以 Google Cloud 管理員身分設定 Cloud Identity
本文說明如何設定 Cloud Identity,並成為可管理使用者和資源的Google Cloud 管理員 Google Cloud 。設定 Cloud Identity 是建立 Google Cloud 資源階層時,您會執行的第一步。
事前準備
如果您是 Google Cloud 管理員,請按照下列步驟申請 Cloud Identity 免費版或 Cloud Identity 進階版。如要進一步瞭解這兩項服務的差異,請參閱比較 Cloud Identity 功能與版本。
需求條件
- Cloud Identity 免費版:您必須備妥貴公司的網域名稱,以及貴公司管理員在網域註冊商平台上的使用者名稱和密碼,才能開始作業。
- Cloud Identity 進階版:您必須備妥貴公司的網域名稱,或是在申請過程中購買網域。
申請 Cloud Identity 免費版
如果您是 Google Workspace 客戶
使用管理員帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往「帳單」>「購買或升級」。
確認您具備帳單管理管理員權限。
在「類別」中按一下 [Cloud Identity]。
在「Cloud Identity 免費版」中,按一下「開始使用」。
按照相關指示操作。
如果您不是 Google Workspace 客戶
- 前往下列註冊頁面: https://workspace.google.com/gcpidentity/signup?sku=identitybasic
- 按照相關指示操作。
如需後續步驟的詳細資訊,請參閱「建立您的 Cloud Identity 帳戶和第一位管理員使用者」。
申請 Cloud Identity 進階版
如果您是 Google Workspace 客戶
使用管理員帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往「帳單」>「購買或升級」。
確認您具備帳單管理管理員權限。
按一下 [Cloud Identity]。
按一下「Cloud Identity 進階版」旁邊的 [開始免費試用]。
按照相關指示操作。
如果您不是 Google Workspace 客戶
- 前往下列註冊頁面: https://workspace.google.com/gcpidentity/signup?sku=identitypremium
- 按照相關指示操作。
建立您的 Cloud Identity 帳戶和第一位管理員使用者
如何使用設定精靈建立您的 Cloud Identity 帳戶和第一位管理員使用者:
- 在「關於您」部分的「名稱」欄位中,輸入您的姓名。
在「您目前使用的公司電子郵件」欄位中輸入您的電子郵件地址。
這個電子郵件地址將成為您的備援地址,因此必須「不同於」您為自己的 Cloud Identity 管理員帳戶所建立的電子郵件地址。
在「關於貴公司」部分的「公司或機構名稱」中,輸入公司名稱。
在「國家/地區」清單中,選擇適當的國家/地區。
如要設定網域,請按一下「下一步」。
在「您的 Cloud Identity 網域」視窗中,新增您為貴公司購買的網域。稍後您需要驗證網域擁有權。
在「建立您的 Cloud Identity 帳戶」視窗中,輸入使用者名稱和密碼。這個帳戶是您的 Cloud Identity 管理員帳戶,請勿使用您在步驟 2 輸入的電子郵件地址。建議您使用以下格式輸入使用者名稱:
admin@example.com
如需更多驗證網域的詳細資料和操作說明,請參閱「驗證您的 Cloud Identity 網域」。
恭喜!您已成功啟用 Cloud Identity 並建立第一位使用者。
完成設定
建立 Cloud Identity 帳戶並驗證網域後,系統就會將您返回至 Google Cloud 控制台。您必須代表貴機構接受《Cloud Identity 協議》,才能繼續操作。接著,系統會將您導向「Identity」頁面。
現在,您的 Cloud Identity 帳戶已經可以正常使用。不過,您也可以選擇按照本文說明,前往控制台完成幾個額外的設定步驟。
注意:您稍後可能會想返回 Google 管理控制台新增更多使用者及建立群組。如需操作說明,請參閱「管理使用者」。
關於您的 Cloud Identity 機構
完成 Cloud Identity 服務的申請和設定步驟後,您就建立了 Cloud Identity 機構。這會將管理控制台的 Cloud Identity 帳戶對應到 Google Cloud,並用於將您的所有專案分組,以利計費及管理。舉例來說,您可以使用 Cloud Identity 機構設定限制,僅供 Cloud Identity 使用者存取專案。
由於您是第一個存取 Google Cloud 控制台的超級管理員,系統會將「機構擁有者」角色指派給您,讓您以最高權限等級管理機構設定及指派政策。
遷移專案和帳單帳戶並設定權限
重要事項:
- 請透過您的非管理員 Google Cloud帳戶完成步驟 1 至 2。(一般建議使用個人 Gmail 帳戶)。
- 請透過您的 Cloud Identity 管理員帳戶完成步驟 3 至 6。
如要從原先的帳戶遷移內容,請按照下列步驟操作:
步驟 1:授予帳單帳戶存取權
如要將專案和帳單帳戶從您 Cloud Identity 機構以外的帳戶遷移至新的 Cloud Identity 機構,請執行以下步驟。建議您以另一個分頁開啟本頁,以便在完成步驟的過程中隨時參考。
- 登入 Google Cloud 帳戶 (內含您要連結的現有帳單帳戶)。
- 將這個帳單帳戶的存取權授予您的 Cloud Identity 機構管理員。
- 開啟左側導覽列中的 [帳單]。
- 前往要連結的帳單帳戶。
- 將您的 Cloud Identity 機構管理員新增為帳單管理員。
步驟 2:授予專案存取權
您可以逐一授予專案存取權,也可以使用大量權限 UI 進行授權。步驟 1 說明逐一授權方法,步驟 2 則是大量授權方法。
- 將專案的「擁有者」存取權授予貴機構的管理員。
前往要遷移專案的「IAM 與管理員」頁面,將貴機構管理員的帳戶新增為「擁有者」。 - 設定大量權限 (選用)。
前往「IAM 與管理員」部分,然後按一下左側導覽區中的「管理資源」或「所有專案」。在「管理資源」檢視畫面中,選取要遷移的所有專案,然後使用「Identity and Access Management (IAM)」面板,將新帳戶新增為這些專案的「擁有者」。
步驟 3:登入 Cloud Identity 帳戶並接受專案邀請
登入 Cloud Identity 帳戶並查看電子郵件。
對於您要遷移的專案,您必須接受透過電子郵件傳送至您新帳戶的專案邀請。請針對要遷移的每項專案,一一點選個別電子郵件中的連結。
步驟 4:前往 Google Cloud,使用 Cloud Identity 帳戶登入,然後移除存取權
- 移除帳單帳戶存取權。
前往您透過舊帳戶連結的帳單帳戶,然後為不屬於貴公司網域的所有使用者帳戶移除存取權 (包括您的@gmail.com 帳戶)。 - 移除專案存取權。
- 前往「IAM 與管理」頁面,然後按一下「管理資源」。
- 在「管理資源」頁面上,從篩選器控制項旁邊的下拉式清單中選取「沒有機構」。
- 您舊帳戶中的專案會顯示黃色警告圖示。選取這些專案,然後使用「IAM」面板為不屬於貴公司網域的所有帳戶移除存取權 (包括您的@gmail.com 帳戶)。
步驟 5:遷移專案
- 前往「IAM 與管理」部分,然後按一下「管理資源」。
- 在「管理資源」頁面上,從篩選器控制項旁邊的下拉式選單中點選「沒有機構」。您舊帳戶中的專案會顯示黃色警告圖示。
- 選取您舊帳戶中的這些專案,然後點選頂端列中的「遷移」或是各專案的圖示。
遷移完成後,您的專案將移至貴公司的機構。您必須將下拉式清單中的「無機構」切換至貴公司的機構,才能查看專案。
步驟 6:設定權限
- 前往「IAM 與管理」部分,從頂端列的下拉式清單中選取貴機構,您就可以針對會影響貴機構中所有專案的 IAM 權限進行設定。
- 在「IAM」頁面中新增管理員使用者並指派適當的角色。
如需更多詳細資訊,請一併參閱 在 Google Cloud中設定權限。
啟用 Cloud Billing 帳戶
免費試用使用者:設定 Cloud Identity 後,請查看計費狀態,確認您還有剩餘的免費試用抵免額。免費試用優惠結束後,您可以啟用功能完整的付費 Cloud Billing 帳戶,繼續使用需要 Cloud Billing 帳戶的資源。 Google Cloud 如要進一步瞭解免費試用方案,請參閱「免付費的 Google Cloud 功能和試用優惠」。