Google Cloud-Organisationsressource einrichten

Die Organisationsressource ist der Stammknoten in der Google Cloud Ressourcenhierarchie und der hierarchische Superknoten von Projekten. Auf dieser Seite wird erläutert, wie Sie eine Organisationsressource beziehen und verwalten.

Hinweis

Lesen Sie die Übersicht über die Organisationsressource.

Organisationsressource beziehen

Für Google Workspace- und Cloud Identity-Kunden steht eine Organisationsressource zur Verfügung:

Sobald Sie Ihr Google Workspace- oder Cloud Identity-Konto erstellt und einer Domain zugeordnet haben, wird automatisch die Organisationsressource für Sie erstellt. Die Ressource wird je nach Kontostatus zu unterschiedlichen Zeiten bereitgestellt:

  • Wenn Sie neu bei Google Cloud sind und noch kein Projekt erstellt haben, wird die Organisationsressource für Sie erstellt, wenn Sie sich in der Google Cloud Console anmelden und die Nutzungsbedingungen akzeptieren.

  • Wenn Sie bereits Nutzer von sind, wird die Organisationsressource für Sie erstellt, wenn Sie ein neues Projekt oder Rechnungskonto erstellen. Google Cloud Alle Projekte, die Sie zuvor erstellt haben , werden unter „Keine Organisation“ aufgeführt. Dies ist normal. Die Organisationsressource wird angezeigt und das neu erstellte Projekt wird automatisch mit ihr verknüpft.

    Sie müssen alle Projekte, die Sie unter "Keine Organisation" erstellt haben, in die neue Organisationsressource verschieben. Eine Anleitung zum Verschieben Ihrer Projekte finden Sie unter Projekte in eine Organisationsressource migrieren.

Die erstellte Organisationsressource wird mit Ihrem Google Workspace- oder Cloud Identity-Konto verknüpft, wobei das von Ihnen erstellte Projekt oder Rechnungskonto als untergeordnete Ressource festgelegt wird. Alle Projekte und Rechnungskonten, die unter Ihrer Google Workspace- oder Cloud Identity-Domain erstellt wurden , sind untergeordnete Elemente dieser Organisationsressource.

Jedes Google Workspace- oder Cloud Identity-Konto ist genau einer Organisationsressource zugeordnet. Eine Organisationsressource ist genau einer Domain zugeordnet, die beim Erstellen der Organisationsressource festgelegt wird.

Für eine aktive Übernahme der Organisationsressource müssen die Super Admins für Google Workspace oder Cloud Identity einem Nutzer oder einer Gruppe die IAM-Rolle Organisationsadministrator (roles/resourcemanager.organizationAdmin) zuweisen. Eine Anleitung zum Einrichten Ihrer Organisationsressource finden Sie unter Organisationsressource einrichten.

  • Beim Erstellen der Organisationsressource werden allen Nutzern in Ihrer Domain automatisch die IAM-Rollen Projektersteller (roles/resourcemanager.projectCreator) und Rechnungskonto-Ersteller (roles/billing.creator) auf Organisationsressourcenebene zugewiesen. Dadurch können Nutzer in Ihrer Domain weiterhin nahtlos Projekte erstellen.
  • Der Organisationsadministrator entscheidet, ab wann die Organisationsressource aktiv genutzt werden soll. Er kann bei Bedarf die Standardberechtigungen ändern und restriktivere Richtlinien durchsetzen.
  • Wenn die Organisationsressource verfügbar ist, Sie aber nicht über die IAM-Berechtigungen zum Anzeigen verfügen, können Sie weiterhin Projekte und Abrechnungskonten erstellen. Diese werden automatisch unter der Organisationsressource erstellt, auch wenn Sie sie nicht sehen können.

Google Cloud Sicherheitsgrundlage

Google Cloud Die Sicherheitsgrundlage behebt unsichere Sicherheitsstatus mit einer Reihe von Organisationsrichtlinien, die beim Erstellen einer Organisationsressource erzwungen werden. Diese Beschränkungen werden automatisch erstellt und auf Ihre Organisation angewendet, wenn sie erstellt wird. Informationen zum Ansehen und Verwalten dieser Beschränkungen, siehe Google Cloud Beschränkungen der Sicherheitsgrundlage.

ID der Organisationsressource abrufen

Die ID der Organisationsressource ist eine eindeutige Kennzeichnung für eine Organisationsressource und wird automatisch gemeinsam mit der Organisationsressource erstellt. Organisationsressourcen-IDs werden als Dezimalzahlen formatiert und dürfen keine führenden Nullen enthalten.

Sie können Ihre Organisationsressourcen-ID über die Google Cloud Console, die gcloud CLI oder die Cloud Resource Manager API abrufen.

Console

So rufen Sie Ihre Organisationsressourcen-ID über die Google Cloud Console ab:

  1. Rufen Sie die Google Cloud Console auf:

    Zur Google Cloud Console

  2. Wählen Sie oben auf der Seite in der Projektauswahl Ihre Organisationsressource aus.
  3. Klicken Sie rechts auf Mehr und dann auf Einstellungen.

Auf der Seite Einstellungen wird die ID Ihrer Organisationsressource angezeigt.

gcloud

Führen Sie den folgenden Befehl aus, um Ihre Organisationsressourcen-ID zu ermitteln:

gcloud organizations list

Dieser Befehl listet alle Organisationsressourcen auf, denen Sie angehören, sowie die entsprechenden Organisationsressourcen-IDs.

API

Um Ihre Organisationsressourcen-ID mithilfe der Cloud Resource Manager API zu ermitteln, verwenden Sie die organizations.search() Methode und fügen Sie eine Abfrage für Ihre Domain ein. Beispiel:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Die Antwort enthält die Metadaten der Organisationsressource, die zu altostrat.com gehört, einschließlich der ID der Organisationsressource.

Organisationsressource einrichten

Wenn Sie Google Workspace- oder Cloud Identity-Kunde sind, wird automatisch eine Organisationsressource für Sie bereitgestellt.

Die Super Admins von Google Workspace oder Cloud Identity sind die ersten Nutzer, die nach dem Erstellen der Organisationsressource Zugriff darauf haben. Alle anderen Nutzer oder Gruppen können wie bisher verwenden Google Cloud . Sie sehen die Organisationsressource zwar, können sie aber erst ändern, nachdem die entsprechenden Berechtigungen festgelegt wurden.

Die Super Admins für Google Workspace oder Cloud Identity und der Google Cloud Organisationsadministrator sind wichtige Rollen während der Einrichtung und für die Lebenszyklussteuerung der Organisationsressource. Die beiden Rollen werden in der Regel unterschiedlichen Nutzern oder Gruppen zugewiesen. Dies hängt jedoch von der Struktur und den Anforderungen der Organisationsressource ab.

Der Super Admin für Google Workspace und Cloud Identity hat im Zusammenhang mit der Google Cloud Einrichtung der Organisationsressource folgende Aufgaben:

  • Er weist Nutzern die Rolle Organisationsadministrator zu.
  • Er ist Ansprechpartner bei Problemen mit der Wiederherstellung.
  • Er steuert den Lebenszyklus des Google Workspace- oder Cloud Identity Kontos und der Organisationsressource, wie unter Organisation löschen erläutert.

Sobald der Organisationsadministrator zugewiesen wurde, kann er anderen Nutzern Rollen für Identity and Access Management zuweisen. Der Organisationsadministrator ist für Folgendes verantwortlich:

  • Er definiert Richtlinien für Zulassen und Ablehnen und weist anderen Nutzern Rollen zu.
  • Er hat Einblick in die Struktur der Ressourcenhierarchie.

Diese Rolle enthält gemäß dem Prinzip der geringsten Berechtigung keine Berechtigung zum Ausführen anderer Aktionen wie des Erstellens von Ordnern oder Projekten. Ein Organisationsadministrator muss dem Konto weitere Rollen zuweisen, um diese Berechtigungen zu erhalten.

Mit zwei unterschiedlichen Rollen wird für die Aufgabentrennung zwischen den Super Admins für Google Workspace oder Cloud Identity und dem Google Cloud Organisationsadministrator gesorgt. Da die beiden Google-Produkte in der Regel von unterschiedlichen Abteilungen der Organisation des Kunden verwaltet werden, zählt dies oft zu den Voraussetzungen.

Wenn Sie die Organisationsressource aktiv nutzen möchten, fügen Sie mit den nachfolgenden Schritten einen Organisationsadministrator hinzu:

Organisationsadministrator hinzufügen

Console

So fügen Sie einen Organisationsadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die IAM & Verwaltung Seite auf:

    Zur Seite "IAM &Verwaltung"

  2. Wählen Sie die Organisationsressource aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im daraufhin angezeigten Dialogfeld Auswählen aus auf die Drop-down-Liste „Organisation“ und wählen Sie die Organisationsressource aus, der Sie einen Organisationsadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisationsressource, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Organisationsadministratoren festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Ressourcenmanager > Organisationsadministrator aus und klicken Sie dann auf Speichern.

    Der Organisationsadministrator kann Folgendes tun:

    • Die vollständige Kontrolle über die Organisationsressource übernehmen. Die Aufgaben sind zwischen dem Super Admin für Google Workspace oder Cloud Identity und dem Google Cloud Administrator getrennt.

    • Verantwortung für wichtige Funktionen delegieren, indem er die entsprechenden IAM-Rollen zuweist.

Wie unter Organisationsressource beziehen erläutert, werden beim Erstellen allen Nutzern in der Domain standardmäßig die Rollen Projektersteller und Rechnungskonto-Ersteller auf Organisationsressourcenebene gewährt. Dadurch wird eine unterbrechungsfreie Dienstverfügbarkeit für Nutzer während der Erstellung der Organisationsressource gewährleistet. Google Cloud Der Organisationsadministrator kann die Berechtigungen auf Organisationsebene entfernen und detaillierter zuweisen (z. B. auf Ordner- oder Projektebene). Da Richtlinien für Zulassen und Ablehnen innerhalb der Hierarchie von untergeordneten Ebenen übernommen werden, kann jeder Nutzer in der Domain Projekte auf beliebigen Hierarchieebenen erstellen, wenn die Rolle „Projektersteller“ der gesamten Domain (domain:mycompany.com) zugewiesen wird.

Nächste Schritte