Ressourcenhierarchie

Die Google Cloud Ressourcenhierarchie bietet eine strukturierte Möglichkeit, Ihre Cloud-Ressourcen zu organisieren. Alle Ressourcen außer der obersten Ressource in einer Hierarchie haben genau ein übergeordnetes Element. Die Hierarchie besteht aus der Organisation (Stamm) oben, gefolgt von Ordnern (optional) zum Gruppieren und dann Projekten, die die tatsächlichen Dienstressourcen wie Compute Engine-VMs und Speicher-Buckets enthalten.

Die Verwendung einer strukturierten Hierarchie bietet folgende Vorteile:

• Inhaberschaft: Sie bindet den Lebenszyklus einer Ressource an das in der Hierarchie unmittelbar übergeordnete Element. Projekte gehören der Organisation und nicht dem einzelnen Mitarbeiter, der sie erstellt hat. Wenn ein Mitarbeiter das Unternehmen verlässt, bleibt das Projekt aktiv und sicher.
• Übernahme: Sie bietet Verbindungspunkte für Zugriffssteuerungs- und Organisationsrichtlinien, die in der Hierarchie nach unten weitergegeben werden. Sie können Rollen auf einer hohen Ebene zuweisen, z. B. auf Organisations- oder Ordner-Ebene. Diese Rollen werden von allen untergeordneten Ressourcen übernommen, sodass Berechtigungen nicht für jedes einzelne Projekt manuell konfiguriert werden müssen.

Das folgende Diagramm veranschaulicht die Google Cloud Ressourcenhierarchie.

Die Organisationsressource

Die Ressource Organisation stellt eine Einheit (z. B. ein Unternehmen) dar und dient als Stammknoten derGoogle Cloud -Ressourcenhierarchie. Sie bietet die folgenden Hauptfunktionen:

• Die Organisation ist das übergeordnete Element aller Ordner- und Projektressourcen.
• Auf dieser Ebene angewendete Zugriffssteuerungsrichtlinien (z. B. IAM-Rollen) und Organisationsrichtlinien werden von jeder Ressource in der Organisation übernommen.
• Eine Organisationsressource ist zwar nicht für alle Google Cloud Nutzer erforderlich, aber für die Verwendung bestimmter Resource Manager-Funktionen.

Verknüpfung mit Google Workspace- oder Cloud Identity-Konten

Ein Google Workspace- oder Cloud Identity-Konto ist Voraussetzung für den Zugriff auf die Organisationsressource.

• Ein Google Workspace- oder Cloud Identity-Konto kann genau einer Organisationsressource zugeordnet werden.
• Wenn ein Nutzer mit einem Google Workspace- oder Cloud Identity-Konto eine Google Cloud Projektressource erstellt, wird automatisch eine Organisationsressource für ihn bereitgestellt.

Die folgende Abbildung zeigt die Verknüpfung zwischen dem Google Workspace-Konto, Cloud Identity und der Google Cloud Ressourcenhierarchie.

Der Super Admin von Google Workspace ist für die Bestätigung der Domaininhaberschaft zuständig und dient als Ansprechpartner bei Wiederherstellungen. Aus diesem Grund hat der Super Admin von Google Workspace die Möglichkeit, IAM-Rollen standardmäßig zuzuweisen. Die Hauptaufgabe des Super Admins von Google Workspace in Bezug auf Google Cloud besteht darin, die IAM-Rolle „Organisationsadministrator“ den entsprechenden Nutzern in seiner Domain zuzuweisen. Dies ermöglicht die Trennung zwischen Google Workspace- und Google Cloud-Verwaltungsverantwortlichkeiten, die Nutzer in der Regel wünschen.

Regeln für die Projekterstellung für verwaltete Nutzer

Sobald eine Organisationsressource für eine Domain vorhanden ist, gelten strenge Regeln für die Projekterstellung:

• Verwaltete Nutzer (Mitglieder der Kontodomäne) müssen Projekte innerhalb einer Organisation erstellen. Konten, die mit einer Organisationsressource verknüpft sind, können keine Projektrssourcen erstellen, die nicht mit einer Organisationsressource verknüpft sind.
• Standardmäßig gehören neue Projekte zu der Organisation, die dem Nutzer zugeordnet ist.
• Wenn ein Nutzer die entsprechenden Berechtigungen hat, kann er beim Erstellen eines Projekts eine andere Organisationsressource angeben. Andernfalls wird standardmäßig seine private Organisation verwendet.

Vorteile der Organisationsressource

Mit einer Organisationsressource gehören Ihre Projektressourcen Ihrer Organisation und nicht dem Mitarbeiter, der sie erstellt hat. Das bedeutet, dass Ihre Organisation Projektressourcen behält, wenn ein Mitarbeiter das Unternehmen verlässt. Die Projektressourcen folgen dem Lebenszyklus der Organisationsressource auf Google Cloud.

Außerdem können Organisationsadministratoren alle Ressourcen zentral steuern. Sie können alle Projektressourcen in Ihrem Unternehmen ansehen und verwalten. So werden Schattenprojekte oder unbekannte Administratoren verhindert.

Sie können auch Rollen auf Organisationsebene zuweisen, die von allen Projekt- und Ordnerressourcen unter der Organisationsressource übernommen werden. Weisen Sie beispielsweise Ihrem Netzwerkteam die Rolle Netzwerkadministrator auf Organisationsebene zu, damit das Team alle Netzwerke in allen Projektressourcen Ihres Unternehmens verwalten kann, anstatt ihnen die Rolle für jede Projektressource einzeln zuzuweisen.

Eine Organisationsressource wird durch die folgenden Attribute definiert:

• Eine Organisationsressourcen-ID, die eine Organisation eindeutig kennzeichnet
• Ein Anzeigename, der aus dem primären Domainnamen in Google Workspace oder Cloud Identity generiert wird.
• Die Erstellungszeit der Organisationsressource.
• Der Zeitpunkt der letzten Änderung der Organisationsressource.
• Der Inhaber der Organisationsressource, also die Google Workspace-Kundennummer aus der Directory API. Sie geben den Inhaber beim Erstellen der Organisationsressource an und können ihn nicht mehr ändern.

Das folgende Code-Snippet zeigt die Struktur einer Organisationsressource:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Die anfängliche „allow“-Richtlinie für eine neue Organisationsressource weist der gesamten Google Workspace-Domain die Rollen „Projektersteller“ und „Rechnungskonto-Ersteller zu. Nutzer können Projektressourcen und Rechnungskonten somit weiterhin wie vor dem Einführen der Organisationsressource erstellen. Bei der Erstellung einer Organisationsressource werden keine weiteren Ressourcen angelegt. Zulassungs-, Ablehnungs- und Organisationsrichtlinien werden innerhalb der Hierarchie übernommen. Die für jede Ressource in der Hierarchie geltende Richtlinie resultiert aus direkt auf die Ressource angewendeten und von Ancestors übernommenen Richtlinien.

Ordnerressource

Ordnerressourcen sind ein optionaler Gruppierungsmechanismus zwischen Organisationsressourcen und Projektressourcen. Um Ordner verwenden zu können, benötigen Sie eine Organisationsressource. Ordnerressourcen und ihre untergeordneten Projektressourcen befinden sich unter der Organisationsressource.

Ordnerressourcen können Isolationsgrenzen zwischen Projekten bieten. Sie fungieren als Unterorganisationen innerhalb der Organisationsressource. Ordnerressourcen können verschiedene Rechtssubjekte, Abteilungen und Teams innerhalb eines Unternehmens darstellen. So lassen sich beispielsweise in einer ersten Ordnerebene die Hauptabteilungen der Organisation darstellen. Da Ordner Projekte und andere Ordner enthalten können, kann jeder Ordner Unterordner für verschiedene Teams enthalten. Jeder Teamordner kann weitere Unterordner für verschiedene Anwendungen enthalten. Weitere Informationen zur Verwendung von Ordnerressourcen finden Sie unter Ordner erstellen.

Wenn Ihre Organisationsressource über Ordnerressourcen verfügt und Sie entsprechende Ansichtsberechtigungen haben, können Sie sich diese in der Google Cloud Console anzeigen lassen. Eine ausführliche Anleitung dazu finden Sie unter Ordner ansehen, aktualisieren und löschen.

Mit Ordnerressourcen können Sie Administratorrechte delegieren. So können Sie beispielsweise jedem Abteilungsleiter die volle Inhaberschaft aller Google Cloud Ressourcen in seiner Abteilung zuweisen. Ebenso können Ordnerressourcen den Zugriff auf Ressourcen einschränken, sodass Nutzer in einer Abteilung nur in dieser Ordnerressource auf Google Cloud-Ressourcen zugreifen und sie erstellen können.

Das folgende Code-Snippet zeigt die Struktur einer Ordnerressource:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Wie Organisations- und Projektressourcen dienen Ordnerressourcen als Übernahmepunkt für Zulassungs-, Ablehnungs- und Organisationsrichtlinien. Die einer Ordnerressource zugewiesenen IAM-Rollen werden von allen Projekt- und Ordnerressourcen in diesem Ordner übernommen.

Die Projektressource

Die Projektressource ist die grundlegende Organisationseinheit. Organisations- und Ordnerressourcen können mehrere Projekte enthalten. Sie benötigen eine Projektressource, um Google Cloudzu verwenden. Es ist unerlässlich für das Erstellen, Aktivieren und Verwenden allerGoogle Cloud -Dienste, das Verwalten von APIs, das Aktivieren der Abrechnung, das Hinzufügen und Entfernen von Mitbearbeitern sowie das Verwalten von Berechtigungen.

Alle Projektressourcen bestehen aus Folgendem:

• Zwei Kennungen:
  1. Die Projektressourcen-ID, die eine eindeutige Kennung für die Projektressource ist.
  2. Eine Projektressourcennummer, die beim Erstellen des Projekts automatisch zugewiesen wird. Diese ist schreibgeschützt.
• Einen änderbaren Anzeigenamen
• Den Lebenszyklusstatus der Projektressource, z. B. ACTIVE oder DELETE_REQUESTED
• Eine Reihe von Labels, die zum Filtern von Projekten verwendet werden können
• Der Zeitpunkt, zu dem die Projektressource erstellt wurde.

Das folgende Code-Snippet zeigt die Struktur einer Projektressource:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Wenn Sie mit den meisten Google Cloud Ressourcen interagieren möchten, müssen Sie in jeder Anfrage die Projektressourcen-IDs angeben. Eine Projektressource lässt sich auf zwei Arten identifizieren: über die Projektressourcen-ID oder die Projektressourcennummer. Im Code-Snippet sind das projectId und projectNumber.

Die ID einer Projektressource ist der benutzerdefinierte Name, den Sie beim Erstellen eines Projekts auswählen. Wenn Sie eine API aktivieren, die ein Projekt voraussetzt, können Sie ein neues Projekt erstellen oder ein vorhandenes Projekt anhand seiner Projektressourcen-ID auswählen. Der in der Benutzeroberfläche angezeigte String name ist nicht mit der ID der Projektressource identisch.

Google Cloud generiert automatisch eine Projektressourcennummer. Sie finden die Projektressourcen-ID und -nummer im Dashboard des Projekts in derGoogle Cloud -Konsole. Weitere Informationen zum Abrufen von Projektkennungen sowie zu weiteren Verwaltungsaufgaben für Projektressourcen finden Sie unter Projekte erstellen.

Die anfängliche IAM-Richtlinie einer neu erstellten Projektressource weist dem Ersteller des Projekts die Inhaberrolle zu.

Alle Nutzer, einschließlich Nutzer mit kostenlosem Testzeitraum, Nutzer mit kostenloser Stufe sowie Google Workspace- und Cloud Identity-Kunden, können Projektressourcen erstellen. Nutzer des Google Cloud Free Program können nur Projektressourcen und Dienstressourcen innerhalb von Projekten erstellen. Projektrssourcen können die Spitze ihrer Hierarchie sein, aber nur, wenn sie von einem Nutzer mit kostenlosem Testzeitraum oder einem Nutzer mit kostenlosem Konto erstellt wurden. Google Workspace- und Cloud Identity-Kunden haben Zugriff auf zusätzliche Funktionen der Google Cloud -Ressourcenhierarchie, z. B. Organisations- und Ordnerressourcen. Weitere Informationen finden Sie in der Übersicht zu Cloud Identity. Projektressourcen am oberen Ende ihrer Hierarchie haben keine übergeordneten Ressourcen. Sie können jedoch in eine Organisationsressource migriert werden, sobald diese für die Domain erstellt wurde. Weitere Informationen zum Migrieren von Projektressourcen finden Sie unter Projekte zwischen Ressourcen von Organisationen verschieben.

Nächste Schritte

• Google Cloud Ressourcenhierarchie erstellen
• Alle Projekte, Ordner und Organisationen in Ihrer Hierarchie auflisten