Ordner erstellen

Auf dieser Seite wird beschrieben, wie Sie Google Cloud Ordner erstellen, um Projekte in einer Ressourcenhierarchie zu gruppieren und zu organisieren. Mit Ordnern können Sie administrative Aufgaben delegieren, umgebungsspezifische Organisationsrichtlinien erzwingen und die Kostenverwaltung in Ihren Abteilungen optimieren.

Ordner sind Knoten in der Cloud Platform-Ressourcenhierarchie. Ein Ordner kann Projekte, andere Ordner oder eine Kombination aus beidem enthalten. In Organisationsressourcen können Ordner verwendet werden, um Projekte unter dem Knoten der Organisationsressource in einer Hierarchie zu gruppieren. Ihre Organisationsressource kann beispielsweise mehrere Abteilungen mit jeweils eigenen Google Cloud Ressourcen enthalten. Mit Ordnern lassen sich diese Ressourcen nach Abteilungen gruppieren. In Ordnern werden Ressourcen gruppiert, die denselben Zulassungs- oder Ablehnungsrichtlinien unterliegen. Ein Ordner kann mehrere Ordner oder Ressourcen enthalten, ein bestimmter Ordner oder eine bestimmte Ressource kann jedoch nur ein übergeordnetes Element haben.

Im folgenden Diagramm verfügt die Organisationsressource „Company“ (Unternehmen) über Ordner für die beiden Abteilungen „Dept X“ (Abteilung X) und „Dept Y“ (Abteilung Y) sowie den Ordner „Shared Infrastructure“ (Gemeinsame Infrastruktur) für Elemente, die von beiden Abteilungen genutzt werden. Unter "Dept Y" gibt es zwei Teams. Einer der Teamordner ist weiter in Produkte unterteilt. Der Ordner für "Product 1" (Produkt 1) enthält wiederum drei Projekte mit den für das jeweilige Projekt erforderlichen Ressourcen. Zulassungs-, Ablehnungs- oder Organisationsrichtlinien lassen sich auf diese Weise äußerst flexibel auf der richtigen Detailebene zuweisen.

Eine Ressourcenhierarchie, die eine Organisation mit verschachtelten Ordnern für Abteilungen, Teams und Produkte zeigt, die Projekte enthalten.

Mit Zulassungs- und Ablehnungsrichtlinien auf Ordnerebene können Sie den Zugriff auf die in dem Ordner enthaltenen Ressourcen steuern. Wenn einem Nutzer beispielsweise für einen Ordner die Rolle Compute-Instanzadministrator zugewiesen wurde, hat dieser Nutzer die Rolle Compute-Instanzadministrator für alle Projekte in dem Ordner.

Hinweis

Ordnerfunktionen sind nur für Kunden von Google Workspace und Cloud Identity verfügbar, die eine Organisationsressource haben. Weitere Informationen zum Erwerben einer Organisationsressource finden Sie unter Organisationsressource beziehen.

Wenn Sie ermitteln möchten, wie Sie Ordner optimal nutzen, empfehlen wir folgende Vorgehensweisen:

  1. Lesen Sie den Artikel Zugriffskontrolle für Ordner mit IAM. Darin wird erläutert, wie Sie den Nutzerzugriff auf Ordner und darin enthaltene Ressourcen steuern können.
  2. Machen Sie sich damit vertraut, wie Ordnerberechtigungen festgelegt werden. Ordner unterstützen unterschiedliche IAM-Rollen (Identity and Access Management). Wenn Sie Berechtigungen breit anlegen möchten, sodass Nutzer die Struktur ihrer Projekte sehen können, weisen Sie der gesamten Domain auf Organisationsebene die Rollen Organisationsbetrachter und Ordnerbetrachter zu. Falls Nutzer nur bestimmte Zweige Ihrer Ordnerhierarchie sehen sollen, weisen Sie ihnen die Rolle Ordnerbetrachter für die jeweiligen Ordner zu.
  3. Erstellen Sie Ordner. Wenn Sie Ihre Cloudressourcen organisieren möchten, beginnen Sie mit einem einzelnen Ordner, den Sie als Sandbox für Experimente nutzen, um die sinnvollste Hierarchie für Ihre Organisationsressource zu ermitteln. Stellen Sie sich Ordner als getrennte Einheiten für Ressourcen vor, denen Sie Anknüpfungspunkte und Konfigurationsrichtlinien zuweisen. Sie können Ordner erstellen, deren Ressourcen zu unterschiedlichen Abteilungen gehören. Diesen Ordnern weisen Sie Administratorrollen zu, um Administratorrechte zu delegieren. Mit Ordnern lassen sich auch Ressourcen gruppieren, die zu Anwendungen oder anderen Umgebungen, beispielsweise für Entwicklung, Produktion oder Testzwecke, gehören. Sie können diese unterschiedlichen Szenarien mit verschachtelten Ordnern umsetzen.

Die Abbildung oben zeigt eine gängige Situation, in der Ordner mit Unterordnern oder Projekten erstellt werden. Diese Struktur wird als Ordnerhierarchie bezeichnet. Beachten Sie beim Erstellen einer Ordnerhierarchie Folgendes:

  • Sie können Ordner bis zu 10 Ebenen (zehn) tief verschachteln.
  • Ein übergeordneter Ordner kann maximal 300 Ordner enthalten. Dies bezieht sich nur auf direkt untergeordnete Ordner. Diese untergeordneten Ordner können wiederum weitere Ordner oder Projekte enthalten.
  • Der Anzeigename jedes Ordners muss innerhalb einer Hierarchieebene eindeutig sein.

Berechtigungen zum Verwalten von Ordnern einrichten

Damit Nutzergruppen auf Ordner zugreifen und diese verwalten können, müssen Sie ihnen ordnerspezifische IAM-Rollen zuweisen. Weitere Informationen zu diesen Rollen erhalten Sie unter Zugriffskontrolle für Ordner mit IAM. In unseren Best Practices finden Sie außerdem nützliche Tipps, um die optimale Konfiguration für Ihre Ordnerberechtigungen zu ermitteln.

Wenn Sie Ordner für Ihre gesamte Organisationsressource verwalten möchten, benötigen Sie die Rolle Ordneradministrator. Ein Nutzer mit dieser Rolle kann IAM-Berechtigungen für Ordner erstellen, bearbeiten, löschen, verschieben und ändern. Außerdem hat er die Möglichkeit, Projekte zwischen Ordnern zu verschieben.

Zu Beginn kann nur der Organisationsadministrator die Rolle „Ordneradministrator“ für die Organisationsressource zuweisen. Konten, denen diese Rolle zugewiesen wird, können die Rolle daraufhin anderen Konten zuweisen.

So richten Sie Ordnerberechtigungen ein:

Console

  1. Öffnen Sie in der Google Cloud -Console die Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Wenn das Infofeld nicht geöffnet ist, klicken Sie auf Infofeld ansehen.
  3. Maximieren Sie in der Tabelle Ressourcen die Organisation, die den Ordner enthält.
  4. Wählen Sie in der Liste der Ressourcen unter der Organisation den Ordner aus, den Sie verwalten möchten.
  5. Klicken Sie im Infofeld auf Hauptkonto hinzufügen.
  6. Geben Sie im Feld Hauptkonten hinzufügen die E-Mail-Adresse ein, für die Sie Berechtigungen gewähren möchten.
  7. Wählen Sie im Menü Rolle auswählen die Kategorie Resource Manager und dann die Rolle aus, die Sie zuweisen möchten, z. B. Ordneradministrator.
  8. Klicken Sie auf Speichern, um die neue Rolle zu erteilen.

gcloud

Führen Sie den folgenden Befehl aus, um einem Hauptkonto mit der Google Cloud CLI die Rolle „Ordneradministrator“ zuzuweisen:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:USER_ID \
    --role=roles/resourcemanager.folderAdmin

REST

Die JSON-Anfrage:

request_json= '{ policy: { version: "1", bindings: [ { role: "roles/folderAdmin",
members: [ "user:admin@myorganization.com", ] }, { role: "roles/folderCreator",
members: [ "user:admin@myorganization.com", ] } , { role: "roles/folderMover",
members: [ "user:admin@myorganization.com", ] } , ] } }'

Die curl-Anfrage:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/ORGANIZATION_NAME:setIamPolicy

Ersetzen Sie ORGANIZATION_NAME durch den Namen der Organisation, deren Zulassungsrichtlinie festgelegt wird, z. B. organizations/123.

Ordner erstellen

Um Ordner zu erstellen, benötigen Sie auf der übergeordneten Ebene die Rolle Ordneradministrator oder Ordnerersteller. Wenn Sie beispielsweise auf der Organisationsebene Ordner erstellen möchten, müssen Sie eine dieser Rollen auf dieser Ebene haben.

Einem neu erstellten Ordner muss ein Name zugewiesen werden. Für Ordnernamen gelten die folgenden Kriterien:

  • Der Name kann Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche enthalten.
  • Der Anzeigename des Ordners muss mit einem Buchstaben oder einer Zahl beginnen und enden.
  • Der Name muss zwischen 3 und 30 Zeichen lang sein.
  • Der Name muss innerhalb einer Hierarchieebene eindeutig sein.

So erstellen Sie einen Ordner:

Console

Sie können Ordner auf der Nutzeroberfläche unter "Projekte und Ordner verwalten" erstellen.

  1. Öffnen Sie in der Google Cloud -Console die Seite Ressourcen verwalten:

    Zur Seite "Ressourcen verwalten"

  2. Prüfen Sie, ob der Name Ihrer Organisationsressource in der Drop-down-Liste der Organisation oben auf der Seite ausgewählt ist.

  3. Klicken Sie auf Ordner erstellen und wählen Sie eine der folgenden Optionen aus:

    • Standardordner: Eine Standard-Ordnerressource.
    • Compliant folder (Compliance-konformer Ordner): Ein Assured Workloads-Ordner, der zusätzliche Kontrollen in Bezug auf gesetzliche Vorschriften, Region oder Datenhoheit für Google Cloud Ressourcen bietet. Wenn Sie diese Option auswählen, werden Sie zu Assured Workloads weitergeleitet, wo Sie einen Ordner erstellen können.

  4. Geben Sie im Feld Ordnername den Namen Ihres neuen Ordners ein.

  5. Klicken Sie unter Ziel auf Durchsuchen und wählen Sie die Organisationsressource oder den Ordner aus, unter dem Sie den neuen Ordner erstellen möchten.

    1. Klicken Sie auf Erstellen.

gcloud

Ordner können mit der Google Cloud CLI programmatisch erstellt werden.

Führen Sie den folgenden Befehl aus, um mit dem gcloud-Befehlszeilentool einen Ordner unter der Organisationsressource zu erstellen:

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --organization=ORGANIZATION_ID

Mit dem folgenden Befehl erstellen Sie einen Ordner unter einem anderen Ordner:

gcloud resource-manager folders create \
   --display-name=DISPLAY_NAME \
   --folder=FOLDER_ID

Ersetzen Sie Folgendes:

  • DISPLAY_NAME: Der Anzeigename des Ordners. Zwei Ordner mit demselben übergeordneten Element können nicht denselben Anzeigenamen haben. Der Anzeigename muss mit einem Buchstaben oder einer Ziffer beginnen und enden. Er kann Buchstaben, Ziffern, Leerzeichen, Binde- und Unterstriche enthalten und darf nicht mehr als 30 Zeichen umfassen.
  • ORGANIZATION_ID: die ID der übergeordneten Organisationsressource, wenn das übergeordnete Element eine Organisationsressource ist.
  • FOLDER_ID: die ID des übergeordneten Ordners, wenn das übergeordnete Element ein Ordner ist.

API

Ordner können mit einer API-Anfrage erstellt werden.

Die JSON-Anfrage:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Die curl-Anfrage für die Ordnererstellung:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Wobei:

  • DISPLAY_NAME: Der Anzeigename des neuen Ordners, z. B. „Mein Ordner“.
  • ORGANIZATION_NAME: Der Name der Organisationsressource, unter der Sie den Ordner erstellen, z. B. organizations/123.

Die Antwort auf die Ordnererstellung:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  }
}

Die curl-Anfrage zum Abrufen des Vorgangs:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Die Antwort auf das Abrufen des Vorgangs:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "DISPLAY_NAME",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "DISPLAY_NAME",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Tags beim Erstellen von Ordnern hinzufügen

Mit Tags können Sie Annotationen für Ressourcen erstellen. Sie können beim Erstellen von Ordnern Tags hinzufügen. Dazu müssen Sie die Rolle Tag User (Nutzer taggen) zuweisen. Weitere Informationen zu den in dieser Rolle enthaltenen Berechtigungen finden Sie unter Tags erstellen und verwalten. Sie können den Namespace für die Tag-Schlüssel/Wert-Paare nur auf eine der folgenden Arten hinzufügen:

gcloud

Führen Sie den folgenden Befehl aus, um beim Erstellen eines Ordners Tags hinzuzufügen:

  gcloud resource-manager folders create \
      --display-name=DISPLAY_NAME \
      --organization=ORGANIZATION_ID\
      --tags=KEY_VALUE_PAIRS

Ersetzen Sie Folgendes:

  • DISPLAY_NAME: Der Anzeigename des Ordners.
  • ORGANIZATION_ID: die eindeutige Kennung der übergeordneten Organisationsressource.
  • KEY_VALUE_PAIRS: eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren, die Sie Ihrer Ressource zuweisen können. Ein Beispiel für durch Kommas getrennte Schlüssel/Wert-Paare ist 123/environment=production, 456/create=testresource.

REST

Das folgende Snippet ist eine JSON-Anfrage, mit der ein Ordner erstellt und Tags hinzugefügt werden.

  POST https://cloudresourcemanager.googleapis.com/v3/projects/
  Authorization: *************
  Content-Type: application/json

  {
    "display_name": "our-folder-456",
    "parent": "organizations/123",
    "tags": {
      "key": "123/environment"
      "value": "production"
    },
"tags": {
      "key": "123/costCenter"
      "value": "marketing"
    }
  }

Zugriff auf Ordner konfigurieren

Um den Zugriff auf Ordner zu konfigurieren, benötigen Sie auf der übergeordneten Ebene die Rolle IAM-Ordneradministrator oder Ordneradministrator.

Console

  1. Öffnen Sie in der Google Cloud -Console die Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Klicken Sie oben links auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisationsressource aus.

  3. Klicken Sie auf das Kästchen neben dem Projekt, für das Sie Berechtigungen ändern möchten.

    1. Geben Sie auf der rechten Seite im Bereich Infofeld unter Berechtigungen die E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten.

    2. Wählen Sie aus der Drop-down-Liste Rolle auswählen die Rolle aus, die Sie diesen Mitgliedern zuweisen möchten.

    3. Klicken Sie auf Hinzufügen. Es wird eine Benachrichtigung angezeigt, um das Hinzufügen oder Aktualisieren der Rolle der Mitglieder zu bestätigen.

gcloud

Sie können den Zugriff auf Ordner programmatisch mit der Google Cloud CLI oder der REST API konfigurieren.

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
    add-iam-policy-binding FOLDER_ID \
    --member=user:email1@example.com \
    --role=roles/resourcemanager.folderViewer

Alternativ:

gcloud resource-manager folders \
    set-iam-policy FOLDER_ID POLICY_FILE

Ersetzen Sie Folgendes:

  • FOLDER_ID: die ID des neuen Ordners
  • POLICY_FILE: Pfad zu einer Richtliniendatei für den Ordner

API

Mit der Methode setIamPolicy legen Sie die Richtlinie für die Zugriffssteuerung eines Ordners fest und ersetzen dabei gegebenenfalls vorhandene Richtlinien. Das Feld resource sollte den Ressourcennamen des Ordners enthalten, z. B. folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Die curl-Anfrage:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/FOLDER_ID:setIamPolicy

Ersetzen Sie FOLDER_ID durch den Namen des Ordners, für den eine IAM-Richtlinie festgelegt wird, z. B. „folders/123“.

Vorgänge mit langer Ausführungszeit verarbeiten

Bestimmte Ordneroperationen wie das Erstellen oder Migrieren werden von Google Cloud asynchron verarbeitet, da sie eine globale Weitergabe erfordern. Um zu verhindern, dass Ihr Terminal oder Ihre Automatisierungsskripts blockiert werden, können Sie das Flag --async verwenden.

Wenn dieses Flag verwendet wird, gibt der Befehl sofort ein Long-Running Operation (LRO)-Objekt zurück. Sie können dann die operation_id verwenden, um den Abschluss nach Bedarf abzufragen. Das Flag --async wird nur für die Befehle folders create und folders move unterstützt.

So verwenden Sie das Flag:

  1. Starten Sie eine asynchrone Aufgabe. Sehen Sie sich den folgenden Beispielbefehl an:

    gcloud resource-manager folders create \
    --display-name="Test Async Folder" \
    --organization=2518 \
    --async

    Die Ausgabe enthält einen Vorgangsnamen (z.B. fc.8572) und zeigt done: false.

    Beispielantwort:

    name: operations/fc.8572
metadata:
operation_type: CREATE
display_name: Awe-Inspiring Async Folder
destination_parent: organizations/2518
done: false

  2. Prüfen Sie den Vorgangsstatus. Verwenden Sie den Befehl operations describe mit der ID aus dem vorherigen Schritt, um zu prüfen, ob die Aufgabe abgeschlossen ist.

    gcloud beta resource-manager operations describe fc.8572

    Sobald done auf „true“ gesetzt ist, enthält der Antwortblock die vollständigen Details der neu erstellten Ressource.

    name: operations/fc.8572
done: true
response:
  name: folders/6428
  display_name: Awe-Inspiring Async Folder
  lifecycle_state: ACTIVE
  create_time: '2024-03-20T10:00:00Z'

Nächste Schritte