分配 Identity and Access Management 角色和权限

您需要拥有以下权限才能在组织资源之间迁移项目。

如需获得这些权限,请让您的管理员在资源层次结构的适当级层授予建议的角色。

项目迁移权限

如需在组织资源之间迁移项目,您需要该项目、其父级资源和目标资源的以下角色:

  • 您要迁移到组织资源之间的项目的 Project IAM Admin (roles/resourcemanager.projectIamAdmin)。
  • 项目的父级资源(文件夹或组织资源)上的 Project Mover (roles/resourcemanager.projectMover)。
  • 如果目标资源是文件夹:目标资源上的 Project Mover (roles/resourcemanager.projectMover)。
  • 如果目标资源是组织资源:目标资源的 Project Creator (roles/resourcemanager.projectCreator)。

这些角色授予您以下所需权限:

所需权限

  • 对要迁移到组织资源之间的项目的 resourcemanager.projects.getIamPolicy 权限
  • 对要迁移到组织资源之间的项目的 resourcemanager.projects.update 权限
  • 项目的父级资源(文件夹或组织资源)的 resourcemanager.projects.move 权限
  • 如果目标资源是文件夹:对目标资源的 resourcemanager.projects.move 权限
  • 如果目标资源是组织资源:对目标资源的 resourcemanager.projects.create 权限
  • 如果您要迁移尚未与组织关联的项目:对要迁移的项目使用 resourcemanager.projects.setIamPolicy

您还可以通过自定义角色或其他预定义角色获取这些权限。

组织政策权限

在源组织资源和目标组织资源中,设置组织政策的用户必须拥有 roles/orgpolicy.policyAdmin 角色,该角色可授予创建和管理组织政策的权限。

结算账号权限

Cloud Billing 账号可以跨组织资源使用。将项目从一个组织资源移动到另一个组织资源不会影响结算,系统会对旧结算账号继续收费。不过,在组织资源之间迁移项目时,通常还需要迁移到新的结算账号。

如需获得更改项目结算账号所需的权限,请让管理员向您授予以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

这些预定义角色包含更改项目的付款账号所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

如需更改项目的结算账号,您需要具备以下权限:

  • 对目标结算账号的 billing.resourceAssociations.create 权限
  • 针对项目的 resourcemanager.projects.createBillingAssignment 权限
  • 针对项目的 resourcemanager.projects.deleteBillingAssignment 权限

您也可以使用自定义角色或其他预定义角色来获取这些权限。

后续步骤

如需了解如何配置组织政策,请参阅配置组织政策