将 Cloud Identity 设置为 Google Cloud 管理员
本文档介绍了如何设置 Cloud Identity,以及如何成为可以管理 Google Cloud 用户和资源Google Cloud 的管理员。创建 Google Cloud 资源层次结构时,设置 Cloud Identity 是首先要执行的步骤之一。
准备工作
如果您是 Google Cloud 管理员,请按照以下步骤注册 Cloud Identity 免费版或 Cloud Identity 专业版。如需详细了解这两版服务之间的区别,请参阅 Cloud Identity 功能和版本对比。
要求
- Cloud Identity 免费版:您需要贵公司的域名以及域名注册商网站管理员的用户名和密码才能开始操作。
- Cloud Identity 专业版:您需要贵公司的域名才能开始操作,或者在注册过程中购买一个域名。
注册 Cloud Identity 免费版
如果您是 Google Workspace 客户
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
依次前往结算 > 购买或升级。
确保您拥有结算管理管理员权限。
在类别中,点击 Cloud Identity。
在 Cloud Identity 免费版中,点击开始使用。
按照引导说明操作。
如果您不是 Google Workspace 客户
- 前往以下注册页面: https://workspace.google.com/gcpidentity/signup?sku=identitybasic
- 按照引导说明操作。
如需详细了解后续步骤,请参阅创建 Cloud Identity 账号和首个管理员用户。
注册 Cloud Identity 专业版
如果您是 Google Workspace 客户
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
依次前往结算 > 购买或升级。
确保您拥有结算管理管理员权限。
点击 Cloud Identity。
点击 Cloud Identity 专业版旁边的开始免费试用。
按照引导说明操作。
如果您不是 Google Workspace 客户
- 前往以下注册页面: https://workspace.google.com/gcpidentity/signup?sku=identitypremium
- 按照引导说明操作。
创建 Cloud Identity 账号和首个管理员用户
如需使用设置向导创建 Cloud Identity 账号和首个管理员用户,请按以下步骤操作:
- 在关于您自己部分中的姓名字段,输入您的名字和姓氏。
在您目前用于办公的电子邮件地址中,输入您的电子邮件地址。
此电子邮件地址会用作辅助地址,必须与您要用作 Cloud Identity 管理员账号(按如下步骤创建)的地址区别开来。
在关于您的企业部分中的公司或组织名称字段中,输入公司名称。
在国家/地区列表中,选择相应的国家或区域。
如需设置网域,请点击下一步。
在您的 Cloud Identity 域名窗口中,添加您已为公司购买的域名。您稍后需要验证您是该网域的所有者。
在创建 Cloud Identity 账号窗口中,输入用户名和密码。此账号是您的 Cloud Identity 管理员账号,必须与您在第 2 步中输入的电子邮件地址区别开来。根据最佳实践,我们建议您按照以下格式输入用户名:
admin@example.com
如需详细了解如何验证域名,请参阅验证用于 Cloud Identity 的域名。
恭喜!您已成功启用 Cloud Identity 并创建了您的第一个用户。
完成设置
您创建 Cloud Identity 账号并验证域名后,系统会将您返回到 Google Cloud 控制台。您需要代表贵组织接受《Cloud Identity 协议》,才能继续操作。然后,系统会将您定向到 Identity 页面。
现在,您已获得功能齐全的 Cloud Identity 账号。不过,您也可以按照本文档中的说明,在控制台中完成一些其他设置步骤。
注意:日后,您可能会想返回到 Google 管理控制台添加更多用户和创建群组。如需查看相关说明,请参阅管理用户。
关于您的 Cloud Identity 单位
完成 Cloud Identity 服务的注册和设置步骤后,您就创建了自己的 Cloud Identity 组织。这会将 Cloud Identity 账号从管理控制台映射到 Google Cloud,并可用于将您的所有项目分组,以便进行结算和管理。举例来说,您可以通过 Cloud Identity 组织设置权限,仅允许 Cloud Identity 用户访问项目。
作为第一位访问 Google Cloud 控制台的超级管理员,系统会向您分配 Org Owner 角色,让您可以管理最高级别的组织设置和分配最高级别的政策。
迁移项目和结算账号并设置权限
重要提示:
- 请通过您的非管理员 Google Cloud账号完成第 1 - 2 步。此账号一般是个人 Gmail 账号。
- 请通过您的 Cloud Identity 管理员账号完成第 3 - 6 步。
要从以前的账号中迁移内容,请按以下步骤操作:
第 1 步:授予对结算账号的访问权限
按以下步骤从您的 Cloud Identity 组织以外的账号中,将项目和结算账号迁移到新的 Cloud Identity 组织。我们建议您在另一个标签页中打开此页面,以便在完成以下步骤时参考。
- 登录其中有您要关联的现有结算账号的 Google Cloud 账号。
- 授权您的 Cloud Identity 组织管理员访问此结算账号。
- 转到左侧的导航菜单,打开结算。
- 前往您要关联的结算账号。
- 将您的 Cloud Identity 的组织管理员添加为“结算管理员”。
第 2 步:授予对项目的访问权限
您可以逐个授予项目访问权限,也可以使用批量授权界面来授予权限。按照第 1 步可逐个授予权限,而按照第 2 步则可以批量授权。
- 向组织管理员授予项目“Owner”的访问权限。
前往您要迁移的项目的 IAM 和管理页面,将组织管理员的账号添加为所有者。 - 设置批量权限(可选)。
前往 IAM 和管理部分,然后点击左侧导航菜单中的管理资源或所有项目。在“管理资源”视图中,选择要迁移的所有项目,然后使用 Identity and Access Management (IAM) 面板将您的新账号添加为这些项目的“Owner”。
第 3 步:登录您的 Cloud Identity 账号,并接受项目邀请
登录您的 Cloud Identity 账号,并查看电子邮件。
对于您要迁移的项目,您必须接受系统通过电子邮件向您的新账号发送的项目邀请。请务必针对您要迁移的每一个项目,点击各电子邮件中的链接。
第 4 步:前往 Google Cloud,使用您的 Cloud Identity 账号登录,然后移除访问权限
- 移除对结算账号的访问权限。
前往您通过旧账号关联的结算账号,并移除您公司网域以外的任何用户账号(包括您的“@gmail.com”账号)的访问权限。 - 移除对项目的访问权限。
- 前往 IAM 和管理页面,然后点击管理资源。
- 在管理资源页面中,从过滤条件控件旁边的下拉列表中选择无组织。
- 来自您的旧账号的项目会显示黄色警告图标。请选择这些项目,并使用“IAM”面板移除您公司网域以外的任何账号(包括您的“@gmail.com”账号)的访问权限。
第 5 步:迁移项目
- 前往 IAM 和管理部分,然后点击管理资源。
- 在“管理资源”页面中,从过滤器控件旁边的下拉列表中点击“无组织”。来自您的旧账号的项目会显示黄色警告图标。
- 选择来自您的旧账号的这些项目,然后点击顶部栏中的迁移,或点击各个项目所显示的图标。
迁移完毕后,您的项目会移到贵公司的组织。您必须将无组织下拉列表切换为您公司的组织,然后才能查看项目。
第 6 步:设置权限
- 前往 IAM 和管理部分,然后从顶部栏的下拉列表中选择您的组织。这样一来,您就可以针对组织中的所有项目设置 IAM 权限。
- 在“IAM”页面添加您的管理员用户,并为其分配适当的角色。
如需了解详情,您也可以参阅 在 Google Cloud上配置权限。
激活 Cloud Billing 账号
免费试用用户:设置 Cloud Identity 后,请查看您的结算状态,以验证您是否还有剩余的免费试用赠金。免费试用优惠结束后,您可以激活完整的付费 Cloud Billing 账号,以便继续使用需要 Cloud Billing 账号的 Google Cloud 资源。如需详细了解免费试用,请参阅免费云功能和试用优惠。