组织资源是 Google Cloud 资源层次结构 是项目的分层超级节点。本页将介绍如何 获取和管理组织资源。
准备工作
阅读概览 组织资源的限制
获取组织资源
组织资源可供 Google Workspace 和 Cloud Identity 客户使用:
- Google 工作区:注册 Google 工作区。
- Cloud Identity:注册 Cloud Identity。
创建 Google Workspace 或 Cloud Identity 账号并将其与网域关联后,系统将自动为您创建组织资源。资源将根据您的账号状态在不同的时间进行预配:
- 如果您刚开始接触 Google Cloud,并且尚未创建项目, 系统将会在您登录 Google Cloud 控制台,并接受条款及条件。
-
如果您是现有 Google Cloud 用户,组织资源将 系统会在您创建新项目或结算账号时为您创建。您创建的任何项目 之前会列在“无组织”下,这属于正常现象。组织 系统将显示资源,您创建的新项目将会自动关联到该资源。
您需要移动在“无组织”下创建的所有项目转移到您的新 组织资源。如需了解如何迁移项目,请参阅 将项目迁移到组织资源。
创建的组织资源将与您创建的具有项目或结算账号的 Google Workspace 或 Cloud Identity 账号关联,这些项目和结算账号被设置为子资源。在您的 Google Workspace 或 Cloud Identity 网域下创建的所有项目和结算账号 将成为此组织资源的子级。
- 如需了解如何迁移现有项目,请参阅迁移现有项目。
每个 Google Workspace 或 Cloud Identity 账号都会与 一个组织资源。组织资源与 一个网域,在创建组织资源时设置。
创建组织资源后,我们会向 Google Workspace 或 Cloud Identity 超级用户。这些 应谨慎使用超级用户账号,因为它们拥有大量控制权 组织资源及其下的所有资源因此, 不建议使用 Google Workspace 或 Cloud Identity 超级用户账号 进行组织资源的日常管理。如需详细了解如何在 Google Cloud 中使用 Google Workspace 或 Cloud Identity 超级用户账号,请参阅超级用户最佳做法。
如要主动采用组织资源,Google Workspace 或
Cloud Identity 超级用户需要
Organization Administrator
(roles/resourcemanager.organizationAdmin
) Identity and Access Management (IAM) 角色
用户或群组。如需了解设置组织资源的步骤,请参阅
设置组织资源。
- 创建组织资源后,系统会自动为您网域中的所有用户
已授予 Project Creator (
roles/resourcemanager.projectCreator
) 和 Billing Account Creator (roles/billing.creator
) IAM 角色 组织资源级别的数据。因此,您网域中的用户可以继续创建项目,没有任何中断。 - 组织管理员将决定何时启动 组织资源的使用然后,他们可以根据需要更改默认权限并实施更严格的政策。
- 如果组织资源可用,但没有 IAM 拥有查看权限,但仍然可以创建项目和结算账号。 即使您在 2015 年 3 月 8 日之前 我看不到它
获取组织资源 ID
组织资源 ID 是组织资源的唯一标识符, 系统会在创建组织资源时自动创建凭据。组织资源 ID 采用十进制数字的格式,且不能以零开头。
您可以使用 Google Cloud 控制台、 gcloud CLI 或 Cloud Resource Manager API。
控制台
如需使用 Google Cloud 控制台获取组织资源 ID,请执行以下操作: 以下:
- 前往 Google Cloud 控制台:
- 从页面顶部的项目选择器中选择您的组织 资源。
- 在右侧,点击更多,然后点击设置。
设置页面会显示您的组织资源 ID。
gcloud
如需查找您的组织资源 ID,请运行以下命令:
gcloud organizations list
此命令会列出您所属的所有组织资源, 及其对应的组织资源 ID。
API
如需使用 Cloud Resource Manager API 查找组织资源 ID,请使用
organizations.search()
方法,包括对您的域名的查询。例如:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
响应包含组织资源的元数据,
属于 altostrat.com
,其中包含组织资源 ID。
设置组织资源
如果您是 Google Workspace 或 Cloud Identity 客户, 资源
Google Workspace 或 Cloud Identity 超级用户是第一批 创建后可以访问组织资源的用户。所有其他用户或群组将能够像以前一样使用 Google Cloud。他们将能够看到 组织资源,但只有在设置了正确的响应之后, 权限。
Google Workspace 或 Cloud Identity 超级用户和 Google Cloud Organization Administrator 是设置过程中的关键角色 过程以及对组织资源的生命周期控制。这两种角色 通常会被分配给不同的用户或群组, 组织资源的结构和需求。
Google Workspace 或 Cloud Identity 超级用户的责任,具体如下: Google Cloud 组织资源设置的上下文如下:
- 向部分用户分配 Organization Administrator 角色
- 担任恢复问题的联系人
- 控制 Google Workspace 或 Cloud Identity 的生命周期 账号和组织资源,如下文所述 删除组织资源
分配的 Organization Administrator 可以为其他用户分配 Identity and Access Management 角色。Organization Administrator 角色的责任包括:
- 定义 IAM 政策并将 IAM 角色授予其他用户。
- 确定资源层次结构的结构
该角色遵循最小权限原则,不包括执行其他操作的权限,如创建文件夹或项目。如需获得这些权限,Organization Administrator 必须为其账号分配其他角色。
拥有两个不同的角色可确保 Google Workspace 或 Cloud Identity 超级用户和 Google Cloud Organization Administrator 之间的职责分离。我们通常会要求满足该条件,因为这两个 Google 产品通常由客户组织中的不同部门管理。
如需开始积极使用组织资源,请按以下步骤添加 Organization Administrator:
添加 Organization Administrator
控制台
要添加 Organization Administrator,请执行以下操作:
以 Google Workspace 身份登录 Google Cloud 控制台,或者 Cloud Identity 超级用户并转到 IAM 和管理页面:
选择要修改的组织资源:
点击页面顶部的项目下拉列表。
在请选择:对话框中,点击组织下拉列表。 并选择要向其中添加资源的 Organization Administrator。
在随即显示的列表中,点击组织资源以打开其 IAM 权限页面。
点击添加,然后输入要添加的一个或多个用户的电子邮件地址 组织管理员。
在选择角色下拉列表中,选择 Resource Manager > Organization Administrator,然后点击保存。
Organization Administrator 可执行以下操作:
拥有对组织资源的完全控制权。Google Workspace 或 Cloud Identity 超级用户和 Google Cloud 管理员之间已实现职责分离。
分配相关 IAM 角色以委派对关键职能的责任。
正如获取组织资源中所述,在创建组织时,
网域中的所有用户都会被授予“Project Creator”和“Billing Account Creator”角色
默认分配角色。这样可以确保
。Organization Administrator 获得控制权后,他们可能想要移除这些组织层级权限,开始将访问权限锁定到更精细的级别(例如,文件夹或项目级层)。请注意,由于
IAM 政策按层次结构继承,
分配给整个网域的 Project Creator 角色
(domain:mycompany.com
) 表示,每个用户
可以在层次结构中的任何位置创建项目。
在组织资源中创建项目
控制台
您可以使用 为您的 Google Cloud 控制台启用组织资源后, 网域。
如需在组织资源中创建新项目,请执行以下操作:
如需创建新项目,请执行以下操作:
-
转到 Google Cloud 控制台中的管理资源页面。
其余步骤会显示在 Google Cloud 控制台中。
- 在页面顶部的选择组织下拉列表中,选择要在其中创建项目的组织资源。如果您使用的是免费试用版,请跳过此步骤,因为系统不会显示此列表。
- 点击创建项目。
- 在显示的新建项目窗口中,输入项目名称并选择适用的结算账号。项目名称只能包含字母、数字、英文单引号、连字符、空格或英文感叹号,且长度必须介于 4 到 30 个字符之间。
- 在位置框中输入父级组织或文件夹资源。该资源将是新项目的分层父级。如果可以选择无组织,那么您也可以选择该选项,将新项目作为其自身资源层次结构的顶层进行创建。
- 输入完新项目的详细信息后,点击创建。
API
您可以通过以下方式在组织资源中创建新项目:
创建
project
并将其 parent
字段设置为organizationId
组织资源。
以下代码段展示了如何在 组织资源:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
查看组织资源中的项目
用户只能通过 IAM 角色查看和列出他们有权访问的项目。Organization Administrator 可以查看和列出 组织资源。
控制台
如需使用 Google Cloud 控制台查看组织资源中的所有项目,请执行以下操作:
前往 Google Cloud 控制台:
点击页面顶部的组织下拉列表。
选择您的组织资源。
点击页面顶部的项目下拉列表,然后点击 查看更多项目。系统会列出组织资源中的所有项目 。
组织下拉列表中的无组织选项可列出以下项目:
- 尚不属于组织资源的项目。
- 用户有权访问但属于组织的项目 用户无权访问的资源
gcloud
如需查看组织资源中的所有项目,请运行以下命令:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
使用 projects.list()
方法列出父级资源下的所有项目,如以下代码段所示:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
删除组织资源
组织资源会绑定到您的 Google Workspace 或 Cloud Identity 。
如果您不希望使用组织资源,我们建议您使用 使用 操作步骤:
- 将您的网域添加到
Project Creator
和Billing Account Creator
角色。 - 移除组织资源 IAM 政策中的所有其他条目。
这样一来,您的用户便可继续创建项目和结算账号,并且 Google Workspace 或 Cloud Identity 超级用户之后也可以恢复集中管理。
如果您删除 Google Workspace 此操作将删除您的组织资源以及与您关联的所有资源 。因此,如果您想删除组织资源,可以执行以下操作: 删除你的 Google Workspace 账号。对于 Cloud Identity 用户,请取消其他所有 Google 服务,然后删除您的 Google 账号。此操作具有非常强的破坏性,可能无法完全逆转,因此建议您仅在确定没有资源正在使用后执行此操作。