügt werden.
- Unterstützung mehrerer Organisationen zum Testen verschiedener Funktionen.
- Unterstützung mehrerer Organisationsinhaber, um Single Points of Failure zu vermeiden, wenn ein Mitarbeiter das Unternehmen verlässt.
In der folgenden Tabelle werden die Unterschiede zwischen einer Cloud Identity-Organisation und einer eigenständigen Organisation beschrieben.
| Leistungsvermögen | Cloud Identity-Organisation | Eigenständige Organisation |
|---|---|---|
| Grundlagen | ||
| Erfordert Cloud Identity | Ja | Nein |
| Registrieren | ||
| Für die Registrierung erforderliche Identitäten | 2 | 1 |
| Domain-/DNS-Bestätigung erforderlich | Ja | Nein |
| Eigentümer | ||
| Unwiderrufliche Super Admin-Inhaberschaft | Ja | Nein |
| Cloud Identity als Organisationsinhaber | Ja | Ja |
| Föderierte Identitäten als Organisationsinhaber | Nicht möglich | Ja |
| Google-Konto als Organisationsinhaber | Nicht möglich | Ja |
| Lebenszyklus | ||
| Organisationsinhaber ändern | Nicht möglich | Ja |
| Organisation löschen | Nicht isoliert | Ja |
| Gelöschte Organisation wiederherstellen | Nicht möglich | Ja |
| Anzeigenamen ändern | Nicht möglich | Ja |
| Governance | ||
| PAB-Richtlinien (Principal Access Boundary) definieren, um Nutzer einzuschränken | Ja | Ja |
Hinweise
Lesen Sie zuerst die folgenden Informationen:
- Machen Sie sich mit der Organisationsressource vertraut.
- Ressourcenhierarchie für Ihre Google Cloud Landing-Zone festlegen
Organisation identifizieren
Ihre eigenständige Organisation wird durch einen Organisationsnamen und eine Organisations-ID identifiziert.
Name der Organisation
Der Standardname der Organisation wird durch die Kombination des Nutzernamens mit -org erstellt.
Alle Sonderzeichen im Nutzernamen werden durch einen Bindestrich ersetzt. Wenn der Nutzername beispielsweise lara_brown ist, lautet der Organisationsname lara-brown-org.
Dieser Name wird von keiner Google API verwendet. Sie können den Organisationsnamen jederzeit nach der Erstellung der Organisation bearbeiten.
Die Namen müssen die folgenden Kriterien erfüllen:
- Sie dürfen nur Buchstaben, Zahlen oder Bindestriche enthalten.
- Verwenden Sie keinen Domainnamen. Domainnamen sind nur für Cloud Identity- und Google Workspace-Organisationen reserviert.
- Sie dürfen keine gängigen Wörter wie „Google Cloud“ enthalten.
Organisations-ID
Die Organisations-ID ist eine global eindeutige Kennung für Ihre Organisation. Diese Nummer wird von derGoogle Cloud -Konsole generiert, um Ihre Organisation von allen anderen in Google Cloudzu unterscheiden. Organisations-IDs werden als Ganzzahlen formatiert und dürfen keine führenden Nullen enthalten.
Der Organisationsname oder andere Ressourcennamen sollten keine vertraulichen Informationen wie personenidentifizierbare Informationen (PII) oder Sicherheitsdaten enthalten. Die Organisations-ID wird im Namen vieler anderer Google Cloud -Ressourcen verwendet. Jeder Verweis auf die Organisation oder zugehörige Ressourcen gibt die Organisations-ID und den Ressourcennamen preis.
Eigenständige Organisationsressource abrufen
Standalone-Organisationen sind für alle neuen Google Cloud -Kunden verfügbar. Nachdem Sie Ihr Google Cloud -Konto erstellt haben, wird Ihre Organisationsressource automatisch erstellt. Dies geschieht, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren. Eigenständige Organisationen sind für bestehendeGoogle Cloud -Konten nicht verfügbar.
Pro Nutzerkonto wird nur eine Organisation erstellt. Sie können jedoch einen einzelnen Nutzer einladen, Inhaber und Administrator mehrerer Organisationen zu sein.
Wenn die Organisationsressource erstellt wird, weist das System dem Kontoinhaber die folgenden Rollen zu:
roles/cloudowner.admin(Organisationsinhaber)roles/resourcemanager.organizationAdmin(Organisationsadministrator)
Informationen zum Hinzufügen weiterer Inhaber und Administratoren zu Ihrer Organisation finden Sie unter Eigenständige Organisation einrichten.
Organisations-ID abrufen
Sie können die Organisations-ID Ihrer eigenständigen Organisation über die Google Cloud Console, die Google Cloud CLI oder die Resource Manager API abrufen.
Console
Rufen Sie in der Google Cloud Console die Seite Meine Organisationen auf.
In der Tabelle sind Ihre Organisationen und ihre Organisations-IDs aufgeführt.
gcloud
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Mit diesem Befehl werden alle Organisationsressourcen aufgelistet, denen Sie angehören, sowie die entsprechenden Organisationsressourcen-IDs.
API
Wenn Sie die ID Ihrer Organisationsressource mit der Cloud Resource Manager API ermitteln möchten, verwenden Sie die Methode organizations.search() und fügen Sie eine Anfrage für Ihre Domain ein. Beispiel:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
Die Antwort enthält die Metadaten der Organisationsressource, die zu altostrat.com gehört, einschließlich der ID der Organisationsressource.
Eigenständige Organisation einrichten
Wenn Sie ein Google Cloud -Konto erstellen, erhalten Sie automatisch eine eigenständige Organisationsressource. In diesem Abschnitt erfahren Sie mehr über die Ersteinrichtung, die wichtigsten Rollen und die Verwaltung dieser Berechtigungen in Ihrer Organisation.
Der Kontoersteller ist der erste Nutzer mit Zugriff auf die Organisationsressource. Andere Nutzer in der Organisation können die Ressource ansehen, aber erst ändern, wenn die entsprechenden Berechtigungen festgelegt wurden.
Der Organisationseigentümer und der Organisationsadministrator sind wichtige Rollen für die Einrichtung und Steuerung des Lebenszyklus der Organisationsressource. Diese beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisation ab.
Pflichten des Organisationsinhabers
Mit der Rolle „Organisationsinhaber“ können Sie die folgenden Aktionen ausführen:
- Weisen Sie anderen Nutzern die Rolle „Organisationsadministrator“ zu.
- Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
- Den Lebenszyklus der eigenständigen Organisationsressource steuern, wie unter Eigenständige Organisationen löschen, wiederherstellen und umbenennen beschrieben.
Organisationsinhaber können Einzelpersonen oder Hauptkonten in einem Personalpool sein. Jede eigenständige Organisation muss immer mindestens ein aktives Google-Konto als Organisationseigentümer haben. Dienstkonten können nicht eingeladen werden, Inhaber einer Organisation zu werden.
Aufgaben des Organisationsadministrator
Mit der Rolle „Organisationsadministrator“ können Sie die folgenden Aktionen ausführen:
- Zulassungs- und Ablehnungsrichtlinien definieren
- Weisen Sie anderen Nutzern in Google CloudIdentity and Access Management-Rollen zu.
- Ressourcenhierarchie ansehen
Gemäß dem Prinzip der geringsten Berechtigung können Sie mit dieser Rolle keine anderen Aktionen ausführen, z. B. Ordner oder Projekte erstellen. Ein Organisationsadministrator muss Ihrem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.
Einzelpersonen die Rolle „Organization Owner“ zuweisen
- Melden Sie sich als Inhaber der Organisation in der Google Cloud Console an.
Wechseln Sie in der Google Cloud Console zur Seite Organisationsdetails.
Klicken Sie unter Organisationsinhaber auf Organisationsinhaber hinzufügen.
Geben Sie die E-Mail-Adresse des Hauptkontos ein, das Sie als Inhaber hinzufügen möchten. Das System sendet eine E‑Mail an das Hauptkonto und lädt es ein, Inhaber der Organisation zu werden. Der Hauptadministrator muss die Einladung innerhalb von 30 Tagen annehmen, um Inhaber der Organisation zu werden.
Nutzern in einem Workforce Identity-Pool die Rolle „Organisationsinhaber“ zuweisen
Bei diesem Schritt wird davon ausgegangen, dass Sie die Mitarbeiteridentitätsföderation für Ihre Organisation bereits konfiguriert haben. Achten Sie außerdem darauf, dass wichtige Kontakte für Ihr Konto konfiguriert sind.
- Melden Sie sich als Inhaber der Organisation in der Google Cloud Console an.
Wechseln Sie in der Google Cloud Console zur Seite Organisationsdetails.
Klicken Sie unter Organisationsinhaber auf Organisationsinhaber hinzufügen.
Geben Sie die Hauptkonto-ID des Nutzers im Format
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUEein.Klicken Sie auf Weiter.
Geben Sie die E-Mail-Adresse ein, an die der Einladungslink für den Inhaber gesendet werden soll. Google Cloud sendet eine E-Mail an den Nutzer, in der er eingeladen wird, Inhaber der Organisation zu werden. Damit ein Nutzer Organisationsinhaber werden kann, muss er die Einladung innerhalb von 30 Tagen annehmen. Wenn der Nutzer die Einladung annimmt, wird ihm automatisch die Rolle Organisationsadministrator zugewiesen.
Organisationsinhaber entfernen
So entfernen Sie Nutzer mit der Rolle „Organisation Owner“:
- Melden Sie sich als Inhaber der Organisation in der Google Cloud Console an.
Wechseln Sie in der Google Cloud Console zur Seite Organisationsdetails.
Wählen Sie unter Organisationsinhaber das Hauptkonto aus, das Sie entfernen möchten.
Klicken Sie in der letzten Spalte der Tabelle unter Aktionen neben dem Prinzipal auf Weitere Aktionen.
Klicken Sie im angezeigten Dialogfeld auf Entfernen.
Organisationsadministrator entfernen
So entfernen Sie Nutzer mit der Rolle „Organisationsadministrator“:
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Klicken Sie unter IAM Allow auf View by principals (Nach Hauptkonten ansehen).
Suchen Sie die Zeile mit dem Hauptkonto, dem Sie Rollen zugewiesen haben, und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten .
Klicken Sie im Bereich Berechtigungen bearbeiten auf das Löschen-Symbol neben der Rolle „Organisationsadministrator“.
Klicken Sie auf Speichern.