将 Cloud Identity 设置为 Google Cloud 管理员

本文介绍如何将 Cloud Identity 设置为 Google Cloud 管理员。创建新的 Google Cloud 组织时,设置 Cloud Identity 是首先要执行的步骤之一。

准备工作

供 Google Cloud 管理员参考的操作说明

如果您是 Google Cloud 管理员,请按照以下说明注册 Cloud Identity 免费版或 Cloud Identity 专业版。如要详细了解这两版服务之间的区别,请参阅 Cloud Identity 功能和版本对比

使用要求

  • Cloud Identity 免费版 - 您需要贵公司的域名以及域名注册商网站管理员的用户名和密码才能开始操作。
  • Cloud Identity 专业版 - 您需要贵公司的域名才能开始操作,或者在注册过程中购买一个域名。

注册 Cloud Identity 免费版

  1. 前往以下注册页面:
    https://workspace.google.com/gcpidentity/signup?sku=identitybasic
  2. 按照引导说明操作。

要详细了解后续步骤,请参阅创建 Cloud Identity 账号和首个管理员用户

注册 Cloud Identity 专业版

如果您是 Google Workspace 客户

  1. 登录 Google 管理控制台

    请使用您的管理员账号(不是以“@gmail.com”结尾的账号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 然后结算然后获取更多服务
  3. 点击 Cloud Identity
  4. 点击 Cloud Identity 专业版旁边的开始免费试用
  5. 按照引导说明操作。

如果您不是 Google Workspace 客户

  1. 前往以下注册页面:
    https://workspace.google.com/gcpidentity/signup?sku=identitypremium
  2. 按照引导说明操作。

创建您的第一个用户

要使用设置向导创建 Cloud Identity 账号和首个管理员用户,请按以下步骤操作: 

  1. 关于您自己部分中的姓名字段,输入您的名字和姓氏。
  2. 您目前用于办公的电子邮件地址字段中,输入您的电子邮件地址。
    此电子邮件地址会用作辅助地址,必须与您要用作 Cloud Identity 管理员帐号(通过如下步骤创建)的地址 不同
  3. 关于您的企业部分的公司或单位名称字段中,输入公司名称。
  4. 国家/地区字段中,从下拉列表中选择适当的国家或地区。
  5. 点击下一步以设置您的网域。
  6. 您的 Cloud Identity 域名窗口中,添加您已为公司购买的域名。您需要创建特定的 CNAME 记录或上传 html 文件,以验证您拥有该域名的所有权。
  7. 创建 Cloud Identity 账号窗口中,输入用户名和密码。此账号是您的 Cloud Identity 管理员账号,必须与您在上述第 2 步中输入的电子邮件地址区别开来。根据最佳做法,我们建议您按照以下格式输入用户名:admin@example.com

要获取关于验证域名的更多详细信息和说明,请参阅验证用于 Cloud Identity 的域名

恭喜!您已成功启用 Cloud Identity 并创建了您的第一个用户。

完成设置

在您创建 Cloud Identity 账号并验证域名后,系统会将您返回 Google Cloud 控制台。在继续操作之前,您需要代表贵组织接受《Cloud Identity 协议》。然后,系统会将您定向到 Identity 页面。
 
现在,您已获得功能齐全的 Cloud Identity 账号。不过,您也可以按照下文所述,在控制台中完成一些其他设置步骤。
 
注意 :日后,您可能需要返回 Google 管理控制台添加更多用户和创建群组。有关说明,请参阅管理用户

关于您的 Cloud Identity 组织

完成 Cloud Identity 服务的注册和设置步骤后,您就创建了自己的 Cloud Identity 组织。这会将 Cloud Identity 账号从管理控制台映射到 Google Cloud,并可用于将您的所有项目分组,以便进行结算和管理。举例来说,您可以通过 Cloud Identity 组织设置权限,仅允许 Cloud Identity 用户访问项目。
 
您是第一位访问 Google Cloud 控制台的超级用户,系统会为您分配 Org Owner 角色,让您可以管理最高级别的组织设置和分配最高级别的政策。

迁移项目和结算账号并设置权限

重要提示: 

  • 请通过您的非管理员 Google Cloud 账号完成以下的第 1 - 2 步。此账号一般是个人 Gmail 账号。
  • 请通过您的 Cloud Identity 管理员账号完成第 3 - 6 步。

要从以前的账号中迁移内容,请按以下步骤操作:

授予对结算账号的访问权限

按以下步骤从您的 Cloud Identity 单位以外的账号中,将项目和结算账号迁移到新的 Cloud Identity 单位。我们建议您在另一个标签页中打开此页面,以便在完成以下步骤时参考。

  1. 登录其中有您要关联的现有结算账号的 Google Cloud 账号。
  2. 授权您的 Cloud Identity 组织管理员访问此结算账号。
    1. 转到左侧的导航菜单,打开结算
    2. 转到您要关联的结算账号。
    3. 将您的 Cloud Identity 的组织管理员添加为“结算管理员”。

授予项目访问权限

您可以逐个授予对项目的访问权限,也可以通过批量权限界面授予访问权限。下面的第 1 步将逐步介绍一个方法,而步骤 2 将演示批量方法。

  1. 向组织管理员授予项目“Owner”的访问权限。
    转到您要迁移的项目的 IAM 和管理页面,将组织管理员的帐号添加为所有者
  2. 设置批量权限(可选)。
    转到 IAM 和管理部分,点击左侧导航菜单中的管理资源所有项目。在“管理资源”视图中,选择要迁移的所有项目,然后使用“IAM”面板将您的新账号添加为这些项目的“Owner”。

登录您的 Cloud Identity 账号并接受项目邀请

登录您的 Cloud Identity 账号,并查看电子邮件。

对于您要迁移的项目,您必须接受系统通过电子邮件向您的新账号发送的项目邀请。请务必针对您要迁移的每一个项目,点击各电子邮件中的链接。

转到 Google Cloud,使用您的 Cloud Identity 账号登录,并移除访问权限

  1. 移除对结算账号的访问权限。
    转到您通过旧帐号关联的结算帐号,并移除您公司网域以外的任何用户帐号(包括您的 @gmail.com 帐号)的访问权限。
  2. 移除对项目的访问权限。
    1. 转到 IAM 和管理页面,点击管理资源
    2. 在“管理资源”页面中,从过滤器控件旁边的下拉列表中选择“无组织”。
    3. 来自您的旧账号的项目会显示黄色警告图标。请选择这些项目,然后使用“IAM”面板移除您公司网域以外的任何帐号(包括您的@gmail.com 帐号)的访问权限。@gmail.com

迁移项目

  1. 转到 IAM 和管理部分,点击管理资源
  2. 在“管理资源”页面中,从过滤器控件旁边的下拉列表中点击“无组织”。来自您的旧账号的项目会显示黄色警告图标。
  3. 选择来自您的旧账号的这些项目,然后点击顶部栏中的迁移,或点击各个项目所显示的图标。

迁移完毕后,您的项目会移到贵公司的组织。您必须将无组织下拉列表切换为您公司的组织,然后才能查看项目。

设置权限

  1. 转到 IAM 和管理部分,从顶部栏中的下拉列表中选择您的单位。这样一来,您就可以针对组织中的所有项目设置 IAM 权限。
  2. 在“IAM”页面添加您的管理员用户,并为其分配适当的角色,

如需了解详情,另请参阅在 Google Cloud 中配置权限
 

后续步骤