将 Cloud Identity 设置为 Google Cloud 管理员
本文介绍如何将 Cloud Identity 设置为 Google Cloud 管理员。创建新的 Google Cloud 组织时,设置 Cloud Identity 是首先要执行的步骤之一。
准备工作
如果您是 Google Cloud 管理员,请按照以下说明注册 Cloud Identity 免费版或 Cloud Identity 专业版。如要详细了解这两版服务之间的区别,请参阅 Cloud Identity 功能和版本对比。
要求
- Cloud Identity 免费版 - 您需要贵公司的域名以及域名注册商网站管理员的用户名和密码才能开始操作。
- Cloud Identity 专业版 - 您需要贵公司的域名才能开始操作,或者在注册过程中购买一个域名。
注册 Cloud Identity 免费版
- 前往以下注册页面:
https://workspace.google.com/gcpidentity/signup?sku=identitybasic - 按照引导说明操作。
要详细了解后续步骤,请参阅创建 Cloud Identity 账号和首个管理员用户。
注册 Cloud Identity 专业版
如果您是 Google Workspace 客户
-
-
在管理控制台中,依次点击“菜单”图标 结算获取更多服务。
- 点击 Cloud Identity。
- 点击 Cloud Identity 专业版旁边的开始免费试用。
- 按照引导说明操作。
如果您不是 Google Workspace 客户
- 前往以下注册页面:
https://workspace.google.com/gcpidentity/signup?sku=identitypremium - 按照引导说明操作。
创建您的第一个用户
如需使用设置向导创建 Cloud Identity 账号和首个管理员用户,请按以下步骤操作:
- 在关于您自己部分中的姓名字段,输入您的名字和姓氏。
- 在您目前用于办公的电子邮件地址字段中,输入您的电子邮件地址。
此电子邮件地址会用作辅助地址,该电子邮件地址必须与您要用作 Cloud Identity 管理员账号(通过如下步骤创建)的地址不同。 - 在关于您的企业部分的公司或单位名称字段中,输入公司名称。
- 在国家/地区字段中,从下拉列表中选择适当的国家或地区。
- 点击下一步以设置您的网域。
- 在您的 Cloud Identity 域名窗口中,添加您已为公司购买的域名。您需要创建特定的 CNAME 记录或上传 HTML 文件,从而验证此域名归您所有。
- 在创建 Cloud Identity 账号窗口中,输入用户名和密码。此账号是您的 Cloud Identity 管理员账号,必须与您在上述第 2 步中输入的电子邮件地址区别开来。根据最佳做法,我们建议您按照以下格式输入用户名:admin@example.com。
要获取关于验证域名的更多详细信息和说明,请参阅验证用于 Cloud Identity 的域名。
恭喜!您已成功启用 Cloud Identity 并创建了您的第一个用户。
完成设置
创建 Cloud Identity 账号并验证域名后,您会返回到 Google Cloud 控制台。您需要代表贵组织接受《Cloud Identity 协议》,才能继续操作。然后,系统会将您定向到 Identity 页面。
现在,您已获得功能齐全的 Cloud Identity 账号。不过,您也可以按照下述说明,在控制台中完成一些其他设置步骤。
注意 :日后,您可能会想返回 Google 管理控制台添加更多用户和创建群组。有关说明,请参阅管理用户。
关于您的 Cloud Identity 组织
完成 Cloud Identity 服务的注册和设置步骤后,您就创建了自己的 Cloud Identity 组织。这会将 Cloud Identity 账号从管理控制台映射到 Google Cloud,并可用于将您的所有项目分组,以便进行结算和管理。举例来说,您可以通过 Cloud Identity 单位设置权限,仅允许 Cloud Identity 用户访问项目。
由于您是第一位访问 Google Cloud 控制台的超级用户,系统会向您分配组织所有者角色,让您可以管理最高级别的组织设置和分配最高级别的政策。
迁移项目和结算账号并设置权限
重要提示:
- 请通过您的非管理员 Google Cloud 账号完成以下的第 1 - 2 步。此账号一般是个人 Gmail 账号。
- 请通过您的 Cloud Identity 管理员账号完成第 3 - 6 步。
要从以前的账号中迁移内容,请按以下步骤操作:
授予对结算账号的访问权限
按以下步骤从您的 Cloud Identity 单位以外的账号中,将项目和结算账号迁移到新的 Cloud Identity 单位。我们建议您在另一个标签页中打开此页面,以便在完成以下步骤时参考。
- 登录其中有您要关联的现有结算账号的 Google Cloud 账号。
- 授权您的 Cloud Identity 单位管理员访问此结算账号。
- 转到左侧的导航菜单,打开结算。
- 转到您要关联的结算账号。
- 将您的 Cloud Identity 的组织管理员添加为“结算管理员”。
授予项目访问权限
您可以逐个授予项目访问权限,也可以通过批量授权界面来授予权限。按照下述第 1 步可逐个授予权限,而按照第 2 步则可以批量授权。
- 向组织管理员授予项目“Owner”的访问权限。
前往您要迁移的项目的 IAM 和管理页面,将组织管理员的账号添加为“Owner”。 - 设置批量权限(可选)。
转到 IAM 和管理部分,点击左侧导航菜单中的管理资源或所有项目。在“管理资源”视图中,选择要迁移的所有项目,然后使用“IAM”面板将您的新账号添加为这些项目的“Owner”。
登录您的 Cloud Identity 账号并接受项目邀请
登录您的 Cloud Identity 账号,并查看电子邮件。
对于您要迁移的项目,您必须接受系统通过电子邮件向您的新账号发送的项目邀请。请务必针对您要迁移的每一个项目,点击各电子邮件中的链接。
前往 Google Cloud,使用您的 Cloud Identity 账号登录,并移除访问权限
- 移除对结算账号的访问权限。
转到您通过旧账号关联的结算账号,并移除您公司网域以外的任何用户账号(包括您的 @gmail.com 账号)的访问权限。 - 移除对项目的访问权限。
- 转到 IAM 和管理页面,点击管理资源。
- 在“管理资源”页面中,从过滤器控件旁边的下拉列表中选择“无组织”。
- 来自您的旧账号的项目会显示黄色警告图标。请选择这些项目,并使用“IAM”面板移除您公司网域以外的任何账号(包括您的“@gmail.com”账号)的访问权限。@gmail.com
迁移项目
- 转到 IAM 和管理部分,点击管理资源。
- 在“管理资源”页面中,从过滤器控件旁边的下拉列表中点击“无组织”。来自您的旧账号的项目会显示黄色警告图标。
- 选择来自您的旧账号的这些项目,然后点击顶部栏中的迁移,或点击各个项目所显示的图标。
迁移完毕后,您的项目会移到贵公司的组织。您必须将无组织下拉列表切换为您公司的组织,然后才能查看项目。
设置权限
- 转到 IAM 和管理部分,从顶部栏中的下拉列表中选择您的单位。这样一来,您就可以针对组织中的所有项目设置 IAM 权限。
- 在“IAM”页面添加您的管理员用户,并为其分配适当的角色,
如需了解详情,您也可以参阅在 Google Cloud 中配置权限。