Ressourcenhierarchie

Auf dieser Seite werden die Google Cloud-Ressourcenhierarchie und die Ressourcen beschrieben, die mit Resource Manager verwaltet werden können.

Die Google Cloud-Ressourcenhierarchie hat zwei Ziele:

• Sie stellt eine Hierarchie von Inhaberschaften zur Verfügung, in der der Lebenszyklus einer Ressource an das in der Hierarchie unmittelbar übergeordnete Element gebunden ist.
• Sie ermöglicht das Zuweisen und Übernehmen von Zugriffssteuerungs- und Organisationsrichtlinien.

Bildlich gesprochen entspricht die Google Cloud-Ressourcenhierarchie den Dateisystemen, die unter herkömmlichen Betriebssystemen zur hierarchischen Organisation und zur Verwaltung von Elementen dienen. Im Allgemeinen hat jede Ressource genau Parent. Mit dieser hierarchischen Organisation von Ressourcen können Sie den Zugriff Richtlinien und Konfigurationseinstellungen für eine übergeordnete Ressource steuern sowie die Richtlinien und IAM-Einstellungen (Identity and Access Management) werden vom untergeordneten Ressourcen.

Google Cloud-Ressourcenhierarchie im Detail

Google Cloud-Ressourcen sind hierarchisch organisiert. Alle Ressourcen außer für die höchste Ressource in einer Hierarchie genau ein übergeordnetes Element haben. Auf der untersten Ebene sind Dienstressourcen die grundlegenden Komponenten, für alle Google Cloud-Dienste. Beispiele für Dienstressourcen sind Virtuelle Compute Engine-Maschinen (VMs), Pub/Sub-Themen, Cloud Storage Buckets, App Engine-Instanzen. Alle diese untergeordneten Ressourcen haben Projekt- Ressourcen als übergeordnete Elemente, die die erste Gruppierung darstellen, der Google Cloud-Ressourcenhierarchie.

Alle Nutzer, einschließlich kostenloser Testversionen, Nutzer der kostenlosen Stufe sowie Google Workspace und Cloud Identity-Kunden können Projektressourcen erstellen. Nutzer der kostenlosen Version von Google Cloud können nur Projektressourcen und Dienstressourcen innerhalb von Projekten erstellen. Projektressourcen können ganz oben in der Hierarchie sein, aber nur, wenn sie von einem kostenlosen Testnutzer oder einer kostenlosen Version erstellt wurden. Stufennutzer. Google Workspace- und Cloud Identity-Kunden Zugriff auf zusätzliche Features der Google Cloud-Ressourcenhierarchie haben. wie Organisations- und Ordnerressourcen. Weitere Informationen finden Sie unter Übersicht über Cloud Identity Projektressourcen an der Spitze ihrer Hierarchie haben kein übergeordnetes Element Ressourcen, können aber zu einer Organisationsressource migriert werden, sobald sie die für die Domain erstellt wurden. Weitere Informationen zum Migrieren von Projektressourcen Siehe Projektressourcen migrieren.

Google Workspace- und Cloud Identity-Kunden können Organisationen erstellen Ressourcen. Jedes Google Workspace- oder Cloud Identity-Konto ist verknüpft mit einer Organisationsressource. Wenn eine Organisationsressource vorhanden ist, steht er ganz oben in der Google Cloud-Ressourcenhierarchie. Alle Ressourcen die zu einer Organisation gehören, sind unter der Organisationsressource gruppiert. So haben Sie die Möglichkeit, alle zugehörigen Ressourcen zentral zu sehen und zu steuern. Organisationsressource.

Ordnerressourcen sind ein zusätzlicher, optionaler Gruppierungsmechanismus zwischen Organisationsressourcen und Projektressourcen. Eine Organisationsressource ist Voraussetzung für die Verwendung von Ordnern. Ordnerressourcen und ihr untergeordnetes Element Projektressourcen sind der Organisationsressource untergeordnet.

Die Google Cloud-Ressourcenhierarchie, insbesondere in ihrer vollständigen Form die eine Organisationsressource und Ordnerressourcen umfasst, um seine Organisationsressource in Google Cloud zuzuordnen und einen logischen Anhang bereitzustellen für Access Management-Richtlinien (IAM) und Organisationsrichtlinien: Sowohl IAM und Organisationsrichtlinien werden über die Hierarchie übernommen. Die geltenden Richtlinie für jede Ressource in der Hierarchie ist das direkte Ergebnis von Richtlinien. die auf die Ressource und die Richtlinien angewendet werden, die von ihren Ancestors übernommen wurden.

Das folgende Diagramm zeigt ein Beispiel für eine Google Cloud-Ressourcenhierarchie in vollständig:

Organisationsressource

Die Organisationsressource steht für eine Organisation (z. B. ein Unternehmen) und ist der Stammknoten im Google Cloud-Ressourcenhierarchie, falls vorhanden. Die Organisationsressource ist hierarchischen Ancestor von Ordner- und Projektressourcen. Die Auf die Organisationsressource angewendete IAM-Zugriffssteuerungsrichtlinien innerhalb der Hierarchie auf alle Ressourcen in der Organisation angewendet werden.

Google Cloud-Nutzer müssen keine Organisationsressource haben, aber sind einige Funktionen von Resource Manager nicht nutzbar. Die Organisation Ressource ist eng mit einer Google Workspace oder Cloud Identity Konto. Wenn ein Nutzer mit Google Workspace oder Cloud Identity erstellt eine Google Cloud-Projektressource, eine Organisationsressource automatisch bereitgestellt.

Ein Google Workspace- oder Cloud Identity-Konto kann genau ein Konto haben Organisationsressource bereitgestellt wird. Sobald eine Organisationsressource Für eine Domain erstellt, alle neuen Google Cloud-Projektressourcen, die von Mitglieder der Kontodomain gehören standardmäßig der Organisation an . Wenn ein verwalteter Nutzer eine Projektressource erstellt, ist die Anforderung dass sie sich in einer Organisationsressource befinden muss. Wenn ein Nutzer ein Organisationsressource und über die entsprechenden Berechtigungen verfügt, ist das Projekt die dieser Organisation zugewiesen sind. Andernfalls wird standardmäßig die Organisation verwendet. Ressource, mit der der Nutzer verknüpft ist. Es ist nicht möglich, für verknüpfte Konten mit einer Organisationsressource zu erstellen, um nicht verknüpfte Projektressourcen zu erstellen mit einer Organisationsressource.

Mit Google Workspace- oder Cloud Identity-Konten verknüpfen

Der Einfachheit halber verwenden wir Google Workspace stellvertretend für Google Workspace- und Cloud Identity-Nutzer.

Das Google Workspace- oder Cloud Identity-Konto steht für eine Unternehmen und ist Voraussetzung für den Zugriff auf die Organisationsressource. In Google Cloud-Kontext bietet es Identitätsverwaltung, Wiederherstellung Mechanismen, Inhaberschaft und Lebenszyklusverwaltung. Das Bild unten zeigt den Link. zwischen dem Google Workspace-Konto, Cloud Identity Google Cloud-Ressourcenhierarchie.

Der Super Admin von Google Workspace ist für die Bestätigung der Domaininhaberschaft zuständig und dient als Ansprechpartner bei Wiederherstellungen. Aus diesem Grund hat der Super Admin von Google Workspace die Möglichkeit, IAM-Rollen standardmäßig zuzuweisen. Der Google Workspace-Super Admin Hauptaufgabe in Bezug auf Google Cloud besteht darin, der Organisation Administrator-IAM-Rolle für die entsprechenden Nutzer in ihrer Domain. Dies ermöglicht die Trennung zwischen Google Workspace- und Google Cloud-Verwaltungsverantwortlichkeiten, die Nutzer in der Regel wünschen.

Vorteile der Organisationsressource

Bei einer Organisationsressource gehören die Projektressourcen zu Ihrer Organisation anstatt der Person, die das Projekt erstellt hat. Das bedeutet, dass das Projekt Ressourcen werden nicht mehr gelöscht, wenn ein Mitarbeiter das Unternehmen verlässt. stattdessen folgen sie dem Lebenszyklus der Organisationsressource in Google Cloud.

Darüber hinaus haben Organisationsadministratoren zentrale Kontrolle über alle Ressourcen. Sie können alle Projektressourcen Ihres Unternehmens anzeigen und verwalten. Dieses dass es keine Schattenprojekte oder betrügerische Administratoren mehr geben darf.

Sie können auch Rollen auf Organisationsebene zuweisen, die von allen Projekt- und Ordnerressource unter der Organisationsressource. Zum Beispiel haben Sie kann Ihrem Netzwerkteam in der Organisation die Rolle „Netzwerkadministrator“ zuweisen und ermöglicht es ihnen, alle Netzwerke in allen Projektressourcen in Ihrem Unternehmen, anstatt ihm die Rolle für alle einzelnen Projektressourcen zu gewähren.

Eine Organisationsressource, die von der Cloud Resource Manager API zur Verfügung gestellt wird, besteht aus dem Folgendes:

• Die Ressourcen-ID einer Organisation, bei der es sich um eine eindeutige Kennzeichnung für eine Organisation handelt.
• Ein Anzeigename, der aus dem primären Domainnamen in Google Workspace oder Cloud Identity generiert wird.
• Der Erstellungszeitpunkt der Organisationsressource.
• Der Zeitpunkt der letzten Änderung der Organisationsressource.
• Der Inhaber der Organisationsressource. Der Eigentümer wird beim Erstellen der Organisationsressource. und kann anschließend nicht mehr geändert werden. Dies ist die Google Workspace-Kundennummer, die in der Directory API angegeben wird.

Das folgende Code-Snippet zeigt die Struktur einer Organisationsressource:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

Die anfängliche IAM-Richtlinie für eine neu erstellte Organisationsressource gewährt die Rollen Projektersteller und Rechnungskontoersteller dem gesamten Google Workspace-Domain. Das bedeutet, dass Nutzer Projektressourcen und Rechnungskonten wie vor der Organisationsressource existiert. Es werden keine weiteren Ressourcen erstellt, Organisationsressource erstellt wird.

Ordnerressource

Ordnerressourcen bieten optional einen zusätzlichen Gruppierungsmechanismus und die Isolation von Projekten. Sie können als Unterorganisationen aufgefasst werden. innerhalb der Organisationsressource. Ordnerressourcen können zum Modellieren verwendet werden verschiedenen Rechtssubjekten, Abteilungen und Teams innerhalb eines Unternehmens. Beispiel: könnte eine erste Ebene der Ordnerressourcen verwendet werden, um die in Ihrer Organisationsressource an. Da Ordnerressourcen Ressourcen und anderen Ordnern kann jede Ordnerressource weitere Unterordner für verschiedene Teams. Jeder Teamordner könnte weitere Unterordner für verschiedene Anwendungen enthalten. Weitere Informationen zur Verwendung von Ordnerressourcen finden Sie unter Ordnerressourcen erstellen und verwalten

Wenn in Ihrer Organisationsressource Ordnerressourcen vorhanden sind und Sie entsprechende können Sie sich diese in der Google Cloud Console ansehen. Weitere Informationen finden Sie unter Ordner und Projektressourcen aufrufen oder auflisten

Ordnerressourcen ermöglichen das Delegieren von Administrationsrechten. Beispielsweise kann jeder Abteilungsleiter kann die volle Inhaberschaft an allen Google Cloud-Produkten Ressourcen ihrer Abteilungen. Ebenso kann der Zugriff auf Ressourcen werden durch Ordnerressourcen begrenzt, sodass Nutzer in einer Abteilung nur auf und Google Cloud-Ressourcen in dieser Ordnerressource zu erstellen.

Das folgende Code-Snippet zeigt die Struktur einer Ordnerressource:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Wie Organisations- und Projektressourcen fungieren Ordnerressourcen als Richtlinie Übernahmepunkt für IAM- und Organisationsrichtlinien. Einer Ordnerressource gewährte IAM-Rollen werden automatisch gewährt von allen Projekt- und Ordnerressourcen übernommen, die in diesem Ordner enthalten sind.

Projektressource

Die Projektressource ist die unterste Organisationsebene. Organisation und Ordnerressourcen können mehrere Projekte enthalten. Eine Projektressource ist erforderlich Google Cloud zu nutzen, und bildet die Grundlage für die Erstellung, Aktivierung und Nutzung Google Cloud-Dienste, APIs verwalten, Abrechnung aktivieren, hinzufügen und Entfernen von Mitbearbeitern und Verwalten von Berechtigungen

Alle Projektressourcen umfassen Folgendes:

• Zwei Kennungen:
  1. Projektressourcen-ID, eine eindeutige Kennung für das Projekt .
  2. Projektressourcennummer, die beim Erstellen automatisch zugewiesen wird für das Projekt. Diese ist schreibgeschützt.
• Einen änderbaren Anzeigenamen
• Der Lebenszyklusstatus der Projektressource. z. B. ACTIVE oder DELETE_REQUESTED
• Eine Reihe von Labels, die zum Filtern von Projekten verwendet werden können
• Der Zeitpunkt, zu dem die Projektressource erstellt wurde.

Das folgende Code-Snippet zeigt die Struktur einer Projektressource:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Um mit den meisten Google Cloud-Ressourcen zu interagieren, müssen Sie die Projektressourceninformationen für jede Anfrage identifizieren. Sie können Eine Projektressource auf zwei Arten: über eine Projektressourcen-ID oder ein Projekt Ressourcennummer (projectId und projectNumber im Code-Snippet).

Die Projektressourcen-ID ist der benutzerdefinierte Name, den Sie beim Erstellen der Projektressource. Wenn Sie eine API aktivieren, die eine Projektressource erfordert, werden aufgefordert, eine Projektressource zu erstellen oder mithilfe von dessen Projektressourcen-ID. Beachten Sie, dass der String name, der im UI nicht mit der Projektressourcen-ID identisch ist.)

Eine Projektressource wird automatisch von Google Cloud generiert. Sowohl das Projekt Ressourcen-ID und Projektressourcennummer finden Sie auf dem Dashboard der Projektressource in der Google Cloud Console. Informationen zum Abrufen des Projekts Management-Aufgaben für Projektressourcen, siehe Projektressourcen erstellen und verwalten

Die anfängliche IAM-Richtlinie einer neu erstellten Projektressource weist dem Ersteller des Projekts die Inhaberrolle zu.

IAM-Richtlinienübernahme

Google Cloud bietet mit IAM (Identity and Access Management) die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Mit IAM können Sie steuern, wer (Nutzer) welche Zugriffsrechte (Rollen) für welche Ressourcen hat. Dazu legen Sie IAM-Richtlinien für die Ressourcen fest.

IAM-Richtlinien können auf Organisationsebene, Ordnerebene, Projektebene und zum Teil auch auf Ressourcenebene festgelegt werden. Ressourcen erben die Richtlinien der übergeordneten Ressource. Wenn Sie eine Richtlinie unter auf Organisationsebene, wird er von allen untergeordneten Ordnern und Projekten übernommen Wenn Sie eine Richtlinie auf Projektebene festlegen, wird sie von allen ihre untergeordneten Ressourcen.

Die für eine Ressource geltende Richtlinie ist die Kombination aus der für die Ressource festgelegten Richtlinie sowie der von Ancestors übernommenen Richtlinie. Diese Übernahme ist transitiv. Mit anderen Worten, Ressourcen übernehmen Richtlinien vom Projekt, das Richtlinien von der Organisationsressource übernehmen. Daher entspricht der Parameter Richtlinien auf Organisations- und Ressourcenebene gelten auch auf Ressourcenebene.

Wenn Sie beispielsweise in der oben dargestellten Ressourcenhierarchie eine Richtlinie für den Ordner "Department Y" (Abteilung Y) festlegen, die bob@example.com die Rolle "Project Editor" (Projektbearbeiter) zuweist, hat Bob die Bearbeiterrolle für die Projekte "Development Project" (Entwicklungsprojekt), "Test Project" (Testprojekt) und "Production Project" (Produktionsprojekt). Wenn Sie hingegen alice@example.com die Rolle "Instanzadministrator" für das Projekt "Test Project" zuweisen, kann Alice nur Compute Engine-Instanzen in diesem Projekt verwalten.

Rollen werden immer übernommen und es gibt keine Möglichkeit, eine Berechtigung für eine untergeordnete Ressource, die auf einer höheren Ebene in der Ressourcenhierarchie erteilt wurde, explizit zu entfernen. Selbst wenn Sie im obigen Beispiel die Rolle "Project Editor" von Bob für das "Test Project" entfernen, übernimmt er diese Rolle weiterhin aus dem Ordner "Department Y", sodass er auch die Berechtigungen dieser Rolle für das "Test Project" weiterhin hat.

Für die IAM-Richtlinienhierarchie gelten dieselben Regeln wie für die Google Cloud-Ressourcenhierarchie. Wenn Sie die Ressourcenhierarchie ändern, ändert sich auch die Richtlinienhierarchie. Wenn Sie z. B. ein Projekt in ein Organisationsressource die IAM-Richtlinie des Projekts auf von der IAM-Richtlinie der Organisationsressource übernehmen. In ähnlicher Weise Das Verschieben einer Projektressource von einer Ordnerressource in eine andere ändert die übernommenen Berechtigungen. Berechtigungen, die von der Projektressource übernommen wurden aus der ursprünglichen übergeordneten Ressource gehen verloren, wenn die Projektressource in eine neue Ordnerressource verschoben. Für den Zielordner festgelegte Berechtigungen Ressource wird von der Projektressource übernommen, wenn sie verschoben wird.